Bekendheid met de gedragscodes en het sanctiebeleid

Zoals we eerder al aanhaalden is voor het naleven van de gedragscodes kennis, houding en gedrag van belang. We kunnen niet verwachten dat de houding en het gedrag aanpassen als de gedragscode onbekend is. Dat klinkt misschien logisch, maar de praktijk is toch wat weerbarstiger.

De vraag:
Zijn deze gedragscodes en het sanctiebeleid beschikbaar gesteld aan het personeel?

Natuurlijk laten we nieuwe medewerkers hun handtekening zetten voor de gedragscode, zo hebben we tenminste bewijs voor als we dat nodig hebben. Deze nieuwe medewerker moet zeer waarschijnlijk wel vaker zijn handtekening zetten voor hij echt aan de slag kan. Geloven we nu echt dat hij alle formele documenten tot in de puntjes doorleest? En als dat al wordt gedaan, begrijpt de medewerker dan ook echt wat de impact is? Misschien toch eens checken bij een aantal nieuwe medewerkers of zij zich kunnen herinneren dat zij een gedragscode hebben getekend en of zij weten wat die inhoudt. Je bent gewaarschuwd: je kunt voor verrassingen komen te staan.

Maar gelukkig is de nieuwe medewerker geen eendagsvlieg. Na een aantal dagen, weken of maanden heeft hij zijn draai gevonden. Op het intranet gaat hij op zoek naar informatie die van belang is. Hoe makkelijk kan hij de gedragscode en het sanctiebeleid dan vinden? Staat er niet zoveel informatie op het intranet dat we door de bomen het bos niet meer zien? En tussen al die andere informatie (die meestal leuker is dan de beveiligingsinformatie), hoe groot is dan de kans dat hij bewust de gedragscode kiest? Waarschijnlijk niet zo groot.

Heb je de gedragscode op het intranet staan? Kijk dan eens naar de statistieken. Hoe vaak is die gedragscode het afgelopen jaar bekeken? En hoeveel nieuwe medewerkers hebben we er in die tijd bijgekregen? Matched dat nog een beetje?

Gelukkig speelt dit probleem binnen jouw organisatie niet want er zijn verplichte e-learning modules en daarin gaan we ook in op de gedragscode. We stellen netjes de vraag of de deelnemer de gedragscode kent en al snel wordt er op “ja” geklikt. Maar wij laten ons niet voor de gek houden en stellen later nog een controle vraag: “stel je ziet een bezoeker zonder begeleiding, wat doe je?” Natuurlijk begeleiden we die naar de receptie…althans op papier dan. In de praktijk doen we lekker of we deze persoon niet gezien hebben.

Redeneren we nog even verder dan gaat het natuurlijk helemaal niet om die gedragscode. Het gaat om een beveiligingscultuur die we moeten creëren en daar is heel wat meer voor nodig dan een gedragscode, een e-learning omgeving en/of een poster aan de wand. Beveiliging moet bespreekbaar gemaakt worden, het moet in de wortels van de organisatie zitten en het moet overeenkomen met de totale cultuur binnen een organisatie. Dat is het doel, de gedragscode en het sanctiebeleid zijn daarbij slechts ondersteunend (en helaas in de praktijk nog teveel een formaliteit omdat het nu eenmaal moet).

Probeer er eens voor te zorgen dat beveiliging en het gewenste gedrag meegenomen wordt in de afdelingsoverleggen, laat het hoogste management aantoonbaar het goede voorbeeld geven, maak incidenten (al dan niet in geanonimiseerde vorm) inzichtelijk zodat anderen daarvan kunnen leren en zorg ervoor dat medewerkers met hun vragen ergens terecht kunnen. Lukt dat dan zijn we al een heel stuk verder en kunnen we de gedragscode en het sanctiebeleid inderdaad fine tunen…door er minder in op te nemen in plaats van meer en meer en meer.

Sanctiebeleid

We hebben de gedragscode en nog zijn er medewerkers die zich daar niet aan houden. Frustrerend, toch? Nou dat valt wel mee, maar daar gaan we straks verder op in. Voor die gevallen waarbij stelselmatig de regels worden overtreden is het goed om een sanctiebeleid te hebben zodat we in kunnen grijpen als dat echt nodig is.

De vraag:
Is er een sanctiebeleid voor afwijkingen van de gedragscodes?

Laten we eerst even terug komen op het feit dat de frustratie wel mee kan vallen. Voordat we sancties op gaan leggen (een laatste redmiddel) moeten we eerst zien te achterhalen waarom de regels werden overtreden. Wilde de medewerker zich niet aan de regels houden of kon hij dat niet omdat er andere belangen speelden of de regels gewoon onzinnig zijn?

Als hij er niet aan wilde meewerken terwijl wij hem wel alle middelen hebben gegeven dan kunnen we besluiten het sanctiebeleid in werking te stellen. Daarmee moeten we wel terughoudend zijn en dat moeten we dan doen zonder aanziens des persoons. Wat hiermee bedoeld wordt? Nou, eigenlijk heel simpel: als het geldt voor de medewerkers op de werkvloer dan geldt het ook voor de manager in de ivoren toren. Passen we het sanctiebeleid niet rechtlijnig toe dan gaan we geen stand houden in de rechtbank (nog los van het feit dat het natuurlijk onterecht is om managers wel de regels te laten overtreden).

Terugkomend op de medewerkers die de regels best toe willen passen maar dat, om wat voor reden dan ook, niet kunnen. We moeten gedragscodes hebben die ondersteunend zijn aan de bedrijfsvoering waarbij we de regels steeds zullen moeten fine tunen. Stellen we de regels te strak dan gaat iedereen ze overtreden, zijn de regels te vrijblijvend dan lopen we risico’s. Na een incident waarbij de gedragscode is overtreden moeten we dus niet (in alle gevallen) direct het sanctiebeleid toepassen, nee we moeten eerst de echte oorzaak zien te achterhalen en onze gedragscodes daarop aanpassen.

Neem nu als voorbeeld de toegangspasjes tot een kantoorgebouw. Als regel stellen we dat bezoekers zich moeten melden en dat medewerkers een pasje hebben en bezoekers begeleiden. Maar hoe snel en makkelijk kunnen we pasjes verzorgen voor nieuwe medewerkers? En hoe gaan die nieuwe medewerkers in de tussen tijd al aan de slag? Willen we meelopen voorkomen dan moeten we die nieuwe medewerker wel middelen geven om zich aan de regels te houden. Hij of zij kan bijvoorbeeld een tijdelijke pas krijgen tot de eigen pas klaar is. Zo voorkom je dat een collega de nieuwe medewerker mee naar binnen moet smokkelen (waarbij ze dus beide de gedragscode overtreden). Te vaak zien we nog dat nieuwe medewerkers nog niet over de middelen beschikken om zich aan de regels te houden, vreemd eigenlijk. De eerste paar dagen staan we toe dat zij de regels overtreden (omdat onze processen gewoon niet goed zijn ingericht), later verwachten we dat ze zich er wel aan houden…we geven nogal tegenstrijdige signalen af, vind je niet?

Het opstellen van gedragscodes en sanctiebeleid is op papier helemaal niet zo ingewikkeld. Ga er even voor zitten en je hebt een berg regels opgeschreven, die in de praktijk echter niet werken. De kunst is nu juist om regels en sanctiebeleid op te stellen dat werkt. Maak ze SMART (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden), doen we dat op de juiste wijze en overtreden medewerkers dan willens en wetens de regels, dan kunnen we teruggrijpen op ons sanctiebeleid (dat uiteraard ook SMART is). Maar dat is ons laatste redmiddel, het toe moeten passen van het sanctiebeleid is eigenlijk het falen van het managen van de beveiligingsmaatregelen.