• gepubliceerd
  • leestijd
    ± 6 minuten

Zo veranker je de AVG in je organisatie

Hoe zorg je ervoor dat de AVG en de bijbehorende manier van denken en handelen verankerd wordt in je organisatie? De sleutel hiervoor is awareness.

Als je alle processen en documentatie rondom de AVG hebt ingericht, begint het eigen­lijk pas. De AVG moet onderdeel van de bedrijfscultuur worden. Hoe zorg je ervoor dat de AVG bij iedereen gaat leven?

De AVG (of GDPR) privacywet vereist van bedrijven dat ze zorgvuldig met persoonsgegevens omgaan. Dit betekent dat er veel processen moeten worden ingericht om aan de wet te voldoen. Daarnaast vereist dit de nodige documentatie, waarin je bijhoudt welke gegevens je verzamelt en hoe je hiermee omgaat. Allemaal belangrijke zaken, maar voor de meeste medewerkers zal dit een ver van hun bed show zijn. Hoe zorg je ervoor dat de AVG en de bijbehorende manier van denken en handelen verankerd wordt in je organisatie. Met andere woorden, hoe zorg je ervoor dat de AVG bij iedereen gaat leven? De sleutel hiervoor is awareness.

Creëer awareness over de AVG

Als je als organisatie echt AVG-compliant wilt zijn, vereist dit dat de medewerkers bekend zijn met de basisprincipes van deze wet. Bovendien moeten ze hiernaar gaan handelen. Eigen­lijk moet het de normale manier van werken worden en onderdeel van de bedrijfscultuur.

In de securitywereld is het een bekend fenomeen dat het grootste beveiligingsrisico ligt bij de gebruiker. Je kunt nog zo geavanceerde apparatuur, software en maatregelen gebruiken, maar die zijn nutteloos als de gebruiker onzorgvuldig handelt. Voor de AVG geldt in feite hetzelfde. Goed beleid en volledige documentatie zijn geen garantie dat medewerkers niet onzorgvuldig persoonsgegevens verzamelen of verwerken. Dat zal in de meeste gevallen helemaal geen kwade intentie zijn. De medewerker heeft simpelweg een taak te doen en zal die op de meest directe en eenvoudige manier willen uitvoeren. Een privacy fout is dan zo gemaakt. Daarom is het essentieel dat iedereen weet hoe de AVG toegepast moet worden en dat dit top of mind is.

AVG awareness creëer je zo

Er zijn een aantal manieren om privacy awareness binnen de organisatie te realiseren. Dat hoeft helemaal niet moei­lijk of ingewikkeld te zijn. Hieronder benoem ik een aantal moge­lijkheden.

Deel kennis

Om medewerkers privacy bewust te maken, is een eerste vereiste dat ze de juiste kennis hebben. Ze moeten weten wat ze moeten doen. Kennis van het beleid moet dus niet alleen bij de privacy officer en het management liggen. Uiteraard zijn niet alle aspecten van de implementatie en uitvoering van de AVG voor iedereen relevant. Deel in ieder geval de volgende zaken:

  • Wat de AVG is en wat de basisprincipes zijn;
  • De risico’s voor als je je niet aan de wet houdt;
  • Wat je moet doen bij een moge­lijk datalek;
  • Handreikingen voor veilig computergebruik;
  • Gedragsregels voor vertrouwe­lijke informatie.

Alleen het delen van kennis over de AVG is niet voldoende om echte verandering te bewerkstelligen. Mensen nemen documenten vaak een keer vluchtig door, waarna het onderwerp verdreven wordt door actuele zaken. Kortom, informeren is een belangrijke eerste stap maar er is meer nodig.

Gebruik een casus

Een presentatie is een goede manier om kennis op een levendige manier te delen. Voor een optimaal resultaat is het echter wense­lijk niet teveel te zenden. Stel vooral vragen aan medewerkers. Je kunt hiervoor een (hypothetische) casus gebruiken. Illustreer aan de hand van een heftig scenario wat er op privacy gebied mis kan gaan binnen de organisatie.

Voor ons bedrijf heb ik dit ook gedaan. Tijdens deze awareness sessie stipte ik eerst weer de basispunten van de AVG aan. Vervolgens illustreerde ik met voorbeelden uit de actualiteit wat er kan gebeuren als data om wat voor reden dan ook op straat komt te liggen. Het zwaartepunt van de presentatie lag echter op de casus. Hierbij ging het om een hypothetisch datalek binnen ons bedrijf. Door het stellen van vragen daagde ik mensen uit om hierover na te denken en de AVG proberen toe te laten passen. Het beste is hiervoor open vragen te stellen, zoals:

  • Waarom is dit erg?
  • Wat moet je doen?
  • Hoe kun je dit voorkomen?
  • Wat doe je zelf nu al om zorgvuldig om te gaan met persoonsgegevens?

Praat erover

Als je wilt dat privacy bewust werken onderdeel van de cultuur wordt, is het essentieel om erover te blijven praten. Op die manier wordt het een vast onderdeel van de manier van werken. Bespreek met collega’s hoe je met data omgaat bij actuele opdrachten. Daag elkaar uit scherp te zijn op de manier van werken. Ga na welke persoonsgegevens je echt nodig hebt. Verwijder alles wat je niet nodig hebt. Sla geen gevoelige data op USB-sticks op. Allemaal zaken die in de dage­lijkse praktijk vaak terugkomen.

Bedenk dat privacy bewust werken niet alleen betrekking heeft op wat je achter de computer doet. Als iemand een kast open laat staan waar gevoelige documenten in liggen, betekent dat ook een risico. Andere veelvoorkomende fouten zijn documenten die in de printer blijven liggen en computers die niet worden vergrendeld. Houd elkaar scherp op zulke dingen, maar doe het op een luchtige manier. Je wilt tenslotte niet degene zijn die eenzaam in een hoekje zit te lunchen, omdat je collega’s je beu zijn.

Een leuke manier om gedragsverandering te bewerkstelligen is het gewenste gedrag te belonen. Een steeds vaker gebruikte manier hiervoor is gamification. Door spelelementen te gebruiken wordt het leuk om iets goed te doen. Een derge­lijke aanpak zou je voor privacy bewust werken ook kunnen bedenken. Wees creatief en bedenk een concept dat bij jouw organisatie past.

Join the dark side

Als je in een groot kantoorgebouw werkt ben je wel bekend met brandoefeningen. Niemand vindt ze leuk. Om goed voorbereid te zijn op een noodsituatie is het niettemin belangrijk dit te oefenen. Dat geldt ook voor privacy gerelateerde incidenten. Door te oefenen ontdek je waar eventuele knelpunten zitten, waar verbetering nodig is en in hoeverre medewerkers weten wat ze moeten doen.

Voor een effectieve oefening moet je je verplaatsen in de huid van de ‘slechterik’. Dus tijd om je aan te sluiten bij the dark side. Bedenk hoe je als slechterik jouw bedrijf schade zou toe kunnen brengen. Aangezien de oefening betrekking heeft op de AVG, moet het gaan om schade gerelateerd aan gevoelige data met persoonsgegevens.

Je kunt verschillende scenario’s simuleren als oefening. Denk aan een hack, een datalek of phishing. Stem het af met een externe partij, zoals je IT-leverancier. Op die manier kun je het realistisch maken en er het meeste uithalen. Laat hen bijvoorbeeld een phishing mail sturen en analyseren wat er gebeurt. Zo krijg je inzicht in wat er gedaan wordt met zo’n mail en kun je zelf monitoren hoe er intern wordt gehandeld. Voor de datalek en hack scenario’s geldt hetzelfde. Je zou derge­lijke scenario’s kunnen simuleren in samenwerking met een partij waar je een verwerkersovereenkomst mee hebt.

Uiteraard geldt voor de simulaties dat je ze niet te vaak moet doen. Anders gaan mensen het niet meer serieus nemen en zijn ze minder alert bij een echt incident.

Privacy bewust werken is goed voor je business

Dankzij de invoering van de AVG staat privacy weer hoog op de agenda. Gezien het belang van privacy is dat alleen maar positief. Toch is er in Nederland feite­lijk niet eens zoveel veranderd. De voorganger van de AVG, de WBp, bevatte name­lijk ook vrij strikte privacyregels. De consequenties van non-compliance zijn wel ernstiger geworden.

Kortom, zorgvuldig omgaan met persoonsgegevens was al belangrijk en is dat nu nog meer. Als organisatie is het daarom van belang dat dit een tweede natuur wordt. Dat vereist inzet en training, maar heeft ook veel positieve kanten. Het vergroot name­lijk het vertrouwen van klanten en partners in jouw bedrijf. Bovendien dwingt het je om zaken als beveiliging, toegang, opslag en verwerking van persoonsgegevens op orde te hebben. Dat maakt je bedrijfsvoering robuuster en geeft meer inzicht in datastromen. Daarnaast kan het toegenomen vertrouwen weer zorgen dat klanten eerder geneigd zijn jou hun data toe te vertrouwen. Zo is privacy bewust werken goed voor je business.

Ben je benieuwd hoe we bij Swink omgaan met privacy? Bekijk dan eens ons privacy statement. Heb je vragen over hoe je de AVG in je organisatie toepast en wil je hierover sparren? Neem dan gerust contact met mij op.