How to

Echt AVG-proof worden? Medewerkers zijn de belangrijkste schakel

0

De privacywet AVG heeft veel organisaties aangezet tot het formuleren van privacybeleid, het aanstellen van een Functionaris Gegevensbescherming en het nemen van technische en organisatorische maatregelen. Maatregelen waarmee organisaties op papier voldoen aan de AVG-eisen. Maar hoe zit het in de praktijk?

In de praktijk is gedrag allesbepalend en zijn medewerkers de belangrijkste schakel. In hoeverre stuurt jouw organisatie – aanvullend op technische en organisatorische maatregelen – op bewustzijn? En in hoeverre voelen medewerkers en leidinggevenden zich al eigenaar van het onderwerp ‘privacy’? Wat is een jaar na invoering van de AVG de staat van jouw organisatie?

In 2018, ook ná de invoering van de AVG op 25 mei, was maar liefst 63 procent van alle ruim 20.000 meldingen van datalekken bij de Autoriteit Persoonsgegevens hetzelfde. Namelijk: het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger. Ook zijn er veel USB-sticks kwijtgeraakt en persoonsgegevens per ongeluk gepubliceerd. In al deze gevallen gaat het om menselijke fouten, oftewel gedrag. Met alle aandacht voor technische en organisatorische maatregelen lijkt het erop dat aandacht voor concreet gedrag een ondergeschoven kindje is. Of in ieder geval een onderwerp is dat juist nu aandacht nodig heeft.

Een grafiek met type datalekken uit de Jaarrapportage meldplicht datalekken 2018, Autoriteit Persoonsgegevens.

Bron: Type Datalekken, uit Jaarrapportage meldplicht datalekken 2018, Autoriteit Persoonsgegevens.

Risico’s altijd aanwezig

Incidenten rondom de verwerking van persoonsgegevens zijn niet volledig te voorkomen. Niemand is perfect en menselijk falen is ons allen bekend. Een risico op een incident als een datalek is in elke organisatie aanwezig. Maar blijvende aandacht voor privacy is wel een verantwoording waaraan organisaties niet ontkomen. Daarbij is aandacht voor technische en organisatorische maatregelen gericht op ratio, systemen en processen niet genoeg. Als medewerkers top-down wordt opgelegd hoe zij moeten handelen, slechts ingegeven vanuit een verplichting waaraan moet worden voldaan, dan gaat het vroeg of laat fout. Zeker als processen en context veranderen.

Posters op de gangen van bedrijfslocaties, een hoekje op het intranet en een bewustwordingspresentatie over de AVG helpen ook niet. Want alleen zeggen dat dingen anders moeten omdat dat nu eenmaal moet, leidt niet tot bewustzijn, enthousiasme, eigenaarschap en het voorkomen van slordigheden.

Privacy is een gedeelde verantwoordelijkheid

Het gaat bij de AVG over veel meer dan het beveiligen van systemen, processen en data, waarbij slechts enkelen verantwoordelijk zijn. Het gaat om het gedrag van medewerkers. Dat is uiteindelijk de allesbepalende factor bij gegevensverwerking. Uiteraard is een bestuurder verantwoordelijk voor het nakomen van de verplichtingen die voortvloeien uit de AVG. Dat principe ontslaat organisaties echter niet van een collectieve verantwoording om op een juiste wijze met privacy en persoonsgegevens om te gaan. Iedereen heeft daarin een rol én verantwoordelijkheid. Juist nu organisaties de aandacht uit hebben laten gaan naar noodzakelijke en verplichte technische en organisatorische maatregelen.

Eigenaarschap wordt nog niet gevoeld

Om privacy en de AVG hangt nu te vaak een technische en een weinig enthousiasmerende zweem. De focus van veel organisaties is dan ook geweest: het op orde brengen van beveiliging, processen en systemen. Dat straalt enorm af op het onderwerp ‘privacy’, dat veel breder is. Het overgrote deel van de medewerkers wordt van de ‘harde’, instrumentele kant niet enthousiast en voelt zich geen eigenaar. Dit terwijl het om de privacy van mensen gaat: een belangrijk onderwerp dat er voor veel mensen echt toe doet. Zowel voor externe als interne stakeholders. Ik deel vijf tips om dit belang bij iedereen tussen de oren te krijgen:

1. Frame de AVG: veel meer dan een verplichting

De kunst is om de AVG uit het hoekje ‘omdat het moet’ te halen. Dus spreek niet over ‘een verplichting’ en ‘noodzakelijke maatregelen’ maar maak van het onderwerp privacy een gedeelde verantwoordelijkheid. En dat is noodzakelijk. Juist nu de eerste hobbel, het compliant zijn, is genomen bij veel organisaties. Maar hoe doe je dat? In eerste instantie door het onderwerp AVG veel breder te trekken dan een verplichting.

Het is niet gek dat de AVG door veel organisaties als een verplichte set maatregelen wordt gezien. De wet is immers in mei 2018 geïntroduceerd als verplichting met de oproep om maatregelen te nemen. Met de Autoriteit Persoonsgegevens als waakhond en hoge boetes als stok achter de deur. Het gat tussen ‘opgelegde regelgeving’ en ‘gemotiveerd zijn om gedrag aan te passen’, is echter groot. Daarom is het belangrijk om het onderwerp privacy binnen de eigen organisatie te framen als meer dan een verplichting. Het is een belangrijk maatschappelijk thema, dáárom is de wet aangepast.

Goed omgaan met ieders privacy is een randvoorwaarde voor een goede reputatie. Het is een manier om klanten aan je te binden. Het gaat om zorg, aandacht en kwaliteit. Medewerkers voelen zich daar meer door aangesproken dan door een AVG ‘omdat het moet’. Ook ethiek speelt hierbij een belangrijke rol: we doen dit niet omdat we het moeten, we moeten het vooral zelf willen. Zorgvuldig omgaan met de privacy van onze klanten, externe stakeholders en medewerkers is het enige juiste om te doen.

Het gat tussen ‘opgelegde regelgeving’ en ‘gemotiveerd zijn om gedrag aan te passen’, is groot.

2. Start vanuit een gemeenschappelijk fundament

Om het onderwerp privacy duurzaam te kunnen inbedden in de praktijk, is het zaak om het te verbinden aan een gemeenschappelijk fundament. Die gezamenlijkheid is te vinden in gedeelde waarden die de basis vormen voor de cultuur van de organisatie. Cultuur wordt ook wel beschreven als ‘de motor achter alles wat een organisatie wel of niet doet’. In een vitale cultuur zijn altijd waarden opgenomen die relevant en van waarde zijn voor klanten of stakeholders. Vanuit die waarden is een verbinding te maken met het onderwerp privacy, waardoor het een intrinsiek gemotiveerd onderwerp wordt. Want privacy hangt samen met (ik noem maar enkele mogelijke waarden) kwaliteit, aandacht of zorg. Op deze wijze is een juiste gegevensverwerking niet langer een moetje en opgelegd, maar een onderwerp dat van belang is en erbij hoort.

3. Werk vanuit de organisatiecultuur

Organisatorische en technische maatregelen die nu accuraat en afdoende blijken te zijn, kunnen over een jaar niet langer passend blijken. Juist omdat organisaties en hun context blijvend veranderen, is het belangrijk om aandacht voor privacy onderdeel te laten zijn van de organisatiecultuur. Een duurzaam effect wordt daarbij niet gerealiseerd als slechts op gedrag wordt gestuurd. Werk vanuit waarden, vanuit een cultuur, daarmee is meer te bereiken. Een goede cultuur is als een gezonde voedingsbodem. Daarop groeien gezonde zaken. En de keerzijde: op een slechte bodemcultuur groeien slechte zaken.

Bij organisaties die crisismomenten op tijd herkennen en voorkomen, is sprake van een vitale en gezonde cultuur. Een cultuur die gericht is op waardecreatie en op handelen in het belang van en in lijn met de verwachtingen van stakeholders. Aandacht voor een zorgvuldige verwerking van gegevens is daar onderdeel van. Want dat is in het belang van stakeholders. Besteed daarom aandacht aan cultuur bij de implementatie van AVG.

Een goede cultuur is als een gezonde voedingsbodem: daarop groeien gezonde zaken.

4. Inbedding vraagt om een integrale benadering

Privacy is van iedereen: niet alleen van het management en de Functionaris Gegevensbescherming. Dat betekent dat privacy in alle geledingen van de organisatie structureel een plek moet krijgen. Het is zaak om ervoor te zorgen dat iedereen zich verantwoordelijk voelt. Een bewustwordingscampagne kan hierbij absoluut helpen, zorgt niet direct voor een duurzame verandering. Daarvoor zal de gehele organisatie effectief en integraal ingericht moeten zijn op privacybewust handelen.

Het 7S-model van McKinsey kan helpen bij het nemen van juiste stappen. Door dit model toe te passen op de context van het onderwerp privacy, is snel zichtbaar dat alleen het nemen van technische en organisatorische maatregelen niet leidt tot een effectief en integraal ingerichte organisatie.

Het 7S-model van McKinsey.

Toelichting op het model: dit is het 7S-model van McKinsey, bewerkt naar de context van het onderwerp privacy en gegevensverwerking. Aan de hand van zeven factoren zijn de prestaties van een organisatie te analyseren. Deze factoren beïnvloeden elkaar. Door het vraagstuk en de organisatie integraal te benaderen, is het mogelijk om een effectieve en efficiënte organisatie te realiseren. De oorspronkelijke factoren van het 7S-model van McKinsey staan tussen haakjes.

Inbedding van het thema privacy binnen een organisatie vraagt dus om een integrale benadering. Focus dus niet alleen op technische maatregelen om systemen, data en processen te beveiligen en op orde te krijgen. En ook niet alleen op organisatorische maatregelen, zoals het aanstellen van een Functionaris Gegevensbescherming, het afnemen van audits, het instellen van procedures rondom dataminimalisatie, dataverzoeken en datalekken en het afsluiten van verwerkersovereenkomsten. Met enkel aanpassingen op de onderdelen ‘strategie’, ‘structuur’ en ‘systemen’ is privacybewust handelen nog geen realiteit.

5. Dring door tot de dagelijkse praktijk

Voor een duurzame implementatie is het noodzakelijk juist aandacht te besteden aan de ‘softe zijde’ van het 7S-model. Veranker en verbind het onderwerp ‘privacy’ dus met de eigen cultuur, met de gehanteerde leiderschapsstijl, met de vaardigheden van medewerkers, gemotiveerd vanuit kernwaarden en cultuur. Alleen op die manier dringt het thema door tot in de praktijk van alledag en kan onbewust en slordig gedrag rondom gegevensverwerking worden voorkomen en verholpen. Zo wordt collectief privacybewust handelen en gedrag realiteit.

Er zijn verschillende interventies mogelijk om privacy te verankeren in de dagelijkse praktijk. Neem het onderwerp bijvoorbeeld op in de beoordelingscyclus van leidinggevenden en medewerkers, deel best practices in de interne communicatie, leg continu verantwoording af (continuous reporting), besteed aandacht aan leidende principes bij de onboarding van nieuwe collega’s, bied trainingen aan, maak kennis eenvoudig beschikbaar via bijvoorbeeld een kennisdatabank en zorg ervoor dat bij vernieuwingen, veranderingen en projecten standaard een risico-inventarisatie met bijbehorende tegenmaatregelen rondom het onderwerp privacy wordt opgesteld. En last but not least: geef als leidinggevende zelf het goede voorbeeld.

Gedrag is allesbepalend. Enkele aanbevelingen om te komen tot een privacybewuste organisatie:

Een icon boven de opsomming met maatregelen voor een privacybewuste organisatie: gedeelde waarden en cultuur.

Gedeelde waarden en cultuur

  1. Vertrek bij de implementatie vanuit eigen waarden
  2. Motiveer veranderingen vanuit waarden
  3. Maak consequenties tastbaar door leidende principes te delen
  4. Communiceer structureel over privacybewust handelen
  5. Deel best practices
  6. Benadruk de gezamenlijke verantwoordelijkheid
  7. Leg verantwoording af. Dit zorgt voor bewustwording

Een icon boven de opsomming met maatregelen voor een privacybewuste organisatie: supporten van privaybewust gedrag.

Supporten van privacybewust gedrag

  1. Geef het onderwerp privacy een plek binnen de leiderschapsvisie
  2. Besteed bij onboarding van leidinggevenden aandacht aan privacy
  3. Train leidinggevenden sturing te geven op privacy
  4. Neem bij de beoordelingssystematiek het supporten van privacybewust gedrag op
  5. Deel uitgangspunten, risico’s en kansen met managers en leidinggevenden
  6. Maak bij vernieuwingen, veranderingen en projecten een risico-inventarisatie met bijbehorende tegenmaatregelen over privacy
  7. Geef het goede voorbeeld als leidinggevende

Een icon boven de opsomming met maatregelen voor een privacybewuste organisatie: herkennen van situaties en risico's.

Herkennen van situaties en risico’s

  1. Deel leidende principes en achterliggend privacybeleid met medewerkers
  2. Besteed bij onboarding aandacht aan privacy en deel uitgangspunten
  3. Investeer in kernvaardigheden en bied structureel trainingen aan
  4. Leg een kennisdatabank aan. Deel de voortgang en ervaringen
  5. Organiseer een servicepunt of vraagbaak
  6. Betrek medewerkers bij het bedenken van oplossingen
  7. Motiveer en beloon privacybewust gedrag en neem dit op in de beoordelingssystematiek

Privacy is geen checklist

Heeft een organisatie al technische en organisatorische maatregelen genomen en is een organisatie ook al ver met bovenstaande interventies? Dan kan gesteld worden dat een organisatie al privacybewust handelt. Zie privacy – en ook de aanbevelingen in dit artikel – echter vooral niet als lijstje dat je kunt afvinken. Het is zaak privacy echt in de kern van de organisatie te borgen. In het hart. En laten we wel zijn: van hoofd naar hart kan een lange reis zijn. Neem daarom ook na 25 mei 2019 de tijd om privacy verder in te laten bedden. Want een jaar na de invoering van de AVG zijn veel organisaties op papier compliant, maar mag het hart nog wat sneller gaan kloppen van privacy. Een belangrijk thema dat er echt toe doet.