Print:

Privacy en security-awareness onder de AVG: 3 lessons learned

Ferry Waterkamp, Journalist

LinkedIn profiel

Een verkeerd geadresseerde e-mail, een verloren smartphone of inloggegevens die in verkeerde handen vallen.. Als hierdoor persoonsgegevens op straat liggen, kan dit onder de Algemene Verordening Gegevensbescherming (AVG) leiden tot een forse boete. Hoe maak je iedereen bewust van de risico’s van een onzorgvuldige omgang met persoonsgegevens? Tijdens IIR’s actualiteitencongres ‘Implementatie AVG’ deelt Hans van Impelen, FG van de gemeente Utrecht, de geheimen van een effectieve privacy- en security-awarenesscampagne.

Uitdaging

Volgens de functionaris voor de gegevensbescherming onderschatten veel organisaties nog altijd de impact van de AVG. “Vaak wordt gedacht: de Wbp wordt de AVG, we hangen de bordjes om en klaar. Maar de nieuwe Europese privacyverordening vereist toch wel iets meer voorwerk. Zo moeten gemeentes alle gegevensverwerkingen goed documenteren en in een ‘register van verwerkingen’ vastleggen. Ook moet je hierin vastleggen wat de wettelijke grondslag is voor elke verwerking van persoonsgegevens. Die verplichting staat lang nog niet altijd scherp op het netvlies, zowel bij publieke als private organisaties.”

Het aanleggen van een verwerkingsregister kan met name voor een gemeente een uitdaging zijn. Van Impelen: “Bij de gemeente Utrecht hebben we te maken met circa 800 processen waarin data verwerkt worden.” Soms gaat het om duidelijke verwerkingen van persoonsgegevens, in andere gevallen om verwerkingen van gegevens die herleidbaar zijn tot personen. “Die moet je allemaal registreren. Als je daar nu niet mee begint, ben je eigenlijk te laat.”

Ver-van-mijn-bedshow

Onder aanvoering van een projectmanager ging de gemeente Utrecht dan ook al in september 2016 voortvarend aan de slag met de implementatie van de AVG. Met de AVG in het vooruitzicht heeft Utrecht de ‘Privacyverordening gemeente Utrecht’ aangepast. Daarnaast is in deze Privacyverordening vastgelegd dat ieder organisatieonderdeel binnen de gemeente een aanspreekpunt moet hebben voor privacy- en informatiebeveiliging. Deze functionarissen komen periodiek bijeen in de Vakgroep Privacy- en Informatiebeveiliging, waaraan ook de CISO en de FG deelnemen.

“De gemeente Utrecht heeft privacy hoog in het vaandel staan”, stelt Van Impelen. Toch begrijpen we van hem dat de urgentie om met de AVG aan de slag te gaan niet direct leefde toen de nieuwe Europese privacyverordening op 4 mei 2016 officieel werd gepubliceerd.

“Het feit dat de AVG een implementatietermijn van twee jaar kende – vanaf 25 mei 2018 wordt deze van kracht – gaf al aan dat dit ingrijpend is voor alle organisaties in heel Europa”, aldus Van Impelen. In eerste instantie was er binnen de gemeente Utrecht geen budget gereserveerd voor de implementatie van de AVG. “Toen dit werd gesignaleerd, zijn middelen alsnog snel vrijgemaakt.”

“De AVG was voor velen binnen de organisatie nog een ver-van-mijn-bedshow”, vervolgt Van Impelen. “Dan moet je eerst het bewustzijn krijgen dat er toch wel iets ingrijpends staat te gebeuren. Zo verplicht die AVG overheidsinstanties tot het aanstellen van een FG. “En iedereen die met persoonsgegevens werkt – van hoger management tot aan de werkvloer – moet weten wat er in de AVG staat en wat je moet doen om aan de wetgeving te voldoen.”

Lessons learned

De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) verplicht gemeenten al om te investeren in de ‘privacy- en security-awareness’ binnen de organisatie. De AVG zet het onderwerp nog nadrukkelijker op de agenda. Niet altijd tot het genoegen van de medewerkers. “De reactie is nog weleens: ik werk toch niet met persoonsgegevens? Als je dan laat zien dat er in de verkeerstromen van zo’n persoon wel degelijk informatie zit die is te herleiden tot een individu – al zijn het maar IP-adressen, MAC-adressen of camerabeelden – dan opent dat vaak wel de ogen.”

Inmiddels heeft de gemeente Utrecht uitgebreid ervaring opgedaan met wat wel en niet werkt binnen een privacy- en security-awarenessprogramma. Van Impelen haalt drie ‘lessons learned’ aan:

  1. Privacy- en security-awarenesstrainingen verplichten werkt niet

“Overtuig mensen van de noodzaak van privacy- en security-awarenesstrainingen door concrete voorbeelden te geven van wat er mis kan gaan als er te weinig aandacht is voor privacy en security. Deel goede en slechte voorbeelden en mensen worden nieuwsgierig. Die voorbeelden kunnen een eyeopener zijn waardoor men sneller geneigd is om deel te nemen aan de sessies.”

  1. Leg niet alleen de nadruk op de onmogelijkheden

“Aan een verhaal met alleen ‘dit mag niet, dit kan niet’ heeft niemand iets. Geef ook aan wat er onder de geldende security- en privacywetgeving nog altijd wél mogelijk is.”

  1. Herhaling is de beste leermeester

Het verbeteren van de privacy- en security-awareness binnen de organisatie vereist een lange adem. “Dan is het belangrijk dat je niet iedere keer hetzelfde verhaal afsteekt, maar steeds op een andere manier je boodschap probeert over te brengen. Zet bijvoorbeeld ook filmpjes in, of maak gebruik van een ‘mystery guest’ die binnen probeert te komen. Binnen de gemeente Utrecht zijn we constant op zoek naar nieuwe methoden voor het stimuleren van de privacy- en security-awareness.”

Op zoek naar een AVG training?

Laat uw e-mail achter en ontvang de gids direct in uw mailbox.