Print:

Tips voor privacy-awareness met een Smile

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Om bewustwording te creëren voor dataprotectie en de Algemene verordening gegevensbescherming (AVG) is veel meer nodig dan een eenmalige campagne. Wendy Geurkink, directeur van het Nederlandse softwarebedrijf Smile, vertelt over het belang van een integrale aanpak. En geeft praktische tips om werk te maken van privacy- en security-awareness.

Veel organisaties hebben bij de implementatie van de Algemene verordening gegevensbescherming (AVG) vooral een juridische en technische bril opgezet. De werkvloer is vaak al via een speciale bewustwordingscampagne geïnformeerd over de veranderingen. Maar er is nog veel werk aan de winkel, zegt Wendy Geurkink, directeur van Smile, dat online software-oplossingen levert voor onder andere privacy en informatiebeveiliging. “Het is nu tijd om rustig, serieus en integraal te kijken naar inbedding van bewustwordingsprogramma’s in de lopende processen voor bijvoorbeeld risicomanagement en kwaliteitsborging.”

Dataprotectie & Privacy congres | IIR

 

“Natuurlijk moeten juridische zaken en technische maatregelen goed geregeld zijn. Een sterk juridische en technische insteek maakt het echter moeilijk om dataprotectie echt te laten landen op de werkvloer”, zegt Geurkink, die op 27 september tijdens het Dataprotectie & Privacy Congres van IIR een workshop over privacy- en security-awareness verzorgt. “Bovendien bestaat het risico dat je vooral bezig bent om de buitenkant op te poetsen: op de website staan de privacyverklaring en het privacybeleid, terwijl de zorgvuldige omgang met persoonsgegevens nog niet in de organisatie is ingebed.”

Agile risicomanagement

Geurkink is ervan overtuigd dat AVG-compliance pas echt van de grond komt als dataprotectie wordt meegenomen in bestaande methoden voor risico-, kwaliteits- en veiligheidsmanagement. “In feite is de bescherming van persoonsgegevens sinds 25 mei 2018 een extra risicogebied en een nieuwe kwaliteitseis. Smile gelooft in agile risicomanagement. Daarbij worden beleid en maatregelen vertaald in een aantal toegankelijke toetsvragen. Deze vragen staan vervolgens centraal in interne self-assessments, die medewerkers als onderdeel van hun dagelijkse werk invullen. Dit geeft inzichten in de mate waarin het beleid wordt nageleefd en creëert bewustwording van de thematiek.” De methode biedt ook mogelijkheden om in kaart te brengen wat er beter kan – en om hiervan te leren. Op die manier ontstaat een continue verbetercyclus voor het privacybeleid én structurele aandacht voor het ontwerp dataprotectie.

Vier tips

“De beste resultaten worden geboekt door organisaties die de implementatie van de AVG niet als een eenmalig project zien, maar hun informatiebeveiligingsbeleid uitbouwen tot een integraal privacy- en informatiebeveiligingsbeleid,” vat Geurkink haar advies samen. Vier concrete tips uit de werkpraktijk van Smile.

1. Maak het praktisch voor de werkvloer

“Veel werknemers hebben moeite met ingewikkelde juridische of technische verhalen: zij willen vooral weten waar ze concreet rekening mee moeten houden”, legt Geurkink uit. “Dat vraagt om een praktische vertaling van de wetgeving naar de dagelijkse werkpraktijk. Deze concretiseringsstap is misschien wel de grootste uitdaging van de AVG. De wet geeft nu eenmaal kaders die organisaties zelf moeten invullen en waarover nog geen jurisprudentie bestaat. Daardoor blijven zaken nogal eens vaag en krijgt de werkvloer onvoldoende grip op de materie.”

“Dataprotectie is niet iets dat je vanuit een ivoren toren uitrolt. Ook een eenmalig bewustwordingsprogramma is niet effectief”, vult Geurkink aan. “Het werkt beter om medewerkers op de werkvloer regelmatig te laten stilstaan bij wat ze praktisch kunnen doen en waarom dat belangrijk is.” Vooral het antwoord op de waaromvraag is volgens Geurkink belangrijk. “Als mensen niet snappen waarom ze iets moeten doen, dan vinden ze het al snel onhandig of tijdrovend. Dat komt de naleving natuurlijk niet ten goede.”

2. Zoek de feedback op

Met self-assessments kunnen beleidsvisies en -maatregelen worden gekoppeld aan uitdagingen voor de werkvloer. Een dergelijke evaluatie is een ideaal startpunt om een feedbackloop op gang te brengen die organisaties helpt om continu verbeterslagen te maken. Geurkink: “De praktijk laat zien dat mensen hun eigen gedrag in een self-assessment kritischer beoordelen dan gebeurt via traditionele audits. Een positief neveneffect is dat de werkvloer de uitkomsten ook in een team kan bespreken; deze ervaringen kunnen vervolgens weer op beleidsniveau worden meegenomen. Op die manier stimuleren organisaties een enorm verbeterpotentieel en handelen medewerkers steeds meer in lijn met de wet.”

Onderdeel van de feedbackloop is niet alleen dat het beleid en bewustzijn op het vlak van privacy naar een hoger plan worden getild, benadrukt Geurkink. “Idealiter worden in de self-assessments alle terreinen gedekt waarop de organisatie risico kan lopen. Op alle thema’s is het mogelijk dat de naleving in de praktijk flink afwijkt van de gewenste situatie. Dan is het de vraag: moeten we op die vlakken extra inspanningen verrichten, of moet het beleid misschien aangepast worden?”

3. Kijk verder dan privacy champions

Self-assessments kunnen onder een groot deel van de medewerkers worden uitgezet. Het is ook mogelijk om gebruik te maken van privacy champions, die de toetsvragen invullen en in hun teams bespreken. Zorgvuldigheid is hierbij wel geboden, waarschuwt Geurkink. “Bij een sterke focus op privacy champions – of initiatieven zoals de privacymedewerker van de maand – ontstaat het risico dat andere medewerkers gedemotiveerd raken. Uit Organisational Behaviour Management weten we dat belonen beter werkt dan straffen. Wie alleen de koplopers beloont, zegt daarmee impliciet dat anderen verliezers zijn – en zo geef je hen eigenlijk een straf in plaats van een positieve stimulans.”

Geurkink geeft als voorbeeld van hoe het wél kan een zorginstelling die alle medewerkers die een self-assessment hebben ingevuld een persoonlijke e-mail stuurt met een compliment. “Ook degenen die nog niet zo hoog scoren worden bedankt voor hun medewerking en prestatie. Vanuit die basis worden kleine stappen vooruit gezet. Zo werkt het bij de AVG natuurlijk ook: geen enkele organisatie is helemaal klaar met de implementatie, niemand weet precies wat de wet inhoudt. Je kijkt naar de verbeterpunten en gaat daarmee verder.”

4. Zie dataprotectie als kwaliteitsnorm

“Dataprotectie is anno nu simpelweg een van de kwaliteitseisen waarmee elke organisatie rekening moet houden. Niet meer en niet minder”, stelt Geurkink. “Het creëren van bewustwording is uiteraard best een flinke klus. Maar wie aansluiting zoekt bij wat er al is – bijvoorbeeld op het vlak van kwaliteit en veiligheid – kan er veel makkelijker mee aan de slag, zonder dat het voor de werkvloer een extra opgave wordt.”

Geurkink ziet de bescherming van persoonsgegevens ook als onderdeel van maatschappelijk verantwoord ondernemen (MVO). “Het is eigenlijk heel normaal dat we goed omgaan met persoonsgegevens en de AVG maakt ons daarvan bewust. Als je dat aan de werkvloer kunt overbrengen, heb je direct een voedingsbodem voor goede naleving. Iedereen wil graag werken zonder dat er kinderarbeid of milieuschade bij komt kijken – en dus ook zonder dat de bescherming van persoonsgegevens onder druk staat.”

Wendy Geurkink is een van de vele sprekers tijdens het tweedaagse Dataprotectie & Privacy Congres op 26 en 27 september 2018 in Amsterdam. Bekijk het volledige programma en boek tickets op de website van IIR.

Dataprotectie & Privacy Congres | IIR

 

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten