Bewustwording creëren, én behouden, binnen een organisatie - hoe pak je dat nou aan?

May 9, 2019

Als je kijkt naar de 10 stappen die de Autoriteit Persoonsgegevens heeft opgesteld om organisaties te helpen om zich voor te bereiden op de AVG, dan is het creëren van bewustwording de eerste stap. Dat is te begrijpen, want het is van cruciaal belang om bewustwording onder de werknemers te creëren als je als organisatie grip wilt houden op het onderwerp. Niet alleen van wat het onderwerp precies omvat, maar ook wat het voor de organisatie betekent. Hoe je zo’n interne ‘awareness campagne’ kan aanpakken, is te lezen is deze blog!

Nu, bijna een jaar na 25 mei 2018, zie je dat nog steeds veel organisaties worstelen om het onderwerp privacy levend te houden binnen de organisatie. Dit heeft, mijns inziens, twee belangrijke oorzaken:

  1. Wat privacy precies omvat, is lastig in een definitie te vervatten. Dit komt mede omdat privacy voor iedereen iets anders betekent. De ene persoon heeft zogenaamd ‘niets te verbergen’, de ander heeft moeite met de data-honger van organisaties. Dat leidt er ook toe dat binnen een organisatie werknemers anders naar het onderwerp kijken en dat dit zich waarschijnlijk ook terugvertaalt naar hoe zij binnen de organisatie met privacygevoelige informatie omgaan. Van het belang van het locken van de computer als de werkplek onbemand is tot het uitvoeren van een DPIA op een risicovol proces, er zullen altijd werknemers zijn dit ‘gedoe’ vinden.  De uitdaging zit hem daarom in het creëren van bewustwording op een manier die elke werknemer aanspreekt.
  2. Er wordt door de organisatie onvoldoende rekening gehouden met het feit dat privacy – net zo goed als elk ander onderdeel binnen de organisatie – onderdeel moet zijn van de bedrijfsvoering. De organisatie onderschat de impact van de implementatie van de AVG en wat het van de hele organisatie vraagt. In aanloop naar 25 mei werd de implementatie van de AVG regelmatig gezien als iets dat even snel moest gebeuren, dus werden er even wat werknemers voor vrij gemaakt. Na 25 mei 2018 is het eigenlijk pas echt begonnen, want nu staan organisaties voor de uitdaging om blijvend privacy compliant te zijn en dat vergt tijd en inspanning van zo’n beetje elke werknemer binnen de organisatie.

Dus hoe zorg je er nu voor dat je dit gedegen aanpakt, die blijvende bewustwording? De Autoriteit Persoonsgegevens geeft als belangrijk startpunt het op de hoogte brengen van de relevante mensen in de organisatie van de nieuwe privacyregels. Dit is uiteraard geschreven in aanloop naar 25 mei toe, maar dat neemt niet weg dat dit heel belangrijk is. Zeker voor de organisaties die privacy nog niet écht belegd hebben binnen de organisatie maar ook voor organisaties die dit wel reeds hebben gedaan, is het goed om een jaar laten nog eens te kijken of de huidige werkwijze aansluit bij de behoeftes van de organisatie. Heeft de huidige manier het gewenste resultaat opgeleverd?

Het samenstellen van een team en het beleggen van de rollen en verantwoordelijkheden


Creëer voelsprieten binnen de organisatie. Stel bijvoorbeeld Privacy Champions of Single Points of Contacts aan, zodat er een gedegen basis wordt gecreëerd. Die gedegen basis werkt het beste als er sprake is van een gemêleerde samenstelling van het privacy team. Zorg dat er mensen ‘uit de business’ betrokken zijn vanuit alle afdelingen van de organisatie. Zij zijn per slot van rekening de mensen die weten hoe de praktijk eruitziet. Betrek Juridische Zaken voor zover de organisatie juristen in dienst heeft. Zorg voor betrokkenheid van de afdeling communicatie, zij weten namelijk wat the tone of voice is als het gaat om communicatie met de klanten, maar ook met werknemers intern. En zorg voor commitment van het management. Als het management van de organisatie privacy voornamelijk als kostenpost ziet, dan wordt het een lastig project. Management dat intrinsieke motivatie heeft om privacy goed geregeld te krijgen, werkt daarentegen zeer goed. Het helpt de business om daadwerkelijk privacyvriendelijke oplossingen in te richten. Dit is voor de Privacy Officer – of degene die privacy als verantwoordelijkheid draagt – een welkome bijkomstigheid, want het gebrek aan capaciteit en commitment is een belangrijke oorzaak van de worsteling om blijvend compliant aan de AVG te zijn.

Ook het beleggen van deze verantwoordelijkheid bij één persoon is een ongewenste keuze. Het zorgt niet alleen voor een grote druk op die ene persoon, maar je bereikt er ook niet die mate van bewustwording mee waar de Autoriteit Persoonsgegevens het over heeft. Belangrijk is ook dat er wordt ingeschat hoeveel tijd en moeite het privacy team gaat kosten om privacy ingebed te krijgen binnen de organisatie. Zorg dus ook dat die mensen vrijgemaakt worden om die taak naar behoren uit kunnen voeren. Gebeurt dit niet, dan zal je zien dat de bewustwording van het onderwerp en de noodzaak ook snel zal terugzakken.

De bewustwording van de implicaties en gevolgen van de AVG


Zo, dat is geregeld. Het projectteam AVG is geborgd. Dat niveau van bewustwording is bereikt. Nu de andere uitdaging: Hoe zorg je dat alle mensen uit de organisatie, inclusief het projectteam, zich bewust zijn van wat privacy betekent en wat de AVG tot gevolg heeft?

Belangrijk is om eerst de visie van de organisatie vast te stellen; wat wil je dat de werknemers meekrijgen? Hoe belangrijk vindt de organisatie het onderwerp? Wat kunnen de werknemers verwachten van de organisatie? En niet geheel onbelangrijk; wat verwacht de organisatie van de werknemers? Zoals eerder gezegd; ga ervan uit dat werknemers – vanuit persoonlijk perspectief – verschillend naar het onderwerp ‘privacy’ kijken. Kies een manier van communiceren die de werknemer aanspreekt. Doorgaans werkt het goed om een bepaalde situatie die de organisatie belangrijk vindt – zoals zorgvuldig omgaan met fraudegevoelige informatie van klanten – op zo’n manier aan de werknemer mede te delen dat het belang ervan wordt begrepen vanuit het eigen perspectief. Gaat het bijvoorbeeld om de kopietjes van een paspoort, dan kan het belang van zorgvuldige omgang goed benadrukt worden. Zo kun je de werknemer in laten zien wat de gevolgen – ook voor hem of haar persoonlijk – zijn als er misbruik gemaakt wordt van die informatie, bijvoorbeeld in het geval van identiteitsfraude.



Bewustwording via afbeeldingen

Daarnaast is het belangrijk om goed na te denken over het medium dat gebruikt wordt, of beter nog; welke verschillende media er gebruikt worden. Een goed startpunt zou een mail van het management kunnen zijn waarin aandacht wordt gevraagd voor het onderwerp. Het blijven communiceren per mail leidt vaak helaas niet tot het gewenste resultaat, want we moeten al zoveel lezen. Een poster met daarop de hoogtepunten van de AVG is daarom ook een goed idee. Wellicht heeft de organisatie wel beeldschermen door het gebouw heen hangen waarop leuke narrowcasting over privacy getoond kan worden? Of houdt een keer een ‘schoon je mailbox middag’ waarin werknemers de tijd krijgen om hun mailbox eens echt goed op te schonen. Zo zijn er nog tal van andere leuke maar toch informerende manieren te bedenken om het bewustzijn onder de werknemers te vergroten.

En vergeet niet om ondertussen de verrichte inspanningen met betrekking tot bewustwording vast te leggen in een plan van aanpak! Aantoonbaar verantwoording kunnen afleggen, is een van de ‘key factors’ van de AVG. En als we het nu toch hebben over hoe je bewustwording aantoonbaar kan maken onder de werknemers en hoezeer dit een speerpunt is, dan leent e-learning zich daar ook uiterst goed voor. Een speciale privacy gerelateerde e-learning legt bijvoorbeeld direct vast of de werknemer de e-learning wel of niet heeft gevolgd. Op die manier kun je ook hardmaken dat je aandacht besteedt aan het onderwerp. Natuurlijk kun je ook trainingsdagen organiseren of awareness sessies geven. Die awareness sessies zouden bijvoorbeeld goed gegeven kunnen worden door de SPOCs van de afdelingen die in het privacy team zitten. Zij zijn immers de eerste aanspreekpunten in de organisatie als het gaat over privacy gerelateerde zaken binnen hun afdeling en zij zijn ook direct degene die het onderwerp het best kunnen vertalen naar wat er speelt binnen de afdeling.



Privacy als integraal onderdeel van de bedrijfsvoering


Ter afsluiting, de crux zit hem in de herhaling! Privacy is iets dat een natuurlijk onderdeel moet zijn of moet worden van de organisatie. Het is relatief eenvoudig om al het beleid rondom privacy op orde te krijgen. De echte uitdaging zit hem mijns inziens in de gedragsverandering van de organisatie en haar werknemers. Het veranderen van gedrag kost tijd en vergt inspanning en commitment. Dat is niet onhaalbaar of onrealistisch, want ik heb gemerkt dat als je de juiste mensen hierbij betrekt, zij in staat zijn om met elkaar en hun enthousiasme voor het onderwerp ervoor te zorgen dat de organisatie zich blijvend bewust is van het belang van privacy en dat de organisatie op die manier in staat is om grip te houden op privacy.

Download