De derde stap in het implementatieproces van de privacyverordening: awareness

‍Fouten maken is menselijk. Per ongeluk een kop koffie over je laptop gooien kan iedereen overkomen. Maar sommige foutjes, zoals het verliezen van een onbeveiligde USB-stick, hebben verdergaande gevolgen wanneer er persoonsgegevens bij betrokken zijn. De derde stap in het implementatieproces van de privacyverordening (stap 1: voorbereiding, stap 2: data-inventarisatie) is het trainen van werknemers op privacy bewustzijn. In deze post laat ik zien dat awareness onder de werknemers belangrijk is voor compliance en aan welke maatregelen je kunt denken.

Organisatorische maatregelen en awareness

Fouten zoals het verliezen van een onbeveiligde USB-stick zijn in de meeste gevallen te voorkomen wanneer er binnen de organisatie de juiste technische en organisatorische maatregelen getroffen zijn om te voorkomen dat persoonsgegevens verloren gaan of onrechtmatig worden verwerkt als gevolg van vaak menselijke fouten. Een voorbeeld van een technische maatregel is een goede virusscanner of het gebruik maken van versleutelde e-mail. Maar het treffen van de juiste organisatorische maatregelen bestaat voor een groot gedeelte uit het creëren van bewustzijn onder de werknemers hoe ze bepaalde privacygevoelige situaties kunnen herkennen en voorkomen.

Zie hieronder een lijstje met een aantal voorbeelden van organisatorische maatregelen.

Organisatorische beveiligingsmaatregelen

• Clean desk beleid
• Laptop niet onbemand achterlaten
• Laptop nooit achterlaten in de auto
• Privacy schermen voor medewerkers
• Oude documenten op juiste manier vernietigen
• Zorgvuldig gebruik van USB-sticks

Deze organisatorische maatregelen vloeien voort uit bewust handelen. Bijvoorbeeld het ‘clean desk beleid’ waarbij de werknemers begrijpen dat, wanneer zij hun werkplek verlaten, zij geen privacygevoelige informatie achterlaten. Een ander voorbeeld is een werklaptop nooit achterlaten in de auto. Ook is het belangrijk dat werknemers beseffen dat bellen met klanten ook een privacygevoelige situatie kan zijn wanneer zij in een openbare ruimte zijn.

Het belang van awareness en training

Het ontbreken van privacy awareness binnen een organisatie is een compliance risico en heeft tot gevolg dat er een hoger risico is op het krijgen van een boete wanneer er bijvoorbeeld een datalek is of persoonsgegevens niet op de juiste wijze worden verwerkt. Om die reden is het trainen van de werknemers een belangrijke stap die gezet moet worden in het implementatieproces van de privacyverordening binnen een organisatie. Fouten maken is menselijk maar wanneer een organisatie verzaakt heeft om de werknemers bewust te maken van de privacy kwesties die er zijn en de werknemers niet getraind zijn om dergelijke kwesties te kunnen herkennen, kan een organisatie niet aantonen dat zij in ieder geval hun best hebben gedaan om het datalek of de onjuiste verwerking van persoonsgegevens te voorkomen.

Awareness begint bij de basiskennis ten aanzien van privacy gerelateerde onderwerpen in het algemeen. Het bewerkstelligen van awareness wordt bereikt door effectieve training van de werknemers waarbij gestuurd wordt op gedragsverandering en bestendiging van het gedrag zodat werknemers situaties en risico’s zelf kunnen herkennen. Het trainen van de werknemers die met persoonsgegevens werken is ook een van de kerntaken van de Functionaris Gegevensbescherming die voor sommige organisaties verplicht is om aan te stellen onder de Algemene Verordening Gegevensbescherming.

De juiste training

Kortom het creëren van awareness binnen een organisatie en de medewerkers daar ook naar laten te handelen is afhankelijk van de juiste training. Door middel van training leer je de werknemers op je juiste manier om te gaan met privacy kwesties binnen de bedrijfsprocessen. Privacy Company verzorgt trainingen in vele vormen en maten. Van het begeleiden van de Functionaris Gegevensbescherming tot het geven van awareness trainingen afgestemd op het niveau van de cursisten.