Hoe houdt je de aandacht voor privacy en gegevensbescherming levendig na 3 jaar AVG?

Nu bijna 3 jaar na de introductie van de AVG  zie je dat dat basis voor AVG-compliance bij de meeste bedrijven en organisaties staat. Verantwoordelijkheden zijn belegd, processen zijn ingeregeld,  beleid is opgesteld en de medewerkers hebben een training gevolgd. Onder toeziend oog van de aangestelde privacy officer is er hard gewerkt om alles te implementeren en draaiende te houden. En dat is best veel. Voor privacy officers voelt het soms als ‘pompen of verzuipen’. Voor medewerkers als een ‘privacy overload’.


Het werk is op strategisch, tactisch en operationeel niveau, maar het operationele werk krijgt veelal voorrang. De collega van inkoop heeft déze week nog akkoord op de verwerkersovereenkomst nodig en het datalek móet vandaag worden gemeld. Inmiddels hebben we te maken met een pandemie die ook extra en nieuwe privacy vraagstukken voor organisaties met zich meebrengt. Zo wordt de stapel werk alleen maar meer en meer. 


De vraag van veel privacy officers is ‘hoe kan ik de basis onderhouden en tegelijkertijd verder uitbreiden?’, of ‘hoe zorg ik dat privacy in de haarvaten van de organisatie terecht komt?’ In deze blog geef ik je graag tips en vertel ik meer over hoe je dit effectief kan aanpakken. 


Nu de eerste basis is gelegd voor de AVG, noem het  AVG 1.0, hoe ziet dan privacy awareness 2.0 eruit en hoe pak je dat aan?


Loslaten

Privacy, of beter gezegd bescherming van persoonsgegevens, gaat iedereen aan binnen de organisatie. Iedereen komt ten slotte in zijn dagelijkse werk wel in aanraking met gegevens van personen, van collega’s, klanten of leveranciers. Het is dus niet raar dat één enkel persoon, de privacy officer, niet alle privacy  en persoonsgegevens bescherming vragen kan beantwoorden. Laat staan dat deze persoon in zijn eentje kan zorgen dat de interne processen en procedure (blijven) voldoen aan de AVG.

Als privacy officer is het dan ook zaak om ‘los te laten’. Werk delegeren aan de persoon die hierop invloed heeft en er verantwoordelijk voor is. We vinden het de normaalste zaak van de wereld dat de Manager Marketing zijn eigen budget heeft en hiervoor verantwoording aflegt. Waarom dan ook niet voor de data die wordt verzameld en verwerkt voor marketing doeleinden? We moeten er misschien nog even aan wennen, maar de Manager Marketing is prima in staat om deze verantwoordelijkheid te dragen.  Ga als privacy officer het gesprek aan met het management en zorg ervoor dat ze (mede) eigenaar worden van de privacy gerelateerde onderdelen binnen hun eigen taken pakket. 


Faciliteren

Met los laten alleen ben je er niet. Je kan natuurlijk niet verwachten van je collega’s dat ze allemaal privacy expert zijn en weten wat ze moeten doen om aan de AVG te voldoen.

Van belang is dan ook duidelijk te maken van wie wat verwacht wordt. Denk aan het oppakken en afhandelen van inzage verzoeken door de afdeling klantcontact. Zij kennen de klant als beste en weten welk communicatiemethode het beste bij ze past. Dat betekent ook dat je collega’s van de klantcontact afdeling een inzage verzoek als zodanig herkennen, dat er een procedure is die ze moeten volgen en weten waar ze terecht kunnen met complexe vragen. Je zal zien dat er al gauw 80% minder inzage verzoeken op het bureau van de privacy officer belanden en deze tijd overhoudt voor strategische en tactische vragen. 


Stimuleren

En dan de grote hamvraag, hoe krijg je al je collega’s zover. Hoe overtuig je het management van deze ‘uitbreiding’ van het takenpakket van collega’s? Hoe stimuleer je je collega’s om deze ‘nieuwe’ taak serieus op te pakken, waarvoor ze vaak zelf niet gekozen hebben.

Je collega’s moeten basis AVG kennis hebben om te begrijpen wat er aan de hand is. Belangrijk is dat dat deze kennis voor je collega’s relevant is zodat ze gestimuleerd worden om de taak zelf op te pakken. Door verschillende en leuke leervormen, maar ook doelgroep gericht de kennis over te dragen stimuleer je collega’s na te denken over hoe zij hun eigen taken en werkwijze privacy vriendelijk kunnen maken. Alleen als ze het belang inzien en de upside van het ‘extra’ werk, zullen ze bereid zijn om deze ook op te pakken. Bovendien geef je collega’s hierin ook het vertrouwen dat ze dit zelf kunnen. Maar ja, dat is weer een kwestie van loslaten. 


Vijf tips voor privacy awareness 2.0:

  • Deel je organisatie op in doelgroepen en bepaal voor wie welke kennis over privacy en gegevensbescherming relevant is;
  • Geef je collega’s praktische en gebruiksvriendelijke instructies en tools. Collega’s hoeven niet de hele wet te kennen om toch privacy-vriendelijk met persoonsgegevens om te gaan;
  • Benadruk in je communicatie het belang van de (AVG) regels en welk gedrag verwacht wordt en niet zozeer op de ‘droge’ regeltjes zelf;
  • Plaats het onderwerp in een organisatie-breder perspectief, door bijv. privacy awareness te combineren met informatie beveiliging.
  • Betrek de organisatie en de verantwoordelijken bij het aanpakken van de privacy vraagstukken en awareness.

Het onderhouden van de Privacy Awareness is niet een eenmalige actie en vergt natuurlijk continue onderhoud. Zeker nu werkend Nederland veelal vanuit huis werkt. Wil je weten hoe Privacy Company jou kan helpen om privacy bewustwording binnen je organisatie te stimuleren en daarmee je werk overzichtelijk te maken? Neem dan gerust contact op met ons via info@privacycompany.nl




Gepubliceerd op
AVG-compliance; AVG; Privacy Awareness; privacy officers; Privacy; Privacy Company