Schrijf je in voor de nieuwsbrief en volg ons op Twitter en LinkedIn

Hoe creëer je een organisatiecultuur waarin incidenten zonder angst gemeld kunnen worden?

Een van de meest besproken datalekken van de afgelopen tijd is de situatie van Barbie. Samantha de Jong, die door realityprogramma’s bekend werd als Barbie, belandde in Januari dit jaar in het ziekenhuis nadat zij een zelfmoordpoging had gedaan. Vervolgens kwam het nieuws naar buiten dat tientallen medewerkers van het ziekenhuis zonder bevoegdheid haar patiëntendossier hebben ingezien. Het ziekenhuis heeft in een verklaring laten weten dat er gekeken zou worden of medische gegevens in de toekomst beter beschermd kunnen worden. Ook lieten ze weten dat er maatregelen getroffen zouden worden tegen de medewerkers die ongeoorloofd het dossier hebben ingezien.

Wat die maatregelen zijn geweest is niet duidelijk. Dit kan bijvoorbeeld betekenen dat de medewerkers in overtreding een aantekening in het personeelsdossier hebben gekregen en het kan zelfs betekenen dat zij zijn ontslagen. Wellicht voelt ontslag als een rechtvaardig besluit, maar het is ook vreemd. Als het ziekenhuis meldt dat werkprocessen en systemen aangepast zullen worden en als er naar aanleiding van dit incident geïnvesteerd gaat worden in privacy awareness, waren al die factoren dan niet de oorzaak van een incident? In welke mate moeten de werknemers dan gestraft worden?

Angst om te melden

Waar mensen werken worden fouten gemaakt, dat is een feit. Helaas kunnen die fouten leiden tot vervelende incidenten, zoals het hierboven beschreven datalek. Als organisatie doe je uiterste best om te begrijpen waar zo’n fout vandaan komt zodat er maatregelen genomen kunnen worden om dergelijke incidenten in de toekomst te voorkomen. Om een waardevolle les te leren van incidenten is het belangrijk dat er over die incidenten gecommuniceerd wordt. Toch zijn werknemers vaak terughoudend in het melden van incidenten omdat het gepaard gaat met een schuldgevoel of angst voor repercussies.

Stel je voor dat een medewerker van hetzelfde ziekenhuis kort na het Barbie-incident een USB-stick verliest met patiëntendossiers. Die medewerker heeft gezien dat fouten afgestraft worden met ontslag. De kans is dan aanwezig dat hij/zij ervoor kiest om het incident niet te melden. De consequentie hiervan is dat de organisatie niet heeft kunnen leren van dit datalek. Ook kan het datalek alsnog aan het licht gebracht worden, waardoor de situatie kan escaleren. Zo riskeert de het ziekenhuis een tik op de vingers van de AP vanwege een ongemeld datalek en kan het lek voor de patiënt grote gevolgen hebben. Daarom is het belangrijk om een organisatiecultuur te creëren waarin incidenten gemeld en besproken kunnen worden.

Het creëren van een “just culture”

Hoe creëer je een organisatiecultuur waarin incidenten zonder angst gemeld kunnen worden? Om deze vraag te kunnen beantwoorden kunnen we veel leren van de gezondheidszorg. In de gezondheidszorg hebben incidenten vaak grote consequenties en daarom is er veel onderzoek naar gedaan. In deze sector wordt gesproken van een ”just culture”. Men is geneigd om de ernst van de uitkomst mee te wegen in het oordeel over iemand die die uitkomst veroorzaakt heeft. De kern van een “just culture” is dat je mensen niet beoordeelt op basis van de uitkomst, maar op basis van hun gedrag voorafgaand aan die uitkomst.

In een blog van Discura wordt dit beschreven aan de hand van een passend voorbeeld:

"Door rood rijden wordt zwaarder gestraft als je daarna iemand dood rijdt. De uitkomst is echter regelmatig afhankelijk van toeval; er stak toevallig net iemand de weg over. Focus op de handeling, door rood rijden, biedt veel meer mogelijkheden om te leren en de veiligheid te verbeteren. Waren het systeemoorzaken (remkabel kapot, stoplicht achter boom, laaghangende zon) of was het een keuze om door rood te rijden (haast, geen zin om te stoppen). Het eerste kan je verbeteren, het tweede is gedrag en daarover dien je verantwoording af te leggen.”

Gedrag beoordelen

Een just culture betekent niet dat je “blame free” bent wanneer je een incident veroorzaakt; het betekent dus wel dat de consequenties voor de medewerker moeten afhangen van het gedrag voorafgaand aan het incident. David Marx, auteur van het boek 'Whack a Mole: The price we pay for expecting perfection', onderscheidt drie soorten gedrag:

  • Normaal
  • Risicovol
  • Roekeloos

Bij risicovol gedrag is de betrokkene zich niet bewust van het risico of heeft hij/zij een weloverwogen afweging gemaakt. Bij roekeloos gedrag is er sprake van een bewuste keuze en weegt het risico niet op tegen de mogelijke winst. Volgens Marx moet je normaal gedrag stimuleren, risicovol gedrag moet je coachen, roekeloos gedrag moet je bestraffen, los van de ernst van de uitkomst van het incident. Roekeloos gedrag kan echter niet zonder gevolgen blijven.

Beleid maken

Wat kan je hiermee als organisatie? In het streven naar een just culture is het raadzaam om een om een respectvolle en transparante procedure vast te leggen waarmee je de rol van iemand die betrokken is geweest bij een incident zo objectief mogelijk beoordeelt. Zo weet iemand vooraf hoe hij of zij beoordeeld zal worden en achteraf is het duidelijk om iemand zich terecht schuldig mag voelen. Zo is het in ziekenhuizen gebruikelijk dat er beslisbomen zijn ontwikkeld voor het afhandelen van incidenten. Een organisatie kan op deze manier vooroordeelvrij kijken naar ieders rol in een incident, zonder het benoemen van verantwoordelijkheden uit de weg te gaan. Wil je dat incidenten gemeld en besproken kunnen worden binnen jouw organisatie? Dan moet het eenvoudig, zinvol én veilig zijn om deze incidenten te melden.

Meer weten? Privacy Company adviseert je graag op het gebied van privacy in uw organisatiecultuur. Neem dan contact met ons op via info@privacycompany.eu.

Author image
Iris Huis in 't Veld
Adviseur bij Privacy Company


Dit vind je misschien ook interessant: