Privacy awareness: hoe doe je dat?
We hebben vaak de neiging om datalekken en andere privacyproblemen te associëren met kwetsbare systemen en grote hacks, maar in de praktijk vormen mensen het grootste privacyrisico. In een rapport van de Autoriteit Persoonsgegevens lazen we dat in het laatste kwartaal van 2017 maar liefst 50% van de datalekken te wijten was aan het versturen van persoonsgegevens aan een verkeerde ontvanger. Uiteindelijk zijn het dus de mensen op de werkvloer die een cruciale rol spelen in de bescherming van persoonsgegevens. Het is daarom van belang dat werknemers weten wat privacy betekent, waarom gegevensbescherming zo belangrijk is en wat de regels zijn voor het werken met persoonsgegevens. Nu kennen we allemaal de methode van het ophangen van lijstjes bij het koffiezetapparaat, maar hoe ga je nou een stapje verder in het creëren van awareness?
Belang van awareness
Privacy awareness houdt in dat je als organisatie er alles aan moet doen om ervoor te zorgen dat privacy tussen de oren van de werknemers komt. Iedereen op de werkvloer moet zorgvuldig met persoonsgegevens omgaan en weten wanneer de “privacy belletjes” moeten rinkelen. Met het oog op de verantwoordingsplicht moet een organisatie ook kunnen aantonen dat er voldoende is gedaan om dit te realiseren. Een belangrijk agendapunt dus, maar hoe pak je dat aan? In deze blog vind je een aantal tips & tricks voor het opzetten van privacy awareness initiatieven.
1. DoelenPrivacy awareness is een proces van investeren in communicatie en training waardoor privacy verweven wordt in de cultuur van een organisatie. Zelf gebruik ik graag de Engelse term ‘awareness’ in plaats van het Nederlandse ‘bewustzijn’ omdat deze term een soort actievere mind-set impliceert. Awareness creëren is niet gemakkelijk. We kennen allemaal de “10 gouden regels van informatiebeveiliging” die op de bureaus staan of de grappige poster over privacy die op de wc hangt. Deze initiatieven kunnen natuurlijk bijdragen aan het bewustzijn, maar uiteindelijk ga je voor gedragsverandering in plaats van alleen quick wins. Ten slotte is het ook belangrijk om na te denken over het meten van privacy awareness, bijvoorbeeld door het inzetten van een kennistests of enquêtes. Op deze manier kan je als organisatie een gekwantificeerd beeld vormen van het niveau en uitzoeken wat effectieve methodes zijn voor het verhogen van awareness.
2. Training en e-learningHet belangrijkste middel is het trainen van je personeel. Vooral de medewerkers die direct in aanraking komen met persoonsgegevens of beleid maken moeten goed weten hoe de praktijk de AVG raakt. Gegevensbescherming is een complex onderwerp dus het is van belang dat de deelnemers van een training uitgedaagd worden om actief na te denken over wat privacywetgeving betekent voor de dagelijkse werkzaamheden. Om de training goed te laten aansluiten worden trainingen vaak op afdelingsniveau ingestoken. Zo is er genoeg ruimte om bijvoorbeeld HR-voorbeelden of marketingvraagstukken te behandelen. Het aanbieden van in-person training aan alle medewerkers is vaak een grote uitdaging. In dat geval kan ervoor gekozen worden om een e-learning in te zetten om medewerkers ook online te kunnen trainen. Wanneer de e-learning gepaard gaat met een toets kunnen de resultaten gebruikt worden om een idee te krijgen wat het kennisniveau is binnen de organisatie.
3. BoodschapOm ervoor te zorgen dat een werknemer intrinsiek gemotiveerd raakt om privacy centraal te zetten in de praktijk, heb je een effectieve boodschap nodig. Het uitgangspunt van de communicatie moet dus niet een lijstje met droge regeltjes zijn, maar de boodschap moet ervoor zorgen dat de werknemer goed kan begrijpen hoe een inbreuk op privacy een individu kan schaden. Wees daarom vooral niet bang om de werknemers als persoon aan te spreken zodat zij de waarde van privacy, of de inbreuk daarop, goed kunnen begrijpen. Een grote uitdaging bij het communiceren over privacy is het voorkomen van een puur juridische benadering. Zorg er dus voor dat je boodschap aansluit bij je doelgroep: voorkom moeilijke begrippen en gebruik aansprekende voorbeelden uit de praktijk.
4. CommunicatieWanneer er geïnvesteerd wordt in privacy communicatieplannen, zorg er dan voor dat er naar een duurzaam plan toegewerkt wordt. Richt je dus niet alleen op het ‘afvinken’ van awareness op lijstje met AVG activiteiten, maar maak een campagne die jaarlijks herhaald kan worden. Effectief communiceren gaat ook over het herhalen van een belangrijke boodschap. Zo kan een onderwerp als datalekken herhaaldelijk terugkomen om ervoor te zorgen dat men het onthoudt en alert blijft. Herhaling is dus goed, maar voorkom privacy overload! Dat wil zeggen dat je ervoor moet waken dat je werknemers “privacy-moe” worden. Bij het communiceren over privacy is het ook handig om natuurlijke communicatiemomenten te gebruiken om privacy in te verweven. Zo kan het een vast onderdeel worden van kwartaalbijeenkomsten of functioneringsgesprekken. Ook kan het onderwerp privacy awareness gecombineerd worden met andere onderwerpen zoals informatiebeveiliging en cybersecurity. Zo heb je wellicht een groter budget of meer draagkracht en is de kans groter dat je de overload aan communicatie in de hand houdt.
Kort samengevat
Privacy awareness is een belangrijk punt op de agenda voor het voldoen aan de AVG, echter is het uitvoeren niet altijd makkelijk. In deze blog besprak ik de volgende tips:
- Ga op het gebied van awareness voor gedragsverandering in plaats van quick-wins
- Maak een duurzaam plan die elk jaar herhaald kan worden
- Zorg ervoor dat je boodschap begrijpelijk en leesbaar is
- Organiseer (jaarlijks) training en/of e-learning voor alle medewerkers
- Combineer communicatie over privacy met bijvoorbeeld informatiebeveiliging
- Gebruik de kracht van herhaling maar voorkom ‘privacy overload’
- Kwantificeer resultaten om voortgang te monitoren en om aan het accountability principe te voldoen
Meer weten? Privacy Company verzorgt naast advies en trainingen over de AVG, ook in-house trainingen en presentaties met een focus op privacy awareness. Privacy Company biedt ook een privacy awareness e-learning die door ons gehost kan worden of kan worden geïmplementeerd in de leeromgeving van de organisatie. Wil je hier meer over weten? Neem dan contact met ons op via info@privacycompany.eu.