Home / Blogs en vlogs / avg / Privacy: voor bewustmaking van medewerkers moet je wat doen
vrijdag 26 oktober 2018

Privacy: voor bewustmaking van medewerkers moet je wat doen

Voor het naleven en toepassen van de nieuwe privacyregels (AVG), is bewustmaking van medewerkers (‘awareness’) van het grootste belang. Dat gaat niet makkelijk, daar moet je wat voor doen. Volgens Henri Lepoutre, privacy-officer AWVN, is het aan te raden om eenrichtingsverkeer in de communicatie te vermijden en de serieuze boodschap ietwat luchtig te verpakken.

Tijdelijk unieke welkomstaanbieding voor AWVN-leden: Privacy Nexus Lite (privacy management software) van 900 euro voor 750 euro per jaar (ex BTW)

De term awareness is buiten de groep privacy-pro’s nog (te) weinig bekend. Letterlijk betekent het ‘bewustzijn’, maar juister is ‘bewustmaking’ door voorlichting en training – in de wandeling al snel awareness-training genoemd. Niet zo’n fraaie term, maar naast TOMs en Pia’s e.d., kan dat er ook nog wel bij. Maar dat terzijde.

Nog geen prioriteit
Waar moeten we ons bewust van zijn? Het betreft de noodzaak van gegevensbescherming, het beleid van de organisatie, en concrete do’s en don’ts met betrekking tot het gebruik van ICT-bedrijfsmiddelen.
De basis voor awareness-training is artikel 32 lid 4 AVG (“De verwerkingsverantwoordelijke ….treffen maatregelen …. dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke …. en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt…”), en artikel 39 lid 1 AVG (functionaris gegevensbescherming heeft taak “toezien op bewustmaking en opleiding van het bij de verwerking betrokken personeel”). Dat is dus een duidelijke verplichting, maar in alle reuring die de AVG teweegbrengt, heeft dit onderdeel nog geen topprioriteit. En dat zou wel moeten, want de vuistregel is dat 80 procent van de risico’s is gelegen in menselijk gedrag, en niet in de technologie. En van dat gedrag is het grote deel onopzettelijk, maar wel potentieel schadelijk.

Ongestructureerde data: bron van data-lekgevaren
Het gebruik van ICT-bedrijfsmiddelen is echter voor de meerderheid van werknemers geen hobby. Doel en bediening zijn niet voor iedereen even duidelijk. Meer in het algemeen ook zijn werknemers een beetje overvoerd naar hun gevoel met voorschriften, gedragsregels, codes en manuals, hoe goed bedoeld allemaal ook. Het resultaat is dat veel applicaties nogal creatief worden gebruikt, er work-arounds worden gevonden, de toepassing wordt vermeden. Ook omdat alle gegevens volgens de regels verwerken (verzenden, opslaan, zoeken) domweg meer tijd kost, wat ten koste van de productiviteit gaat. Dat effect is schadelijk voor de bedrijfsvoering, jammer van alle investeringen in geld en tijd door de organisatie – maar hier is vooral van belang dat het de bescherming van persoonsgegevens en andere bedrijfsgegevens veel kwetsbaarder maakt. Waar gegevens zijn verwerkt en opgeslagen conform het bedrijfsbeleid (‘gestructureerde data’), zijn ze beheersbaar en kan de organisatie aan de AVG-verplichtingen voldoen. Maar de onbekende grootheid aan elders opgeslagen data, in e-mailboxen, harde schijven van laptops en telefoons en tablets, op losse gegevensdragers, de ‘ongestructureerde data’, is een bron van data-lekgevaren, en het niet kunnen voldoen aan AVG-verplichtingen.

Goede verpakking
Dus hoe nodig bewustmaking van medewerkers ook is, het organiseren ervan is niet vanzelf een feestje. Daar moet je wat voor doen. Zenden in eenrichtingsverkeer van normen is een onvermijdelijk element, maar door een goede verpakking is veel weerstand te overwinnen. Er zijn gelukkig veel ondersteunende middelen die de goede boodschap op een prettige, compacte en begrijpelijke manier weten over te brengen. Denk aan video’s in de vorm van instructie, e-learning (al dan niet met een toets tot besluit) of een game, individueel online of groepsgewijs offline te spelen. Iedere vorm die interactief is helpt, al was het maar door de gelegenheid te bieden aan gebruikers de ergernissen eens te ventileren. Ook zaken als ethische social engineering en mystery guests kunnen op hilarische wijze de noodzaak van bescherming aantonen.
Wat bij dit alles helpt, is dat veelvuldig het gevaar van datalekken in het nieuws komt. Werknemers hebben dus steeds meer het bewustzijn van de noodzaak al aangekweekt gekregen, en wachten ook op duidelijk beleid en duidelijke instructies vanuit hun werkorganisaties. Voor werknemers is ook een overtuigend argument dat de bedrijfstrainingen in awareness tevens privé vruchten geeft. Bedenk ook dat de training niet eenmalig is, maar frequent moet zijn. Dat kan uiteraard in korte updates, herhalingen, delen van ontwikkelingen, leren van misstappen, enzovoort.

Organisatiebreed profiteren
Voor organisaties is er nog een argument om tijd en geld te besteden aan de training. In plaats van de AVG louter te zien als een investering in compliance, is het een veel beter idee om een plan op te stellen dat de organisatie in staat stelt aan de eisen van de AVG te voldoen én tegelijkertijd organisatiebreed te profiteren van een effectiever gegevensbeheer door dat in de ICT-structuur te normeren en te stroomlijnen en niet langer onbeperkte opslagcapaciteit ter beschikking te stellen.
Mijn voorzichtige conclusie is dat de ervaringen positief zijn als de serieuze boodschap wat luchtig wordt verpakt, niet alleen schriftelijk is, deels interactief is, blijk geeft van een reëel begrip van de eigen bedrijfssituatie, en duidelijk, compact en begrijpelijk is. Om meerdere redenen is de investering in goede training zeer de moeite waard.