Advies

Maak niet de organisatie, maar medewerkers AVG-proof

De nieuwe privacywet AVG heeft veel organisaties aangezet tot het formuleren van privacybeleid, het aanstellen van een Functionaris Gegevensbescherming (FG) en het nemen van technische en organisatorische maatregelen. Maatregelen waarmee organisaties op papier voldoen aan de AVG-eisen. Maar hoe zit het in de praktijk? In de praktijk is gedrag allesbepalend en zijn medewerkers de belangrijkste schakel. In hoeverre stuurt uw organisatie - aanvullend op technische en organisatorische maatregelen - op bewustzijn en in hoeverre voelen medewerkers en leidinggevenden zich al eigenaar van het onderwerp ‘privacy’? Wat is de staat van uw organisatie, een jaar na invoering van de AVG?

In 2018 betrof maar liefst 63% van alle ruim 20.000 meldingen van datalekken bij de Autoriteit Persoonsgegevens het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger.  Ook zijn veelvuldig usb-sticks kwijtgeraakt en persoonsgegevens per ongeluk gepubliceerd. In al deze gevallen gaat het om menselijke fouten, oftewel gedrag. Met alle aandacht voor technische en organisatorische maatregelen lijkt het erop dat aandacht voor concreet gedrag een ondergeschoven kindje is, of in ieder geval een onderwerp is dat juist nu aandacht behoeft.

Bron: Type Datalekken, uit Jaarrapportage meldplicht datalekken 2018, Autoriteit Persoonsgegevens.

 

Risico’s altijd aanwezig

Incidenten rondom de verwerking van persoonsgegevens zijn niet volledig te voorkomen. Niemand is perfect en menselijk falen is ons allen bekend. Een risico op een incident als een datalek is in elke organisatie aanwezig. Maar: blijvende aandacht voor privacy is wel een verantwoording waaraan organisaties niet ontkomen. Daarbij is aandacht voor technische en organisatorische maatregelen gericht op ratio, systemen en processen niet genoeg: als medewerkers top-down wordt opgelegd hoe zij moeten handelen - slechts ingegeven vanuit een verplichting waaraan moet worden voldaan - dan gaat het vroeg of laat fout. Zeker als processen en context veranderen. En daar helpen dan ook posters op de gangen van bedrijfslocaties, een hoekje op het intranet en een bewustwordingspresentatie over de AVG niet aan. Want alleen zeggen dat dingen anders moeten omdat dat nu eenmaal moet, leidt niet tot bewustzijn, enthousiasme, eigenaarschap of het voorkomen van slordigheden.

 

Privacy is een gedeelde verantwoordelijkheid

Het gaat bij de AVG over veel meer dan het beveiligen van systemen, processen en data, waarbij slechts enkelen verantwoordelijk zijn. Het gaat om het gedrag van medewerkers; dat is uiteindelijk de allesbepalende factor bij gegevensverwerking. Uiteraard is een bestuurder verantwoordelijk voor het nakomen van de verplichtingen die voortvloeien uit de AVG. Dat principe ontslaat organisaties echter niet van een collectieve verantwoording om op een juiste wijze met privacy en persoonsgegevens om te gaan. Iedereen heeft daarin een rol én verantwoording. Juist nu organisatie de aandacht uit hebben laten gaan naar noodzakelijke en verplichte technische en organisatorische maatregelen.

 

Eigenaarschap wordt nog niet gevoeld

Om privacy en de AVG hangt nu te vaak een technische en een weinig enthousiasmerende zweem. De focus van veel organisaties is dan ook geweest: het op orde brengen van beveiliging, processen en systemen. Dat straalt enorm af op het onderwerp ‘privacy’, dat veel breder is. Het overgrote deel van medewerkers wordt van de ‘harde’, instrumentele kant niet enthousiast. En voelt zich zo geen eigenaar. Dat terwijl het om de privacy van mensen gaat. Om een belangrijk onderwerp dat er voor veel mensen echt toe doet. Bij externe stakeholders, maar ook interne. Vijf tips om dit belang bij iedereen tussen de oren te krijgen:

 

1. Frame de AVG: veel meer dan een verplichting

De kunst is om de AVG uit het hoekje ‘omdat het moet’ te halen. Dus spreek niet over ‘een verplichting’ en ‘noodzakelijke maatregelen’ maar maak van het onderwerp privacy een gedeelde verantwoordelijkheid. En dat is noodzakelijk. Juist nu de eerste hobbel - het compliant zijn - is genomen bij veel organisaties. Maar hoe doe je dat? In eerste instantie door het onderwerp AVG veel breder te trekken dan een verplichting.

Het is niet gek dat de AVG door veel organisaties als een verplichte set maatregelen wordt gezien. De wet is immers in mei 2018 geïntroduceerd als verplichting met de oproep om maatregelen te nemen. Met de Autoriteit Persoonsgegevens als waakhond en hoge boetes als stok achter de deur. Het gat tussen ‘opgelegde regelgeving’ en ‘gemotiveerd zijn om gedrag aan te passen’, is echter groot. Daarom is het belangrijk om het onderwerp privacy binnen de eigen organisatie te framen als veel méér dan een verplichting. Het is een belangrijk maatschappelijk thema, dáárom is de wet aangepast.

Goed omgaan met ieders privacy is een randvoorwaarde voor een goede reputatie. Het is een manier om klanten aan je te binden. Het gaat om zorg, aandacht en kwaliteit. Medewerkers voelen zich daar méér door aangesproken dan door een AVG ‘omdat het moet’. Ook ethiek speelt hierbij een belangrijke rol: we doen dit niet omdat we het moeten, we moeten het vooral zelf willen. Zorgvuldig omgaan met de privacy van onze klanten, externe stakeholders en medewerkers is het enige juiste om te doen.

“Om privacy en AVG hangt nu te vaak een technische en een weinig enthousiasmerende zweem. De focus van veel organisaties is ook geweest: het op orde brengen van processen en systemen. Het overgrote deel van medewerkers wordt daar niet enthousiast van. En voelt zich zo geen eigenaar. Dat terwijl het om de privacy van mensen gaat; een belangrijk onderwerp dat er voor veel mensen echt toe doet.” David Westveer, BOOM

2. Start vanuit een gemeenschappelijk fundament

Om het onderwerp privacy duurzaam te kunnen inbedden in de praktijk, is het zaak privacy te verbinden aan een gemeenschappelijk fundament. Die gezamenlijkheid is te vinden in gedeelde waarden, die de basis vormen voor de cultuur van de organisatie. Cultuur wordt wel beschreven als de motor achter alles wat een organisatie wel of niet doet. In een vitale cultuur zijn altijd waarden opgenomen die relevant en ‘van waarde’ zijn voor klanten of stakeholders. Vanuit die waarden is een verbinding te maken met het onderwerp privacy. Zo is privacy een intrinsiek gemotiveerd onderwerp te maken. Want privacy hangt samen met, ik noem maar enkele mogelijke waarden, ‘kwaliteit’, ‘aandacht’ of ‘zorg’. Op deze wijze is een juiste gegevensverwerking niet langer ‘een moetje’ en opgelegd, maar een onderwerp dat van belang is en erbij hoort.

 

3. Werk vanuit de organisatiecultuur

Organisatorische en technische maatregelen die nu accuraat en afdoende blijken te zijn, kunnen over een jaar niet langer passend blijken. Juist omdat organisaties en hun context blijvend veranderen, is het zaak om aandacht voor privacy onderdeel te laten zijn van de organisatiecultuur. Een duurzaam effect wordt daarbij niet gerealiseerd als slechts op gedrag wordt gestuurd. Werk vanuit waarden, vanuit een cultuur, daarmee is meer te bereiken. Een goede cultuur is als een gezonde voedingsbodem. Daarop groeien gezonde zaken. En de keerzijde: op een slechte bodemcultuur slechte zaken. Bij organisaties die crisismomenten op tijd herkennen en voorkomen, is sprake van een vitale, gezonde cultuur. Een cultuur die gericht is op waardecreatie en op handelen in het belang van en in lijn met de verwachtingen van stakeholders. Aandacht voor een zorgvuldige verwerking van gegevens is daar onderdeel van. Want dat is in het belang van stakeholders. Besteed daarom aandacht aan cultuur bij de implementatie van AVG[1]

“Een goede cultuur is als een gezonde voedingsbodem: daarop groeien gezonde zaken.” David Westveer, BOOM

4. Inbedding vraagt om een integrale benadering

Privacy is van iedereen; niet alleen van het management, niet alleen van de FG. Dat betekent dat privacy in alle geledingen van de organisatie structureel een plek moet krijgen. Het is zaak ervoor te zorgen dat iedereen zich verantwoordelijk voelt. Een bewustwordingscampagne kan hierbij absoluut helpen, maar is nog geen duurzame verandering. Daarvoor zal de gehele organisatie effectief en integraal ingericht moeten zijn op privacybewust handelen.

Het 7S-model van McKinsey kan helpen bij het nemen van juiste stappen. Door dit model toe te passen op de context van het onderwerp privacy, is snel zichtbaar dat alleen het nemen van technische en organisatorische maatregelen niet leidt tot een effectief en integraal ingerichte organisatie.

Het 7S-model van McKinsey, bewerkt naar de context van het onderwerp privacy en gegevensverwerking. Aan de hand van zeven factoren zijn de prestaties van een organisatie te analyseren. Deze factoren beïnvloeden elkaar. Door het vraagstuk en de organisatie integraal te benaderen, is het mogelijk om een effectieve en efficiënte organisatie te realiseren. De oorspronkelijke factoren van het 7S-model van McKinsey staan tussen haakjes.

 

5. Dring door tot de praktijk van alledag

Voor een duurzame implementatie is het noodzakelijk juist aandacht te besteden aan de ‘softe zijde’ van het 7S-model. Veranker en verbindt het onderwerp ‘privacy’ dus met de eigen cultuur, met de gehanteerde leiderschapsstijl, met de vaardigheden van medewerkers, gemotiveerd vanuit kernwaarden en cultuur. Alleen zo dringt het thema door tot in de praktijk van alledag en kan onbewust en slordig gedrag rondom gegevensverwerking worden voorkomen en verholpen. Alleen zo wordt collectief privacybewust handelen en gedrag een realiteit.
 

Er zijn verschillende interventies mogelijk om privacy te verankeren in de dagelijkse praktijk. Neem het onderwerp bijvoorbeeld op in de beoordelingsscyclus van leidinggevenden en medewerkers, deel best practices in de interne communicatie, leg continu verantwoording af (continuous reporting), besteed aandacht aan leidende principes bij de onboarding van nieuwe collega’s, bied trainingen aan, maak kennis eenvoudig beschikbaar via bijvoorbeeld een kennisdatabank en zorg ervoor dat bij vernieuwingen, veranderingen en projecten standaard een risico-inventarisatie met bijbehorende tegenmaatregelen rondom het onderwerp privacy wordt opgesteld. En last but not least: geef als leidinggevende zelf het goede voorbeeld.

 

Dring met privacy door tot de praktijk!

Gedrag is allesbepalend. Enkele aanbevelingen om te komen tot een privacybewuste organisatie.

 

Gedeelde waarden en cultuur

 

 

  1. Vertrek bij de implementatie vanuit eigen waarden
  2. Motiveer veranderingen vanuit waarden
  3. Maak consequenties tastbaar door leidende principes te delen
  4. Communiceer structureel over privacybewust handelen
  5. Deel best practices
  6. Benadruk de gezamenlijke verantwoordelijkheid
  7. Leg verantwoording af, dit zorgt voor bewustwording

 

Supporten van privacybewust gedrag

 

 

  1. Geef het onderwerp privacy een plek binnen de leiderschapsvisie
  2. Besteed bij onboarding van leidinggevenden aandacht aan privacy
  3. Train leidinggevenden sturing te geven op privacy
  4. Neem bij de beoordelingssystematiek het supporten van privacybewust gedrag op
  5. Deel uitgangspunten, risico’s en kansen met 2e laagsmanagers en leidinggevenden
  6. Maak bij vernieuwingen, veranderingen en projecten een risico-inventarisatie met bijbehorende tegenmaatregelen over privacy
  7. Geef het goede voorbeeld als leidinggevende

 

Herkennen van situaties en risico’s

 

 

  1. Deel leidende principes en achterliggend privacybeleid met medewerkers
  2. Besteed bij onboarding aandacht aan privacy en deel uitgangspunten
  3. Investeer in kernvaardigheden en bied structureel training aan
  4. Leg een kennisdatabank aan, deel voortgang en ervaringen
  5. Organiseer een servicepunt/vraagbaak
  6. Betrek medewerkers bij het bedenken van oplossingen
  7. Motiveer en beloon privacybewust gedrag en neem dit op in de beoordelingssystematiek

 

Privacy is geen afvinklijstje

Heeft een organisatie al technische en organisatorische maatregelen genomen en is een organisatie ook al ver met bovenstaande interventies? Dan kan gesteld worden dat een organisatie al privacybewust handelt. Zie privacy – en ook de aanbevelingen in dit artikel – echter vooral niet als afvinklijstje. Het is zaak privacy echt in de kern van de organisatie, de cultuur te borgen. In het hart. En laten we wel zijn: van hoofd naar hart kan een lange reis zijn. Neem daarom ook na 25 mei 2019 de tijd om privacy verder in te laten slijten. Want een jaar na de invoering van de AVG, zijn veel organisaties op papier compliant, maar mag het hart nog wat sneller gaan kloppen van privacy, een belangrijk thema dat er echt toe doet.

 

[1] Het kan dus goed zijn dat dóór een verandering als de AVG, een organisatie erachter komt dat de cultuur geen goede basis biedt om te kunnen veranderen. In dat geval is het zaak met de cultuur aan de slag te gaan en waarden te definiëren die ook van waarde zijn voor de stakeholders van een organisatie.