In deze serie podcasts van M&I/Partners nemen Ralph Wagter en Tobias van Oerle u in 20 minuten mee in de wereld van informatiebeveiliging en de nieuwe privacywetgeving, de AVG/GDPR. Luister de eerste podcast: De AVG/GDPR na 25 mei.
Lees verderDe expliciete benoeming van bewustwording als essentieel onderdeel van privacybescherming in de AVG wordt door velen geroemd. Gebruikers zijn tenslotte het grootste risico, of niet? Bewustwording is belangrijk, dat staat vast. Toch leveren privacycampagnes in de praktijk niet altijd op wat er van wordt verwacht. Volgens mij liggen hier drie belangrijke misvattingen aan ten grondslag.
Zij doen het fout
Meer dan eens horen we: "ze snappen het niet" of "we moeten ze gewoon beter uitleggen hoe ze het werk moeten doen". Privacybewustwording is niet enkel een kwestie van zenden en de verbetering ligt nooit uitsluitend bij de medewerkers. Bewustwording is mensenwerk en een succesvolle bewustwordingscampagne doe je daarom samen. Je maakt elkaar bewust van de wettelijke privacykaders en het interne beleid en samen breng je de problemen en onmogelijkheden in de processen in kaart om deze op te kunnen lossen. Zorg er hiernaast ook voor dat medewerkers een duidelijke plek hebben waar ze op ieder moment met suggesties en vragen heen kunnen voor dit onderwerp.
Klaar!
De tweede veel gehoorde misvatting over bewustwording (en de andere stappen) is dat je compliant bent aan de AVG als je het vinkje hebt gezet. Bewustwording is een continu proces. Niet één poster campagne, één phisingactie of een eenmalig e-learning training. Met 25 mei achter ons bestaat het risico dat je niet dagelijks aan herinnerd wordt door de landelijke media dat privacy een issue is. Zorg daarom dat je binnen je organisatie een plan hebt. Hoe gaan én blijven jullie bewustwording rondom dit thema in 2019 aanpakken? Ben je FG binnen een organisatie? Geef aan dat het ontbreken van een dergelijk plan wat jou betreft een risico is dat je niet zou moeten accepteren.
Lost bewustwording alles op?
De oplossingen in gedrag en bewustwording zoeken en niet volledig in de techniek is een goed voornemen. En toch is er altijd wel winst te behalen in de technische hoek. Dat betekent zeker niet dat dichtzetten werkt. Juist niet, dan werken mensen gewoon om het systeem heen. Zorg wel dat je de basis op orde hebt en richt je op de quick wins. Ga met “de gebruiker” om tafel om met elkaar een balans te vinden in de technische maatregelen. Denk hierbij bijvoorbeeld aan het automatisch vergrendelen van de werkplek.
Maar bovenal: ga en blijf met elkaar in gesprek over privacy en wees (ook als ICT-afdeling) continu kritisch op jezelf.
Terug naar het overzicht
Gerelateerde publicaties
Ontdek de 80-20 regel waarmee je een selectie maakt van DPIA's die de hoogste risico's hebben en de belangrijkste maatregelen identificeren.
Lees verder