De expliciete benoeming van bewustwording als essentieel onderdeel van privacybescherming in de AVG wordt door velen geroemd. Gebruikers zijn tenslotte het grootste risico, of niet? Bewustwording is belangrijk, dat staat vast. Toch leveren privacycampagnes in de praktijk niet altijd op wat er van wordt verwacht. Volgens mij liggen hier drie belangrijke misvattingen aan ten grondslag.
Meer dan eens horen we: "ze snappen het niet" of "we moeten ze gewoon beter uitleggen hoe ze het werk moeten doen". Privacybewustwording is niet enkel een kwestie van zenden en de verbetering ligt nooit uitsluitend bij de medewerkers. Bewustwording is mensenwerk en een succesvolle bewustwordingscampagne doe je daarom samen. Je maakt elkaar bewust van de wettelijke privacykaders en het interne beleid en samen breng je de problemen en onmogelijkheden in de processen in kaart om deze op te kunnen lossen. Zorg er hiernaast ook voor dat medewerkers een duidelijke plek hebben waar ze op ieder moment met suggesties en vragen heen kunnen voor dit onderwerp.
De tweede veel gehoorde misvatting over bewustwording (en de andere stappen) is dat je compliant bent aan de AVG als je het vinkje hebt gezet. Bewustwording is een continu proces. Niet één poster campagne, één phisingactie of een eenmalig e-learning training. Met 25 mei achter ons bestaat het risico dat je niet dagelijks aan herinnerd wordt door de landelijke media dat privacy een issue is. Zorg daarom dat je binnen je organisatie een plan hebt. Hoe gaan én blijven jullie bewustwording rondom dit thema in 2019 aanpakken? Ben je FG binnen een organisatie? Geef aan dat het ontbreken van een dergelijk plan wat jou betreft een risico is dat je niet zou moeten accepteren.
De oplossingen in gedrag en bewustwording zoeken en niet volledig in de techniek is een goed voornemen. En toch is er altijd wel winst te behalen in de technische hoek. Dat betekent zeker niet dat dichtzetten werkt. Juist niet, dan werken mensen gewoon om het systeem heen. Zorg wel dat je de basis op orde hebt en richt je op de quick wins. Ga met “de gebruiker” om tafel om met elkaar een balans te vinden in de technische maatregelen. Denk hierbij bijvoorbeeld aan het automatisch vergrendelen van de werkplek.
Maar bovenal: ga en blijf met elkaar in gesprek over privacy en wees (ook als ICT-afdeling) continu kritisch op jezelf.
Organisaties stelden jaren geleden als verplichting een privacybeleid op waar waarschijnlijk niemand meer naar kijkt. Je kan als organisatie meer halen uit dat beleid. Maar hoe maak je met het beleid meer impact in je organisatie?
Lees verderDoor een gebrek aan duidelijkheid schieten veel gemeenten in de kramp als het aankomt op de AVG. Door deze kramp, krijgen privacy en de AVG niet alleen een ‘slechte’ naam, maar wordt (samen)werken onmogelijk. Iets wat volgens mij niet de bedoeling lijkt van deze wet.
Lees verder
