De expliciete benoeming van bewustwording als essentieel onderdeel van privacybescherming in de AVG wordt door velen geroemd. Gebruikers zijn tenslotte het grootste risico, of niet? Bewustwording is belangrijk, dat staat vast. Toch leveren privacycampagnes in de praktijk niet altijd op wat er van wordt verwacht. Volgens mij liggen hier drie belangrijke misvattingen aan ten grondslag.
Meer dan eens horen we: "ze snappen het niet" of "we moeten ze gewoon beter uitleggen hoe ze het werk moeten doen". Privacybewustwording is niet enkel een kwestie van zenden en de verbetering ligt nooit uitsluitend bij de medewerkers. Bewustwording is mensenwerk en een succesvolle bewustwordingscampagne doe je daarom samen. Je maakt elkaar bewust van de wettelijke privacykaders en het interne beleid en samen breng je de problemen en onmogelijkheden in de processen in kaart om deze op te kunnen lossen. Zorg er hiernaast ook voor dat medewerkers een duidelijke plek hebben waar ze op ieder moment met suggesties en vragen heen kunnen voor dit onderwerp.
De tweede veel gehoorde misvatting over bewustwording (en de andere stappen) is dat je compliant bent aan de AVG als je het vinkje hebt gezet. Bewustwording is een continu proces. Niet één poster campagne, één phisingactie of een eenmalig e-learning training. Met 25 mei achter ons bestaat het risico dat je niet dagelijks aan herinnerd wordt door de landelijke media dat privacy een issue is. Zorg daarom dat je binnen je organisatie een plan hebt. Hoe gaan én blijven jullie bewustwording rondom dit thema in 2019 aanpakken? Ben je FG binnen een organisatie? Geef aan dat het ontbreken van een dergelijk plan wat jou betreft een risico is dat je niet zou moeten accepteren.
De oplossingen in gedrag en bewustwording zoeken en niet volledig in de techniek is een goed voornemen. En toch is er altijd wel winst te behalen in de technische hoek. Dat betekent zeker niet dat dichtzetten werkt. Juist niet, dan werken mensen gewoon om het systeem heen. Zorg wel dat je de basis op orde hebt en richt je op de quick wins. Ga met “de gebruiker” om tafel om met elkaar een balans te vinden in de technische maatregelen. Denk hierbij bijvoorbeeld aan het automatisch vergrendelen van de werkplek.
Maar bovenal: ga en blijf met elkaar in gesprek over privacy en wees (ook als ICT-afdeling) continu kritisch op jezelf.
“Maatwerkoplossingen om veilig te mailen in de zorg zijn duur, gebruiksonvriendelijk en onnodig”, maar is Google's Gmail-platform een prima alternatief?
Lees verderBijna een jaar AVG. Komende tijd nemen we je mee in de lessen die wij geleerd hebben in dat eerste half jaar. De eerste les gaat over de DPIA, Data Protection Impact Assessment. Oftewel de verplichte risico- en informatie-analyse. Ontdek de randvoorwaarden en tips bij het uitvoeren van een DPIA.
Lees verder
