Privacy: bij de meeste organisaties heeft het geen topprioriteit. Sinds de AVG[1] in mei 2018 is ingegaan, hebben veel organisaties concrete stappen gezet. Maar zijn medewerkers hierdoor ook voldoende bezig met privacy?
Concrete maatregelen zoals een privacystatement op de website, een verwerkingsregister en een verbeterde netwerkbeveiliging leiden niet direct tot een groter bewustzijn bij medewerkers. Dat is een risico, want de grootste bron van privacy incidenten is niet de techniek, dat is de mens. Een medewerker klikt per ongeluk op een onveilige link of bijlage. Hierdoor kan ransomware alle computers versleutelen of kwaadwillende partijen krijgen toegang tot gevoelige bestanden. Elke medewerker die met persoonsgegevens werkt, moet weten wat het belang rond privacy is. Zonder dit gevoel voor urgentie en begrip, is de kans groot dat het een keer fout gaat.
Wat wordt van mij verwacht op privacy gebied?
Eén van de belangrijkste aspecten van privacy dat je weet op welk niveau je zit als organisatie. De kans is groot dat de meeste medewerkers niet vanuit hun werk bezig zijn met privacy. De houding van het management speelt een cruciale rol in het creëren van bewustzijn. Door actief de noodzaak van het beschermen van persoonsgegevens uit te dragen, is de kans aannemelijk dat medewerkers hiernaar gaan handelen. Wij onderscheiden 5 niveaus rondom bekendheid met privacy:
Niveau 1: Onbekend met privacy
Privacy is geen thema binnen de organisatie. Het leeft niet bij de medewerkers, en als het al leeft dan is dat bij een aantal individuen die actief met de AVG te maken hebben. Privacy komt incidenteel ter sprake. Pas als het mis gaat, moet er veel moeite worden gedaan om het probleem het hoofd te bieden.
Niveau 2: Bekend met privacy
Medewerkers op de afdelingen die veel te maken hebben met persoonsgegevens zijn bekend met de verplichtingen rondom persoonsgegevens. Er wordt bijvoorbeeld af en toe een phishingcampagne gehouden, er zijn e0learnings voor medewerkers en er hangen enkele posters in het gebouw, maar er is geen duurzaam bewustwordingsprogramma opgezet. Beleid en procedures bestaan, maar zijn niet breed gecommuniceerd of relatief onbekend bij de medewerkers.
Niveau 3: Waakzaam handelen
Bij het merendeel van de proceseigenaren en binnen meerdere afdelingen wordt er oplettend omgegaan met persoonsgegevens. Medewerkers zijn zich ervan bewust dat zij met persoonsgegevens werken en kennen de risico’s die er zijn, waardoor een probleem wordt beperkt. Als er echt een probleem is rondom privacy, dan weten ze het te signaleren of ernaar te handelen. Bijvoorbeeld door hun vragen te stellen aan iemand die specifiek benoemd is en zich bezighoudt met privacy. Het beperken van risico’s wordt nog niet proactief opgepakt. Naast e-learnings en terugkerende kennissesies wordt er incidenteel een analyse gemaakt van kwetsbaarheden binnen de organisatie.
Niveau 4: Aandachtig omgaan
De hele organisatie gaat bewust om met privacy en handelt zorgvuldig met persoonsgegevens. Er is een afdeling ingericht die erop toeziet dat medewerkers continu op de hoogte zijn wat er van ze verwacht wordt als ze werken met persoonsgegevens. Medewerkers kennen de risico’s en handelen er ook naar. Nog niet alle processen zijn erop ingericht die de risico’s rondom privacy beperken. Door middel van structurele opleidingen en campagnes blijft privacy in de hele organisatie onder de aandacht.
Niveau 5: Privacy als organisatiementaliteit
Privacy zit in het DNA door alle lagen van de organisatie heen. De verwerking van persoonsgegevens is vanaf de strategiefase een thema waardoor alle noodzakelijke processen zijn verweven met andere relevante en bestaande bedrijfsprocessen. Wanneer de organisatie nieuwe technologieën ontwikkeld, is er naast de risicoanalyse ook rekening gehouden met de principes ‘privacy by design and default’. Er is bovendien toezicht op de processen die zijn uitbesteed bij derde partijen en de risico’s van datatransfers buiten de EU zijn bekend. Binnen de hele organisatie is er een duurzaam bewustwordingsprogramma met kennissessies, simulaties en serious games. Medewerkers worden beoordeeld op hoe ze omgaan met persoonsgegevens en privacy is een onderdeel van de KPI’s.
Meer aandacht voor privacy leidt tot een meer klantgerichte organisatie
De kracht van bewustzijn zit in de herhaling waardoor de aandacht voor privacy wordt vastgehouden en de ingegeven kennis met verloop van tijd en medewerkers niet verdwijnt. De bedrijven die een hoog bewustzijnsniveau hebben, werken daarnaast efficiënter en klantgerichter. Privacy is hiermee een onderdeel van de organisatie en medewerkers snappen beter wat klanten wel en niet willen. Door privacybewust te werken, kan de omgang met privacy als een kwaliteitskeurmerk naar buiten worden getoond.
Wil je meer weten over privacybewustzijn en kan CRANIUM je daarbij helpen? Neem dan contact met ons op via nl-info@cranium.eu.
[1] Algemene verordening gegevensbescherming