Bij datalekken en inbreuken op de beveiliging van persoonsgegevens wordt vaak gedacht aan hackers en kwetsbare systemen. Maar niets is minder waar. De mens is in veel gevallen de ‘zwakste’ schakel op het gebied van informatiebeveiliging. Ruim 50% van de datalekken is te wijten aan e-mails die verzonden zijn aan de verkeerde ontvanger. Ook op het gebied van gegevensbescherming speelt AVG awareness of bewustzijn een belangrijke rol. In de eerste plaats heeft bewustzijn te maken met ‘alert’ zijn. Alert zijn door middel van aandacht en focus.

Maar waar moet je dan aandacht voor hebben?

Simpelweg voor alles wat er voor je neus gebeurt. Mensen nemen waar middels hun zintuigen. Maar de ‘echte’ waarneming gebeurt in de hersenen. Bovendien kunnen de hersenen aandacht hebben voor alles behalve datgene dat er voor je neus gebeurt. Je kan op je telefoon bezig zijn terwijl er een auto voorbij rijdt, zonder dat je hem waarneemt. Dit noemen we onbewustheid. Zowel onbewust waarnemen als onbewust handelen leidt vaak tot incidenten met grote gevolgen.

Kortom het ontwikkelen van een privacybewustzijn is essentieel voor de bescherming van persoonsgegevens. Door middel van een AVG awareness programma ontwikkelen de medewerkers een privacy bewustzijn. Het is belangrijk dat medewerkers weten wat privacy inhoudt, waarom het beschermen van persoonsgegevens belangrijk is en hoe ze moeten omgaan met persoonsgegevens.

Maar wat betekent privacybewustzijn eigenlijk?

Zoals gezegd is de mens de zwakste schakel bij informatiebeveiliging. De organisatie kan met apparatuur en software voorlopen op de stand der techniek. Maar deze zijn zinloos als de medewerkers onnauwkeurig te werk gaan. Indien de organisatie wilt voldoen aan de AVG dan moeten de medewerkers bekend zijn met de privacy wet. Bovendien moeten ze hiernaar gaan handelen. Met de bedoeling dat het gedrag veranderd en AVG awareness een vast onderdeel wordt van de bedrijfscultuur. Door middel van een privacy beleid, werkprocedures en een AVG bewustwordingsprogramma kan een privacy bewustzijn worden ontwikkelt.

AVG awareness: onderdelen van een AVG bewustwordingsprogramma

De AVG legt de nadruk op de verantwoordelijkheid van organisaties om aan te tonen dat ze compliant zijn. Dit heet de verantwoordingsplicht. Hieruit volgt dat organisaties met documenten kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen. Maar ook het zorgvuldig omgaan met persoonsgegevens is belangrijk. Nadat de juiste technische en organisatorische maatregelen zijn genomen is trainen op bewustwording cruciaal.

Het eenmalig aanbieden van een e-learning of AVG training op locatie is onvoldoende. Er vinden namelijk wijzigingen plaats in de hardware en software die gebruikt wordt. Daarnaast is privacy een dynamisch begrip. Daardoor zijn er veel technische ontwikkelingen op het gebied van gegevensbescherming en dataprotectie. Bovendien kan privacy door de hectiek van de dag een onderdeel worden van onbewust handelen. Vandaar dat het continu onder de aandacht brengen van privacy essentieel is voor een gedragsverandering. Onderdelen van een bewustwordingsprogramma zijn:

Stap 1: Introduceren van het AVG beleid en de technische en organisatorische maatregelen

Om te voldoen aan de AVG stelt de organisatie een beleid op en worden er technische en organisatorische maatregelen genomen. Vervolgens worden de medewerkers op de hoogte gebracht van de belangrijkste AVG uitgangspunten. Maar ook het introduceren van nieuwe werkprocedures en processen is onderdeel van de eerste stap. Het ontwikkelen van een AVG awareness is een uitdaging. Van nature zoeken mensen namelijk de weg van de minste weerstand. Toch is het mogelijk om het gedrag en privacy bewustzijn te beïnvloeden. Door middel van training, e-learnings, presentaties en casuïstiek. Hierover meer bij stap drie.

Stap 2: Huidige niveau van AVG awareness in kaart brengen

Nadat er een privacy beleid geïmplementeerd is stelt u doelen op. Deze doelen geven het ambitieniveau van de organisatie op het gebied van privacy weer. Vervolgens stelt u in lijn met het beleid de haalbaarheid vast. Beschikken de medewerkers over de kennis en kunde om het ambitieniveau van de organisatie te behalen? En zo niet, welke kennis en kunde is hier voor nodig? Een e-learning in combinatie met toets maakt het huidige niveau inzichtelijk. Door het actuele kennisniveau in kaart te brengen wordt duidelijk met welke acties het privacybewustzijn verbeterd kan worden. In de eerste plaats kan dit door middel van training, het geven van presentaties en het behandelen van casussen.

Stap 3: AVG training, presentaties en casuïstiek

Na het bepalen van het ambitieniveau stelt u acties vast om de doelen te behalen. De belangrijkste actie is het trainen van de medewerkers. In het bijzonder de medewerkers die door de aard van hun werkzaamheden dagelijks bezig zijn met persoonsgegevens. Maar ook de directie, het managementteam en beleidsmakers zijn een belangrijke doelgroep. Het geven van het goede voorbeeld is namelijk een cruciaal onderdeel van bewustwording. Daarnaast is het belangrijk dat het personeel wordt uitgedaagd. Een statische e-learning heeft daarom niet te voorkeur. Door middel van een dynamische training of presentatie met casuïstiek worden de medewerkers uitgedaagd om na te denken. Ter illustratie kan er een casus worden behandeld. Met voorbeelden uit het dagelijks leven wordt kennis levendig gedeeld. Met de bedoeling dat er een dynamische sessie ontstaat waarin medewerkers vragen gaan stellen.

Stap 4: Informeren en motiveren

De eerste stappen richting AVG compliance zijn gezet. Verder geven de directie en het management het goede voorbeeld. Daarna is het belangrijk om de medewerkers te betrekken. Niet alleen omdat compliance vaak geen onderdeel is van hun taken maar ook het nieuwe gedrag aan te leren. Bovendien worden medewerkers gemotiveerd om te werken volgens de AVG. De organisatie informeert duidelijk wat er wel en niet van hen wordt verwacht. Hieruit volgt een duidelijke boodschap. Wat betekent privacy precies en wat kunnen de gevolgen zijn van een onnauwkeurige behandeling van persoonsgegevens? Focus hierbij vooral op de gevolgen van datalekken en inbreuken op de beveiliging van persoonsgegevens. Voor een effectieve boodschap gebruikt u geen vakjargon maar legt u de AVG in een notendop uit. Probeer rekening te houden met de doelgroep en het kennisniveau van de medewerkers. Daarmee zorgt u voor een passende aansluiting.

Stap 5: Continuïteit bewustwordingsprogramma AVG

Om het privacybewustzijn continu te verbeteren kan de organisatie een plan van aanpak opstellen met een cyclisch karakter (PDCA). Door middel van een meerjarenplan met verschillende meet en reflecteer momenten brengt u de boodschap continu onder de aandacht. Bij gedragsverandering maar ook bij effectief communiceren ligt de nadruk op het herhalen van de boodschap. Zodoende onthoudt men de boodschap en blijven ze alert. Ten slotte is het verstandig om AVG awareness te combineren met informatiebeveiliging. Want beide onderwerpen hebben namelijk veel raakvlakken en overeenkomsten.

AVG awareness moet ‘daily business’ zijn

Het ontwikkelen van een privacybewustzijn moet onderdeel worden en blijven van de normale bedrijfsvoering. Bijvoorbeeld door medewerkers via trainingen en presentaties actief te blijven betrekken bij privacy. Samengevat vindt u hieronder de belangrijkste tips:

  1. Stel duidelijke doelen op het gebied van privacy vast en speel in op gedragsverandering.
  2. Maak een plan van aanpak met een cyclisch en duurzaam karakter.
  3. Zorg voor een heldere en effectieve boodschap.
  4. Meten = weten. Meet het actuele kennisniveau door middel van e-learnings en toetsen en gebruik de resultaten om bij te sturen.

Wilt u meer weten over het ontwikkelen van AVG awareness onder uw medewerkers? Advies bij privacy kan u hierbij helpen. Wilt u hier meer over weten? Neem dan contact met ons op.

AVG awareness: Privacy bewustzijn creëer je zo