Eén van de leukste, maar ook vaak als lastig ervaren eisen uit de AVG is het creëren van bewustwording over privacy bij medewerkers. De Autoriteit Persoonsgegevens en diverse certificeerders leggen hier veel nadruk op. En dat is ook wel terecht. Vaak heeft de privacydeskundige binnen een organisatie, meestal de Functionaris gegevensbescherming (FG), het register, de procedure datalekken, de privacy verklaringen etc. allemaal op orde. Maar wat heeft de organisatie daaraan, als de medewerkers zich niet bewust zijn van de privacygevoeligheid van de gegevens die zij verwerken?
Als iemand zich niet realiseert dat een verloren USB-stickje wel eens persoonsgegevens zou kunnen bevatten, wordt het verlies nooit gemeld. Laat staan dat er dan passende maatregelen zijn te nemen, hoe mooi de bestaande procedure datalekken ook is.
Met privacybewuste medewerkers staat of valt dus het hele privacybeleid. Maar hoe zorgt een FG dat medewerkers privacybewust worden? In deze blog geef ik een aantal tips.
Acties moeten worden afgestemd op de mate van volwassenheid van de organisatie. Een organisatie met een hoog bewustzijn over privacy vraagt om andere acties dan een organisatie waarbij privacy nog in de kinderschoenen staat.
In veel gevallen is de aandacht voor privacy nieuw in een organisatie. Het is nog niet ingebakken in de bedrijfsprocessen. Soms zal het ook ervaren worden als weer een extra last. “Nog meer bureaucratie die afleidt van het werk”, krijg ik nogal eens te horen. Het kan dus zijn dat degene die verantwoordelijk is voor de gegevensbescherming met 0-1 achterstand van start gaat.
Als een organisatie of een deel ervan wel veel aandacht voor privacy heeft, kan een vliegende start worden gemaakt. Dan is het veel meer een kwestie van onderhouden en top of mind houden.
Bij grotere organisaties is het ook belangrijk om op te letten of het privacybewustzijn overal hetzelfde is. Ik kom nogal eens tegen dat het management als verwerkersverantwoordelijke(n) doordrongen is van de noodzaak van privacy, maar dat de mensen op de werkvloer veel minder privacybewust zijn. Het is van belang om dat onderscheid te onderzoeken.
Verder is het voor de bewustwording bij medewerkers essentieel dat degene die verantwoordelijk is voor het privacybeleid, zichtbaar is in een organisatie.
Dat betekent vooral de organisatie in gaan! Hij of zij kan interviews houden met de medewerkers over de gegevens die zij verwerken, de bewaartermijnen etc.. Vaak trekken medewerkers al pratend al hun eigen conclusies voor aanpassingen in hun werk.
Ook regelmatig aanschuiven bij het managementoverleg is aan te bevelen. Dat hoeft waarschijnlijk niet iedere keer, maar het is wel verstandig om het management regelmatig, bijvoorbeeld één keer per kwartaal, bij te praten over de stand van zaken rondom privacy.
Als er personeelsbijeenkomsten zijn, kan er ook eens podium worden gevraagd voor privacy, bijvoorbeeld met een presentatie. Het is dan zaak dat zo’n presentatie geen saaie opsomming wordt van de eisen uit de AVG, maar vooral voorbeelden bevat die gekoppeld zijn aan de organisatie. Ook kan je bijvoorbeeld korte voorlichtingsbijeenkomsten voor medewerkers organiseren. Ik beperk dat meestal tot maximaal een uurtje. Ik zet privacy in historisch perspectief om aan te tonen dat het geen hype is. Daarna bespreek ik kort de hoofdpunten uit de AVG en koppel die aan de organisatie. Het tweede halfuur is voor vragen.
Het werkt ook goed om één keer per kwartaal een privacy nieuwsflash uit te brengen. Alle medewerkers van de organisatie stuur krijgen dan een e-mail, waarin kort wordt aangegeven wat er gebeurd is op het gebied van privacy. Als er een sappige datalek in de media is geweest, neem ik dat zelf ook vaak op, voorzien van commentaar om het te koppelen aan de organisatie. Geheid dat er in reactie op zo’n nieuwsflash een paar mails met vragen van medewerkers komen.
Als eenmaal het eerste missiewerk er op zit, is het belangrijk dat de aandacht voor privacy niet verslapt. Het moet blijven leven in de organisatie.
Ook hier geldt weer dat er moet worden gekeken wat past bij de organisatie. Zorg er in die fase in ieder geval voor dat iemand als een FG of DPO niet alleen de privacykar blijft trekken. De leidinggevende(n) en verwerkersverantwoordelijke(n) moeten het op gaan pakken. Privacy zou bijvoorbeeld meegenomen kunnen worden in het jaarlijkse functioneringsgesprek met alle medewerkers.
De privacy verantwoordelijke kan verder ook na verloop van tijd de privacy-audits in de organisatie houden. In die audits checkt hij of zij of de beschrijving van de verwerking van persoonsgegevens in het register nog overeenkomt met de praktijk. Moet het register worden aangepast of worden de eisen uit de AVG in de praktijk niet meer nageleefd en moeten in het werkproces de puntjes weer even op de i?
De AVG kent de verplichting om het register met datalekken te bespreken. Het is dan ook verstandig om dit daadwerkelijk één keer per jaar te doen, om te kijken welke lessen er geleerd kunnen worden en deze te vertalen naar maatregelen. Stel maatregelen voor en bespreken deze met de verwerkersverantwoordelijke(n).
Het is ook aan te raden om een mogelijke voorlichtingsbijeenkomst, zoals ik die eerder in deze blog beschreef, na verloop van tijd te herhalen voor alle nieuwe medewerkers.
Een ander idee is het ophangen van posters met vijf privacyvuistregels. Of, als er wat meer budget is: het aanschaffen van een privacy kwartetspel, dat ik laatst tegenkwam. Leuk om bij het kerstpakket te stoppen? Of om bij cadeau te geven bij een verjaardag, samen met de obligate cadeaubon?
De AVG gaat, geheel in de geest van de tijd, vooral om transparantie en aantoonbaarheid.
De inspanningen van degene die met de taak belast is om het bewustzijn over privacy in de organisatie te vergroten moeten daarom ook aantoonbaar worden gemaakt. Dat kan bijvoorbeeld door de sheets van een presentatie op het intranet te zetten. Maak ook notities van de analyses en stuur deze in de vorm van een advies met voorgestelde maatregelen naar de verwerkersverantwoordelijke(n) sturen.
De analyse van het register datalekken met conclusies en maatregelen kan ook weer in een kort advies worden gezet. Hetzelfde geldt voor de bevindingen bij de privacy-audits. Het is daarbij handig om een vast format te gebruiken. Dat werkt voor jezelf makkelijk, maar nog belangrijker: het vergoot ook de leesbaarheid voor anderen.
Om het helemaal goed te doen, kan ook een privacy bewustwordingsprogramma worden georganiseerd. Daarin kunnen alle acties met beschrijving, planning en resultaten worden gezet. Het is nuttig om bij de start van het jaar die planning af te stemmen met de verantwoordelijke(n).
Bij dit alles is het belangrijk dat een FG niet zijn of haar rol vergeet. Een FG is adviserend en controlerend met als basis de AVG. Hij of zij kan maatregelen adviseren en voor een deel ook implementeren, maar de verantwoordelijkheid ligt niet bij de FG. Het is primair de taak van de verwerkersverantwoordelijke(n) om voor de implementatie zorg te dragen. Om de rol van een FG tot een succes te maken, is ondersteuning van die verwerkersverantwoordelijke(n) nodig.
Dit artikel is ook te vinden in het dossier Privacy op de werkvloer
