Het zal je maar gebeuren: je hele privacybeleid is piekfijn in orde, er ligt een nette stapel verwerkersovereenkomsten in de kast, ligt door een ongelukje van een collega alsnog gevoelige informatie op straat. Een mailtje verkeerd geadresseerd, een wachtwoord op een papiertje geschreven: het overkomt grote en kleine organisaties dagelijks. Bewustwording is van groot belang om persoonsgegevens in je organisatie veilig te houden.
Maar het verbeteren van bewustwording vereist een heel andere aanpak dan het sluiten van een verwerkersovereenkomst. De omstandigheden en risico’s veranderen steeds. Bovendien: wat is er moeilijker te veranderen dan ‘zo doen we dat nu eenmaal altijd’? Kortom, genoeg stof om in te duiken rond de bewustwording van privacyrisico’s.
Menselijk gedrag als risicofactor
Risico’s voor de privacy van bijvoorbeeld klanten, leerlingen of medewerkers kunnen uit allerlei bronnen ontstaan. Kwaadwillenden kunnen een hack uitvoeren op zoek naar gevoelige of waardevolle gegevens. Systemen kunnen onvoldoende beveiligd zijn of uitvallen, waardoor gegevens niet meer beschikbaar zijn. Toch komen de meeste datalekken voort uit menselijke ‘ongelukjes’. Zo kwam verreweg het grootste aandeel gemelde datalekken in 2019 door het versturen van persoonsgegevens aan de verkeerde ontvanger. Het klassieke automatisch aangevulde e-mailadres – helaas niet van de bedoelde ontvanger – valt daaronder. Ook neemt het aandeel datalekken dat wordt veroorzaakt door phishing en malware snel toe. Voor al die risico’s is een menselijke handeling binnen de organisatie nodig om te leiden tot een datalek. Hoe kun je zorgen voor veilig gedrag als het om privacy gaat?
Hoe te beginnen met privacy awareness?
Alvast enkele antwoorden die niet goed (genoeg) zijn: een set verplichte gedragsregels met boetes opstellen en rondmailen in de organisatie; een dure ‘verandermanager’ een rapport laten opstellen; medewerkers hele protocollen geven voor simpele handelingen, opdat fouten niet meer kunnen voorkomen. Elementen die elk goed plan wel bevat: gewoon beginnen en al lerende wijzer worden, de daadwerkelijke risico’s onderzoeken en herhalen, herhalen, herhalen. En als het even kan: maak het een beetje leuk.
Leuker kunnen we het wél maken
De toon waarop je medewerkers informeert maakt een enorm verschil: het is nooit fijn om zomaar regeltjes te moeten naleven, terwijl vrijwel iedereen graag iets nieuws leert en verantwoordelijkheid voelt. Ook de manier van informatie verspreiden kan leuker dan via intranet en droge e-mails: er zijn allerlei tools beschikbaar, zoals quizjes, waarmee het eenvoudig is om medewerkers spelenderwijs wijzer te maken. Echte creatievelingen kunnen video’s maken waarin risico’s tot leven worden gebracht. Of stuur eens een nep-phishingmail, om te meten hoeveel mensen per ongeluk doorklikken en misschien zelfs wachtwoorden doorgeven. Even schrikken, maar ook een heel concrete les dat een datalek in een klein hoekje zit.
Zonder bewustzijn geen bewustwording
Alles begint bij het bewustzijn dat er continu aan bewustwording gewerkt dient te worden. In elke organisatie komen nieuwe medewerkers en ook bij de bestaande medewerkers verdwijnt de kennis vroeg of laat weer naar de achtergrond. Herhaling is dus van groot belang om te zorgen dat veilig gedrag de standaard wordt. De functionaris gegevensbescherming (FG) heeft de wettelijke taak om toe te zien op een voldoende niveau van kennis. Hij of zij kan vaak ook helpen met het uitrollen van een programma. Maar ook ‘management buy-in’ is onmisbaar: laat als directie of bestuurder zien dat je privacy écht belangrijk vindt en geef het goede voorbeeld. Uiteindelijk draait het erom dat iedereen binnen de organisatie begrijpt waarom bepaalde situaties risicovol zijn en dat men zich (mede) verantwoordelijk voelt om de risico’s te beperken.
Hulp nodig?
Heb je hulp nodig met het samenstellen van een bewustwordingsprogramma? Wil je je medewerkers laten trainen of wil je weten waar privacyrisico’s liggen? Wij helpen graag! Onze juristen zijn op de hoogte van de meest recente juridische ontwikkelingen omtrent privacy. Privacy Verified denkt graag mee!
