Als privacyfunctionaris (PO, CISO, FG) bent u het beste in staat het privacybewustzijn in uw organisatie, van hoog tot laag, te bevorderen. U weet dat aandacht voor privacy niet eenmalig is, maar continu om aandacht vraagt. Onderstaande 5 adviezen maken uw werk een stuk makkelijker. Maar eerst wil ik nog even wat dieper ingaan op het ontwikkelen van privacybewustzijn bij medewerkers en de meerwaarde daarvan.
Privacy moet ‘tussen de oren’ komen te zitten bij iedereen die met persoonsgegevens omgaat, dus bij zowel ICT’ers, consulenten, hulpverleners en beleidsmedewerkers. Privacy is niet alleen een kwestie van goed beveiligen. Even belangrijk zijn: een goede samenwerking, het goed ontwerpen van processen en systemen én het goed interpreteren van de wetgeving. Een hele verantwoordelijkheid voor alle medewerkers in gemeenten. Naast het hebben van bijvoorbeeld privacybeleid, wilt u ook goed kunnen sturen en monitoren. Pas dan kunt u als organisatie ook aantonen dat u ‘in control’ bent.
Een privacy-bewuste medewerker (her)kent de risico’s van het werken met persoonsgegevens per situatie. Hij kijkt objectief naar potentiële risico’s, gevaren, oplossingen en het kader daarvan (zoals maatschappij, organisatie, betrokkenen, etc).
Als privacy-specialist heeft u oog voor de toepassing en naleving van de privacywetgeving. U kent de meerwaarde van een privacybewuste organisatie, waarin men zorgzaam omgaat met persoonsgegevens. Zo een organisatie hoeft niet te vrezen voor een klokkenluider of een boete van de autoriteit persoonsgegevens. Een organisatie waar privacy hoog in het vaandel staat, beschermt optimaal de gegevens van partners, haar werknemers en inwoners.
Hoe kunt u als privacy-specialist eenvoudig aandacht vragen voor privacy en het groeiproces van uw collega’s ondersteunen? U weet, de rol van de medewerkers is cruciaal als het gaat om informatieveiligheid. Afhankelijk van uw beschikbare tijd en de gewenste impact kiest u één van de volgende opties:
Nodig een onaangekondigde gast uit, die de blinde vlekken van de organisatie blootlegt. Dat kan variëren van belangrijke gegevens welke bij de printer zijn blijven liggen, een vrij toegankelijke computer of het kunnen volgen van persoonlijke gesprekken. Een filmopname van een mystery guest is een goede aanleiding om de dialoog op gang te brengen over de risico’s en risicogrenzen van het werken met persoonsgegevens. En samen te concluderen welke verbeteringen wenselijk zijn.
Vraag hulp van een ethische hacker die fouten en beveiligingsproblemen opspoort in ICT (systemen, netwerken, applicaties en servers), omdat u hiermee de veiligheid kunt optimaliseren. Deze computerkraker kent de denk- en werkwijze van kwaadwillende hackers en gebruikt deze om een veilige IT-omgeving te waarborgen. Op deze manier zet u eenvoudig uw eigen ICT-medewerkers op scherp. Zij hebben als geen ander de risico’s in hun digitale omgeving in de gaten.
Leg (een selectie van) medewerkers een vragenlijst voor. Meet met een enquête hun kennis, houding en gedrag. Dit kan bijvoorbeeld met de enquêtemodule van KiC Privacy en KiC Informatieveiligheid. U krijgt inzicht in het bewustzijn van afdelingen en individuen op de verschillende aspecten van informatiebeveiliging, zoals het omgaan met incidenten en datalekken. Zo weet u hoe groot het besef voor risico’s is en of men daar ook naar handelt. Met relatief weinig inspanning heeft u snel inzicht en vergroot u meteen het privacybewustzijn uw collega’s.
De kennis van uw collega’s over het herkennen en onderkennen van risico’s kunt u eenvoudig vergroten met behulp van e-learning. Kies een algemene tool of ontwerp zelf een specifieke cursus voor uw eigen organisatie. Deze manier van leren is breed inzetbaar, flexibel en heeft impact op het kennisniveau van uw collega’s.
Combineer het vergroten van het bewustzijn met het opzetten van een verwerkingsregister. Voeg deze 2 verplichtingen samen: laat uw collega’s per afdeling of proces, alle persoonsgegevens waarmee zij werken in kaart brengen. Hierdoor worden zij zich bewust van alle verwerkingen, welke persoonsgegevens zij allemaal gebruiken en voor welk doel. Dit helpt ongemerkt mee aan het verplichte verwerkingsregister van uw organisatie. Breng daarna de risico’s in beeld. Dit kost veel tijd, maar levert ook veel op: het vergroot het privacybewustzijn van medewerkers en het verwerkingsregister is meteen actueel.
Kortom, er is niet veel nodig om (op een leuke manier) te leren. Dat kan online, met een ludieke actie of in een interactieve workshop. Ga na wat het beste past bij u en uw organisatie en maak privacy een onderdeel van het dagelijkse werk van iedereen in uw organisatie. Zorg ook dat u (vervolg)acties goed kunt monitoren en aan de auditor kan tonen. Zoek naar een passende manier voor uw collega’s om te leren en geef privacy continu uw aandacht. Pakt u privacy op als een eenmalig project dan is het gedoemd om te mislukken. Privacy vraagt structureel uw aandacht.