Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

Het HagaZiekenhuis ontving in juli als een van de eerste organisaties een hoge boete onder de Algemene Gegevensverordening (AVG) en begin deze maand waren ze wéér in het nieuws. Een medewerker heeft de achterkant van een dienstoverdracht gebruikt als boodschappenlijstje én laten liggen in het boodschappenkarretje. Wederom een datalek door menselijk handelen! Deze week werd bekend dat de betreffende medewerker is ontslagen.

Het handelen van deze medewerker is een groot contrast met een nieuwsbericht dat eerder dit jaar op nu.nl verscheen: ‘Nederlanders bovengemiddeld bewust van privacyrechten’. Kennelijk is de Nederlandse bevolking zich goed bewust van de mogelijkheden die de AVG hen biedt. Nederlanders weten meer over privacyrechten dan de gemiddelde Europeaan. Maar hoe zit dat als we aan de andere kant van de keten staan? Gaan we zelf tijdens onze dagelijkse werkzaamheden wel bewust om met persoonsgegevens van anderen? Zijn jouw medewerkers zich tijdens hun werkzaamheden bewust van de AVG? Uit het nieuwsbericht over het HagaZiekenhuis blijkt weer dat de mens/ medewerker de zwakste schakel is als het gaat om de omgang met persoonsgegevens. Hoe zorg jij ervoor dat jouw medewerkers wel privacybewust zijn en blijven?

 

Aandacht voor de AVG

Zoals uit het datalek bij het HagaZiekenhuis blijkt, zijn medewerkers de belangrijkste schakels in het uitvoeren en effectueren van privacy en gegevensbescherming. Helaas zijn zij niet altijd in staat om de impact van privacy op hun eigen werkzaamheden te beoordelen, laat staan om goed te handelen bij een calamiteit. Dit is meestal geen tekortkoming aan de kant van de medewerker, maar juist een inschattingsfout door het bestuur en management. Budgetten voor de implementatie zijn ruim een jaar na de inwerkingtreding van de AVG opgedroogd en prioriteiten bij het bestuur en management zijn weer verschoven. De aandacht is weer terug naar de dagelijkse werkzaamheden.

In de meeste organisaties heerst het gevoel dat nu de implementatie van de AVG afgerond is, en we anderhalf jaar verder zijn, het toch wel klaar is met de AVG. Niets is minder waar, het begint nu pas. Privacy moet nog steeds een superbelangrijk speerpunt zijn op de agenda van het bestuur en management. Zorg voor een goede rapportage of een dashboard over de actuele status. Dit kan helpen het punt op de agenda te houden, en in te grijpen als het de verkeerde kant op dreigt te gaan.

De verwachting is dat de Autoriteit Persoonsgegevens als Nederlandse toezichthouder op de AVG in de tweede helft van 2019 weer zijn tanden gaat laten zien en er meer boetes gaan vallen. Maar voor veel medewerkers is dat een abstract risico dat ver van ze afstaat. Wat al dichterbij komt is imago- en reputatieschade. Elke medewerker ondervindt consequenties van negatieve media-aandacht, boze klanten aan de lijn of zelfs het vertrek van klanten. Dat raakt de dagelijkse werkzaamheden, maar ook de medewerker persoonlijk. Aansluiten bij de belevingswereld van medewerkers zorgt dat zij de impact en gevolgen voor hun dagelijkse werk ervaren.

Cannot bind source type Lecoati.LeBlender.Extension.Models.LeBlenderModel to model type Infocaster.Eiffel.Web.Models.Items.FeaturedEventBlock.

Bewustwording onder de AVG

Een belangrijk onderdeel van een privacybeleid zijn actieve bewustwordingscampagnes. Dit kan door ludieke acties te organiseren, waardoor medewerkers herinnerd worden aan het belang van goede wachtwoorden, het vergrendelen van de computer bij afwezigheid maar ook de bewustwording dat persoonsgegevens overal zijn en vrijwel iedereen daar dagelijks mee te maken heeft. Bij een ludieke actie denk ik bijvoorbeeld aan het uitdelen van rode kaarten aan medewerkers die hun computer niet locken of medewerkers die wel hun computer locken te belonen met een traktatie.

Bewustwordingsworkshops zijn een andere belangrijke tool om jouw organisatie scherp te houden. In kleine groepen van 10-20 medewerkers kan er interactief verdiept worden op thema’s zoals datalekken, persoonsgegevens en rechten van betrokkenen. Sluit naast de inhoudelijke verdieping ook aan op de dagelijkse werkpraktijk van de medewerkers. Hoe doe je dit? Door actief input op te halen. Tijdens een workshop beantwoord ik vragen van deelnemers aan de hand van mijn eigen ervaringen als Privacy Officer en Privacy adviseur. Met die voorbeelden sluit ik ook aan op mijn publiek: zitten er medewerkers van de afdeling HR? Dan zijn voorbeelden over medewerkersgegevens, verzuimgegevens en personeelsdossiers passend. Heb ik te maken met collega’s van de IT afdeling, dan is een discussie over ‘wanneer is iets een persoonsgegeven’ relevant. Voor collega’s met direct klantcontact gaat het juist om de manier waarop je met een bepaald verzoek omgaat. Hoe kun je service bieden zonder daarbij te veel persoonsgegevens te delen of te registreren?

Geef je medewerkers de mogelijkheid geeft om eigen vragen te delen tijdens de workshops. Op die manier weten ze hoe te handelen in een bepaalde situatie. Dat zorgt ervoor dat jouw medewerkers waakzaam zijn en dat er bij hen ‘een belletje gaat rinkelen’ op het moment dat een e-mail verkeerd verstuurd wordt of wanneer ze te maken krijgen met grote Excel bestanden met daarin klantgegevens. Maar nog veel belangrijker, als ze te maken krijgen met een privacybewuste klant die kritische vragen stelt.

 

Privacy communicatie

Deel getallen, weetjes en informatie op intranet. Zorg dat je organisatie met enige regelmaat iets kan lezen over privacy op bijvoorbeeld het intranet. Even kijken op intranet is vaak een vast onderdeel van de dagelijkse routine en bovendien is intranet (meestal) de startpagina. Kan niet missen dus. Zorg voor berichtgeving op verschillende niveaus. Deel ervaringen, maar ook cijfers over het aantal datalekken in een bepaalde periode. Maar ook een kort verslagje van de uitkomst van een DPIA bij de implementatie van een softwaresysteem kan leuk zijn. Door met enige regelmaat van de Privacy Officer te laten horen, weten collega’s die persoon ook te vinden als ze iets tegenkomen of vragen hebben. Bovendien ‘beloon’ je door het informeren via intranet de medewerkers die een datalek hebben gemeld en weten zij ook wat de uitkomst daarvan was. Zolang privacy zichtbaar is, blijft het hangen en zijn je medewerkers eerder in staat om te reageren als er iets afwijkt.

Wil jij voorkomen dat jouw organisatie de volgende is die een boete krijgt wegens een lek, of daardoor zelfs een medewerker moet ontslaan? Ga dan aan de slag met bewustwording.
Wil je weten hoe wij jouw organisatie kunnen helpen bij het creëren en het verankeren van privacybewustwording, neem dan contact met mij op!

Een medewerker ontslaan wegens het veroorzaken van een datalek, mag dat zomaar? Lees het in ons volgende artikel waarbij we de arbeidsrechtelijke aspecten van het lek bij het HagaZiekenhuis bespreken.

Privacy bij EIFFEL
Download nu onze brochure
Wij hebben brede ervaring op het gebied van privacy-advisering, de meldplicht datalekken en de implementatie van de AVG. Lees in onze brochure hoe wij organisaties kunnen helpen met hun privacy vraagstukken.
Download
Over de auteur

Ik krijg er energie van om verschillende disciplines met elkaar te verbinden. Dat is mijn doel! Ik denk mee als business partner en ga uit van de mogelijkheden. Hierdoor ontstaat er altijd een oplossing met oog voor de juridische kaders.

Neem contact op Sophie Simons Consultant Legal
06 1346 51 57
Gerelateerde artikelen
Alle artikelen