Smile
Terug naar hoofdmenu
Terug naar het overzicht

In dit ‘drieluik’ geven we het woord aan Smile directeur Wendy Geurkink. Zij heeft een positieve en mensgerichte visie op trends op het gebied van Kwaliteit & Veiligheid’, ‘Privacy & Informatiebeveiliging’ en ‘Governance, Risk & Compliance’ en gelooft in digitalisering als katalysator. 

Data privacy staat volop in de belangstelling. Sinds mei 2018 is de Algemene Verordening Gegevensbescherming (AVG of GDPR) van kracht en de e-Privacy Verordening (ePV) komt eraan, al duurt het mogelijk nog tot mei 2020 voordat deze e-Privacy aanvulling op de AVG echt in werking zal treden.

Door de AVG worden onze persoonsgegevens weliswaar beter beschermd, maar veel bedrijven worstelen nog met alle noodzakelijke maatregelen. Datalekken zijn aan de orde van de dag en de Autoriteit Persoonsgegevens (AP) laat steeds vaker van zich horen via controles en dwangsommen of boetes.

De AVG/GDPR vraagt om een integraal geborgd proces. Om compliant te worden en blijven moet het onderwerp Privacy & Informatiebeveiliging goed verankerd zijn in het beleid van de organisatie en moet er voldoende draagvlak bij medewerkers zijn. Als Data Protection Officer (DPO), Chief Information Security Officer (CISO), Privacy Officer (PO) of Functionaris Gegevensbescherming (FG) heb je dus de zware taak meer bewustwording te creëren voor het belang van privacy & informatiebeveiliging in alle lagen van de organisatie. Hoe maak je deze verantwoordelijkheid waar?

Voor 2019 zie ik de volgende trends:

1 – Maak het praktisch voor de werkvloer met behulp van digitalisering

Privacy en informatiebeveiliging is niet iets dat je vanuit een ivoren toren uitrolt. Werknemers hebben moeite met ingewikkelde juridische of technische maatregelen: zij willen vooral weten waar ze concreet rekening mee moeten houden. Dat vraagt om een goede vertaling van de wetgeving naar de dagelijkse werkpraktijk en een slimme manier om de informatie te verspreiden. Eenmalige bewustwordingsprogramma’s zijn daarvoor weinig effectief. Het werkt beter om de werkvloer regelmatig te laten stilstaan bij wat ze praktisch kunnen doen en waarom dat belangrijk is. Met online self-assessments sla je twee vliegen in een klap: medewerkers krijgen inzicht in (het waarom van) de maatregelen én toetsen zichzelf in de mate waarin ze al in control zijn. Meer resultaat met minder moeite dus, en dat is waar digitalisering voor bedoeld is!

2 – Zoek de feedback op

Met self-assessments kunnen beleidsvisies en -maatregelen worden gekoppeld aan uitdagingen voor de werkvloer. Een dergelijke evaluatie is tevens een ideaal startpunt om een feedbackloop op gang te brengen die organisaties helpt om continu verbeterslagen te maken. De praktijk laat zien dat mensen hun eigen gedrag in een self-assessment kritischer beoordelen dan gebeurt via traditionele audits. Een positief neveneffect is dat de werkvloer de uitkomsten ook in een team kan bespreken; deze ervaringen kunnen vervolgens weer op beleidsniveau worden meegenomen. Op die manier stimuleren organisaties een enorm verbeterpotentieel en handelen medewerkers steeds meer in lijn met de wet. Een prettige gedachte.

3 – Kijk verder dan privacy champions

Self-assessments kunnen onder een groot deel van de medewerkers worden uitgezet. Het is ook mogelijk om gebruik te maken van privacy champions, die de toetsvragen invullen en in hun teams bespreken. Zorgvuldigheid is hierbij wel geboden. Bij een sterke focus op privacy champions – of initiatieven zoals de privacymedewerker van de maand – ontstaat het risico dat andere medewerkers gedemotiveerd raken. Uit Organisational Behaviour Management weten we dat belonen beter werkt dan straffen. Wie alleen de koplopers beloont, zegt daarmee impliciet dat anderen verliezers zijn – en zo geef je hen eigenlijk een straf in plaats van een positieve stimulans. Zorg er dus voor dat je ook degenen die nog niet zo hoog scoren bedankt voor hun medewerking en prestatie. Elke kleine verbeterstap is er een.

4 – Zie privacy als nieuwe kwaliteitsnorm

Privacy en informatiebeveiliging zijn een nieuw onderdeel van de kwaliteitseisen waarmee elke organisatie rekening moet houden. Het creëren van bewustwording is best een flinke klus. Maar wie aansluiting zoekt bij wat er al is – bijvoorbeeld op het vlak van kwaliteit en veiligheid – kan er makkelijker mee aan de slag, zonder dat het voor de werkvloer een extra opgave wordt. Bedenk daarbij dat het eigenlijk heel normaal is dat we goed omgaan met persoonsgegevens, het hoort anno nu bij maatschappelijk verantwoord ondernemen. Als je deze boodschap aan de werkvloer kunt overbrengen, heb je direct een voedingsbodem voor goede naleving. Iedereen wil graag werken zonder dat er kinderarbeid of milieuschade bij komt kijken – en dus ook zonder dat de bescherming van persoonsgegevens onder druk staat. Zo wordt de AVG ineens heel logisch.