Van 31 mei tot en met 12 juni publiceren we elke (werk)dag een artikel over de implementatie van de AVG. Geschreven door Marius van Rijswijk, senior consultant bij Verdonck, Klooster & Associates (VKA). Marius spreekt 22 november in Utrecht over het Seminar ‘AVG-Proof in 1,5 jaar voor kinderopvang, basisscholen en kindcentra’. Dit is het laatste artikel in de reeks, die op 31 mei begon met een inleiding.
Artikelreeks AVG – Artikel 8: Hoe borg ik privacy in de cultuur van de organisatie?
U wilt privacy borgen doordat privacy door uw medewerkers wordt gedragen. Alleen op dit manier zorg u ervoor dat uw cliënten zo goed mogelijk worden beschermd. Maar, met alleen regels, procedures en afvinklijstjes loopt uw organisatie een groot privacy risico. Immers, zonder het juiste gedrag zijn regels een wassen neus. De grote uitdaging is dan ook om het gedrag in lijn te brengen met deze privacyregels. Dat vraagt om een gezonde privacy cultuur binnen uw organisatie. Welke middelen kunt u inzetten om deze gewenste cultuur positief te beïnvloeden?
Een duurzame verandering is alleen mogelijk als u aandacht besteed aan de zogenaamde boven- én onderstroom. Een privacy statement, gedragscode en een procedure voor de meldplicht datalekken, de ‘bovenstroom’, is niet voldoende. Voorbeeldgedrag van leidinggevenden, vertrouwen en een open cultuur zijn van essentieel belang. Het positief beïnvloeden van de ‘onderstroom’, de privacy cultuur, vraagt om andere middelen.
Als de boven- en onderstroom in balans zijn zullen uw medewerkers niet uitsluitend de regels, procedures en afvinklijstjes volgen maar zullen zij handelen in de geest van de wet. Dit is vooral bij de AVG van groot belang omdat de AVG wel aangeeft wat je moet doen, maar niet hoé je dat moet doen. Er zitten veel zogenaamde ‘open normen’ in de AVG en het is dus aan u om deze zelf in te vullen. Omdat het juridisch kader geen richting geeft, zult u moeten vertrouwen op uw eigen morele kompas.
Het is belangrijk dat u de koppeling maakt tussen beleid en praktijk. Privacy wordt concreet gemaakt voor de medewerkers op de werkvloer. Dit kunt u doen door (een reeks) verschillende acties uit te voeren om aandacht te krijgen voor het onderwerp. Deze acties kunnen variëren van bekers met een privacyboodschap, flyers en posters tot dilemma-sessies, theater en een privacyspel.
Het uiteindelijke doel van deze acties is om de dialoog en het creatieve denkproces over privacy binnen uw organisatie te stimuleren. Het moet in de haarvaten van de medewerkers gaan zitten. Er is hiervoor geen ‘one size fits all aanpak’ en u zult zelf moeten zoeken naar de passende acties om de privacycultuur positief te beïnvloeden.
Dit is het laatste artikel van de 9 artikelen over de nieuwe Europese privacywetgeving. Hopelijk heeft u wat meer inzicht gekregen in de belangrijkste thema’s uit de AVG en wat deze voor uw organisatie betekenen.
Kijk hier voor meer informatie en een inschrijfformulier voor het Nieuwspoort Seminar ‘AVG-Proof in 10 kwartier – voor kinderopvang, basisonderwijs en kindcentra’ op 14 juni met Marius van Rijswijk (de auteur van dit artikel) en Ina Brouwer, oud politica en advocaat.