Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De AVG vervangt de huidige Wet bescherming persoonsgegevens (Wbp). De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Doel van de wet is om de privacy van burgers te verbeteren. Alle organisaties in de Europese Unie die te maken hebben met natuurlijke personen, moeten volgens deze wet gaan handelen. De wet stelt een enerzijds een aantal (extra) eisen aan organisaties en geeft anderzijds burgers een aantal (extra) rechten. Europese privacy toezichthouders krijgen stevige bevoegdheid. Bijvoorbeeld om boetes tot 20 miljoen euro op te leggen bij het niet naleven van deze wet. Meer informatie over deze wet is hier te vinden.


Impact

Uiteraard vraagt deze nieuwe wet een impactanalyse voor je organisatie. Daaruit vloeit nieuwe procesinrichting voort en eventuele systeemondersteuning. Maar is dit het dan? De wet gaat ver en een datalek is in een oogwenk gebeurd via een gehakte laptop, verloren USB-stick enz. Wij denken dat er meer nodig is en dit blijkt ook uit de cijfers.

Er blijkt een ongeveer evenredige verdeling tussen de drie belangrijkste oorzaken:

  • 29% Technische oorzaken zoals apparatuur en programmatuur
  • 37% Medewerkers: Bewuste overtredingen/hacks
  • 35% Medewerkers: onwetendheid en slordigheid

Daarnaast vindt 92% van de medewerkers dat security iets is van de IT-afdeling.

Uitdaging

De belangrijkste uitdaging zit er dus in om ervoor te zorgen dat medewerkers het benodigde gedrag gaan vertonen om de wet goed na te kunnen leven. Hiervoor zal in eerste instantie kennis en bewustzijn nodig zijn via passende en begrijpelijke informatie. Vervolgens zullen zij hierin de gewenste houding in aan moeten nemen om tot slot in actie te komen en het benodigde gedrag laten zien.

 

Cultuurverandering
Een dergelijke gedragsverandering wordt vaak onderschat. De snelheid waarin deze plaats kan vinden hangt in belangrijke mate af van de aanwezige cultuur binnen de organisatie. Iedereen weet dat cultuurveranderingen taai kunnen zijn. Wanneer de invoering van de AVG-wet je om deze reden (grote) zorgen baart, is het waarschijnlijk tijd om naar de cultuur en het leiderschap van de organisatie te kijken. Leidinggevenden op alle niveaus spelen een belangrijk rol in het creëren van de gewenste cultuur. Samen met de medewerkers kan stap voor stap gebouwd worden aan deze cultuur. Wat zijn de belangen? Wat zijn de onderliggende drijfveren? Hoe zijn de onderlinge relaties? Zijn er duidelijke kaders met voldoende handelingsvrijheid? Wie heeft welke talenten en hoe worden die benut? Vanuit een open en sterke cultuur creëer je een stevige basis om (toekomstige) benodigde gedragsveranderingen snel te kunnen realiseren.

Bronnen: Symantec and the Ponemon Institute 2017 en ‘Werknemer laat security over aan IT-afdeling’ (11 april 2017).