Privacy awareness creëren bij medewerkers

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter

Uit het jaarrapport 2020 van de AP is gebleken dat meer dan 75% van de datalekken ontstaat als gevolg van menselijke fouten. Dit zijn fouten die veelal ontstaan door een gebrek aan privacybewustzijn bij medewerkers. De medewerker heeft dan ook een cruciale rol in het naleven van de privacywetgeving. 

De AVG-compliance in een organisatie valt en staat met de mate van privacybewustzijn van de medewerkers die betrokken zijn bij de verwerking van persoonsgegevens. Alledaagse beroepsmatige handelingen vallen al gauw onder de noemer ‘verwerking van persoonsgegevens’. Hierbij kun je denken aan het raadplegen van een contactgegevensbestand, het versnipperen van documenten met persoonsgegevens en het verzenden van publicitaire mails. Al deze handelingen kunnen potentieel een datalek veroorzaken, met een mogelijke boete van de AP of zelfs imagoschade als gevolg.

Zelfs wanneer het IT-beveiligingssysteem van een organisatie volledig waterdicht is, kunnen er privacyrisico’s optreden op het moment dat medewerkers zich onvoldoende bewust zijn van dergelijke ‘red flags’ en daardoor mogelijk onzorgvuldig handelen met persoonsgegevens. Zo is uit het jaarrapport 2020 van de AP gebleken dat meer dan 75% van de datalekken ontstaat als gevolg van menselijke fouten. Denk hierbij aan het verzenden van persoonsgegevens aan de verkeerde ontvanger, een brief met persoonsgegevens kwijtraken, of een USB-stick of document met persoonsgegevens kwijtraken.

In de blog van deze week gaan we dan ook nader in op de vraag: ‘Hoe kan het beste awareness worden gecreëerd bij medewerkers die direct zijn betrokken bij de verwerking van persoonsgegevens?’

Awareness creëren

AVG-compliance verkrijg je niet door enkel de verplichte vakjes af te vinken en het daarbij te laten. Compliant zijn start bij het creëren van privacybewustzijn, ook wel ‘awareness’ genoemd, bij alle betrokken medewerkers. Awareness wil zeggen dat een werknemer zich bewust is van het belang van het naleven van de privacyregels en inzicht heeft in welke privacyrisico’s zich kunnen voordoen. Dit heeft tot gevolg dat de werknemer zorgvuldiger met persoonsgegevens omgaat en ook weet welke stappen te zetten in verdachte situaties.

Hoewel in veel organisaties een aanzienlijk deel van de medewerkers betrokken is bij enige vorm van gegevensverwerking, heeft niet elke medewerker als hoofdtaak zich bezig te houden met expliciete privacytaken. Daarom is het van belang dat de privacy-kennis op een inzichtelijke manier wordt gepresenteerd.

Efficiënte en kwalitatieve kennisoverdracht

De mate van privacy awareness onder medewerkers is dus sterk afhankelijk van de wijze waarop de kennis wordt overgebracht. Een enkele klassikale lesmiddag of het ophangen van een poster in de werkruimte om de medewerker te herinneren aan de risico’s zullen weinig effect hebben. In het eerste geval zal het grootste deel van de opgedane kennis worden vergeten en in het tweede geval zal de medewerker door gewenning de poster niet eens meer opmerken. De beste manier waarop nieuwe kennis kan worden opgedaan is gebaseerd op de kracht van herhaling.

De Duitse psycholoog Hermann Ebbinghaus is in zijn leerpsychologische onderzoeken tot de ontdekking gekomen dat nieuw aangeleerde kennis vlak na bestudering vaak vrijwel volledig gereproduceerd kan worden. Naarmate de tijd verstrijkt, neemt het vermogen om de bestudeerde kennis te reproduceren steeds meer af. Dit wordt ook wel de ‘Ebbinghaus vergeetcurve’ genoemd.

Op basis van de Ebbinghaus vergeetcurve en andere wetenschappelijk onderbouwde theorieën zijn leermethoden ontwikkeld om nieuwe kennis efficiënt te memoriseren.

Allereerst is het van belang om de stof in kleine behapbare delen te presenteren. Vervolgens moet de stof na een bepaalde tijd herhaald worden om te controleren of deze gememoriseerd is. Stof die nog niet eigen is gemaakt, dient vaker herhaald te worden. Het geven van directe feedback op zowel goede als foute antwoorden werkt ook vele malen efficiënter dan de feedback bewaren voor aan het einde van een lang studieblok.

Wanneer al deze elementen gecombineerd worden kan slim geleerd worden met 20% tot 40% tijdswinst.

Terugkomend op de vraag: ‘Hoe kan het beste awareness gecreëerd worden bij medewerkers die direct zijn betrokken bij de verwerking van persoonsgegevens?’, kan geconcludeerd worden dat de wijze waarop kennis wordt overgebracht een van de belangrijkste factoren is in het creëren van awareness.

Voor onze awareness training voor medewerkers die betrokken zijn bij de verwerking van persoonsgegevens hebben wij in samenwerking met Institute of Microtraining en aNewSpring een mobiele app ontwikkeld. De eerdergenoemde wetenschappelijk bewezen theorieën zijn belangrijk geweest bij de ontwikkeling van de privacy awareness mobiele app. De stof wordt in behapbare delen gepresenteerd, er wordt directe feedback gegeven en moeilijke stof wordt vaker herhaald over variërende tijdsintervallen.

Door de manier waarop wij met onze awareness training de kennis overbrengen, weet je zeker dat de medewerker de informatie heeft begrepen en de opgedane kennis in het langetermijngeheugen heeft opgeslagen. Wanneer een medewerker zich de kennis volledig eigen heeft gemaakt, pas dan kan echt sprake zijn van privacy awareness bij de medewerker.

Darinka Zarić

Darinka Zarić

Darinka Zarić is jurist bij The Privacy Factory. Nieuwe juridische vraagstukken die ontstaan in een gedigitaliseerde samenleving spreken haar enorm aan. Met name op het gebied van privacyrecht en de inzet van big data. Momenteel volgt zij aan de Vrije Universiteit Amsterdam de master Internet, intellectuele eigendom en ICT.

Volg onze publicaties

cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.