Deze week bestond de AVG-privacywet drie jaar. De AVG stelt strengere eisen aan het verzamelen van persoonsgegevens. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij is om de aandacht van bestuurders voor dit onderwerp te krijgen én houden. Want hoe krijg je privacy in de dagelijkse routine en hoger op de prioriteitenlijst van bestuurders?
Digitale technologie is onderdeel van ons dagelijks leven geworden. En door de situatie die is ontstaan door het coronavirus, waarbij veel meer via digitale middelen wordt gedaan, zijn we alleen nog maar afhankelijker geworden. Opmerkelijk en wellicht het gevolg van snelle ontwikkelingen, is het feit dat er in eerste instantie weinig oog lijkt voor privacybescherming. Dit terwijl de media bijna wekelijks over incidenten op privacyvlak berichten. Of het nu gaat om datalekken, identiteitsfraude, cyberaanvallen, digitale fraude, cyberspionage of phishing, de media staan er bol van. Ieder zijn rol en alertheid als het gaat om privacy is nu dus belangrijker dan ooit. Zelfs de Raad van Openbaar Bestuur (ROB) pleit voor een minister voor Digitale Zaken, was deze week te zien bij Nieuwsuur.
Als gemeente staat goede dienstverlening richting burgers en bedrijven bovenaan je prioriteitenlijst. Ook is het niet eerder voor gemeenten zo belangrijk geweest om burgers digitaal te kunnen bereiken. Hierbij worden veel (persoons)gegevens verzamelt en verwerkt. Bewust en zorgvuldig omgaan met deze gegevens is dus van cruciaal belang, zeker gezien het aantal datalekken en cyberaanvallen dat hard stijgt. Als gemeente is het je taak om ervoor te zorgen dat de toevertrouwde informatie van burgers en bedrijven niet op straat komt te liggen. Inwoners en bedrijven moeten er immers op kunnen vertrouwen dat hun (persoons)gegevens in goede handen zijn bij de gemeente. Kortom, privacy zou bovenaan dat lijstje moeten worden toegevoegd. Maar gebeurt dat ook of wordt privacy nog steeds vaak gezien als een ‘moetje’?
Wil je hier meer aandacht voor dan kun je twee methoden toepassen: inspelen op angst of inspelen op verlangen. Welke van deze twee het beste werkt, is afhankelijk van de personen en organisatie. Angst is over het algemeen een iets krachtigere emotie. En beide methoden vragen tijd en herhaling. Het is namelijk een uitdaging die continue alertheid en aandacht vraagt van bestuurders, en niet pas nadat de schade al is aangericht. Een gewaarschuwd mens telt immers voor twee. Uiteraard kun je ervoor kiezen om niks te doen en te wachten tot er zich een incident voordoet (inspelen op angst). Maar besef wel dat een incident kan leiden tot materiële en immateriële schade voor je organisatie. Dit kost geld, zeker na het in werking treden van de Meldplicht datalekken in 2016 en de AVG in 2018. Reputatieschade is de meest voorkomende vorm van schade, maar ook de vorm die het meest eenvoudig te voorkomen is. De kans op een crisis is groter en dichterbij dan je vermoedt. Maar hoe kun je de alertheid en handelingsperspectief van bestuurders op dit vlak vergroten en ervoor zorgen dat ook zij veilig handelen?
Directie en management zijn integraal verantwoordelijk voor de interne processen en daarmee dus ook voor een veilig gebruik van informatie. In hoofdstuk 4 van ons boek ‘Gemeenten. Bewustzijn. Privacy.’ vind je verschillende argumenten voor het bestuur over waarom het belangrijk is aan informatiebeveiliging en privacybescherming te werken. In deze blog wil ik graag één punt verder uitlichten, namelijk het voorbeeldgedrag van bestuur en directie. Benieuwd naar de andere argumenten? Bestel dan ons boek waarin we meer privacy maatregelen helder beschrijven en concrete handvaten geven om een privacy bewustwordingsprogramma op te zetten.
Leiderschap en daarmee samenhangend voorbeeldgedrag, is de sleutel tot succes en een randvoorwaarde als het gaat om een blijvende (gedrags)verandering en privacybewustzijn. Directie en bestuur dienen het goede voorbeeld te geven in de manier van omgaan met gevoelige informatie en een werkomgeving te creëren waarin de medewerkers gestimuleerd worden zorgvuldig en integer met de informatie om te gaan. De bestaande cultuur in de gemeente is hierbij van invloed. Als er bij de afdelingshoofden en teamleiders al een stemming heerst dat ‘zij op de beleidsafdeling’ niet weten wat er speelt, en ze hebben het gevoel dat er van alles van bovenaf wordt opgelegd, dan is de kans klein dat ze privacy de aandacht geven die het verdient.
Er zijn vele manieren waarop bestuur en directie kunnen laten zien dat ze betrokken zijn:
Bovenstaande punten kunnen helpen de digitale veiligheid binnen de gemeente te verhogen en privacy de prioriteit te geven die het verdient. Het verkrijgen en houden van deze steun kan je resultaat, een informatie en privacybewuste organisatie, en het succes van je bewustwordingsprogramma, maken of breken. Belangrijk hierbij is wel dat je dit moet blijven herhalen, wil je iets voor de langere termijn voor elkaar krijgen en privacy echt borgen in de organisatie.
Tot slot nog een tip: stuur deze blog door naar betreffende leidinggevenden binnen jouw gemeente.
Meer informatie?
Heb jij nog aanvullende tips of ervaringen op dit vlak, zoals redenen om informatiebeveiliging en privacybescherming serieus te nemen, of heb je juist hulp nodig binnen jouw gemeente? Laat ons dit dan even weten en neem contact met ons op.
Om een in-house cursus in te plannen, neem contact met ons op!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap