Skip to main content

Privacy: prioriteit of moetje?


Deze week bestond de AVG-privacywet drie jaar. De AVG stelt strengere eisen aan het verzamelen van persoonsgegevens. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij is om de aandacht van bestuurders voor dit onderwerp te krijgen én houden. Want hoe krijg je privacy in de dagelijkse routine en hoger op de prioriteitenlijst van bestuurders?

Digitale technologie is onderdeel van ons dagelijks leven geworden. En door de situatie die is ontstaan door het coronavirus, waarbij veel meer via digitale middelen wordt gedaan, zijn we alleen nog maar afhankelijker geworden. Opmerkelijk en wellicht het gevolg van snelle ontwikkelingen, is het feit dat er in eerste instantie weinig oog lijkt voor privacybescherming. Dit terwijl de media bijna wekelijks over incidenten op privacyvlak berichten. Of het nu gaat om datalekken, identiteitsfraude, cyberaanvallen, digitale fraude, cyberspionage of phishing, de media staan er bol van. Ieder zijn rol en alertheid als het gaat om privacy is nu dus belangrijker dan ooit. Zelfs de Raad van Openbaar Bestuur (ROB) pleit voor een minister voor Digitale Zaken, was deze week te zien bij Nieuwsuur.

Privacy moet onderdeel dagelijkse routine worden

Als gemeente staat goede dienstverlening richting burgers en bedrijven bovenaan je prioriteitenlijst. Ook is het niet eerder voor gemeenten zo belangrijk geweest om burgers digitaal te kunnen bereiken. Hierbij worden veel (persoons)gegevens verzamelt en verwerkt. Bewust en zorgvuldig omgaan met deze gegevens is dus van cruciaal belang, zeker gezien het aantal datalekken en cyberaanvallen dat hard stijgt. Als gemeente is het je taak om ervoor te zorgen dat de toevertrouwde informatie van burgers en bedrijven niet op straat komt te liggen. Inwoners en bedrijven moeten er immers op kunnen vertrouwen dat hun (persoons)gegevens in goede handen zijn bij de gemeente. Kortom, privacy zou bovenaan dat lijstje moeten worden toegevoegd. Maar gebeurt dat ook of wordt privacy nog steeds vaak gezien als een ‘moetje’?

Wil je hier meer aandacht voor dan kun je twee methoden toepassen: inspelen op angst of inspelen op verlangen. Welke van deze twee het beste werkt, is afhankelijk van de personen en organisatie. Angst is over het algemeen een iets krachtigere emotie. En beide methoden vragen tijd en herhaling. Het is namelijk een uitdaging die continue alertheid en aandacht vraagt van bestuurders, en niet pas nadat de schade al is aangericht. Een gewaarschuwd mens telt immers voor twee. Uiteraard kun je ervoor kiezen om niks te doen en te wachten tot er zich een incident voordoet (inspelen op angst). Maar besef wel dat een incident kan leiden tot materiële en immateriële schade voor je organisatie. Dit kost geld, zeker na het in werking treden van de Meldplicht datalekken in 2016 en de AVG in 2018. Reputatieschade is de meest voorkomende vorm van schade, maar ook de vorm die het meest eenvoudig te voorkomen is. De kans op een crisis is groter en dichterbij dan je vermoedt. Maar hoe kun je de alertheid en handelingsperspectief van bestuurders op dit vlak vergroten en ervoor zorgen dat ook zij veilig handelen?

Argumenten voor bestuur 

Directie en management zijn integraal verantwoordelijk voor de interne processen en daarmee dus ook voor een veilig gebruik van informatie. In hoofdstuk 4 van ons boek ‘Gemeenten. Bewustzijn. Privacy.’ vind je verschillende argumenten voor het bestuur over waarom het belangrijk is aan informatiebeveiliging en privacybescherming te werken. In deze blog wil ik graag één punt verder uitlichten, namelijk het voorbeeldgedrag van bestuur en directie. Benieuwd naar de andere argumenten? Bestel dan ons boek waarin we meer privacy maatregelen helder beschrijven en concrete handvaten geven om een privacy bewustwordingsprogramma op te zetten.

Voorbeeldgedrag van bestuur en directie

Leiderschap en daarmee samenhangend voorbeeldgedrag, is de sleutel tot succes en een randvoorwaarde als het gaat om een blijvende (gedrags)verandering en privacybewustzijn. Directie en bestuur dienen het goede voorbeeld te geven in de manier van omgaan met gevoelige informatie en een werkomgeving te creëren waarin de medewerkers gestimuleerd worden zorgvuldig en integer met de informatie om te gaan. De bestaande cultuur in de gemeente is hierbij van invloed. Als er bij de afdelingshoofden en teamleiders al een stemming heerst dat ‘zij op de beleidsafdeling’ niet weten wat er speelt, en ze hebben het gevoel dat er van alles van bovenaf wordt opgelegd, dan is de kans klein dat ze privacy de aandacht geven die het verdient.

Hoe doe je dat dan?

Er zijn vele manieren waarop bestuur en directie kunnen laten zien dat ze betrokken zijn:

  1. Wees bewust van eigen handelen en geef het goede voorbeeld. Om te bepalen welke normen op ons van toepassing zijn, kijken we naar het gedrag van anderen en dan met name naar personen die voor ons van betekenis zijn. Binnen gemeenten zijn dit naast direct leidinggevenden, ook het bestuur en management. Als een medewerker zijn leidinggevende bijvoorbeeld elke dag zijn toegangspas zichtbaar ziet dragen, zal hij eerder geneigd zijn dit ook te doen. Zeker wanneer je hier ook nog eens door je leidinggevende op wordt aangesproken. Wees je als leidinggevende dus bewust van je voorbeeldfunctie en stop zelf ook met het delen van wachtwoorden, e-mailen naar privé mailadres, het gebruik van gratis clouddiensten en het ongebreideld genereren van ongestructureerde data (door het (laten) exporteren van gegevens uit beveiligde systemen naar onbeveiligde Excels die oncontroleerbaar rond gaan zwerven). 
  2. Wees alert op situaties waar persoonsgegevens gebruikt worden. Voer als leidinggevende controles uit. Vraag bijvoorbeeld eens door of er geen vertrouwelijke informatie wordt weggegeven. Of controleer of er bij de start van een nieuw project, applicatie of dienst persoonsgegevens worden verwerkt en of daarbij de juiste stappen worden gezet om te voldoen aan de privacywetgeving, zoals bijvoorbeeld het (laten) uitvoeren van een Data Protection Impact Assesment (DPIA).
  3. Maak privacy bespreekbaar. Het onderwerp landt pas echt als een team erover praat. Hier komt de leidinggevende om de hoek kijken: maak duidelijk wat privacy inhoudt en welk gedrag je van je medewerkers verwacht op het vlak van digitale veiligheid en stuur hierop aan door regelmatig de vraag te stellen: ‘Hoe zit het met de privacy?’ Dat kan in stuurgroepen, maar ook in werkoverleggen, bila’s (bilateraal overleg) en door het opnemen van privacy en informatiebeveiliging in jaar-/functioneringsgesprekken met collega’s. 
  4. Stel de juiste middelen beschikbaar. Als je je medewerkers vraagt om regels na te leven, is het ook belangrijk dat ze het kunnen doen. Zo dienen de juiste middelen beschikbaar te zijn, denk hierbij aan: systemen, tijd, voorzieningen om bijvoorbeeld vertrouwelijke gesprekken te kunnen voeren en vertrouwelijke informatie veilig in kluisjes op te kunnen bergen, et cetera.
  5. Stimuleer medewerkers om kennis op te doen van het vakgebied. Laat bijvoorbeeld alvast weten dat er een e-learning aan komt, en leg uit waarom het belangrijk is dat alle collega’s deze moeten volgen. Ondersteun ook het bewustwordingsprogramma voor alle medewerkers en haak hierop aan.
  6. Zorg voor een veilige meldcultuur. Door zelf onveilige situaties te melden en anderen stimuleren dat ook te doen. Stimuleer hierbij de leercultuur. Reken collega’s dus niet af op onbewust onveilig gedrag, maar wees ook helder in wat je dan wél van mensen verwacht (het gewenste gedrag). Als het gaat om privacy kunnen collega’s tegen veel dilemma’s en vraagstukken aanlopen. Zorg dat er voldoende ruimte is om dit als medeweker aan te geven. Door hier openlijk met elkaar over te praten kan dit een gevoel van veiligheid creëren.

Bovenstaande punten kunnen helpen de digitale veiligheid binnen de gemeente te verhogen en privacy de prioriteit te geven die het verdient. Het verkrijgen en houden van deze steun kan je resultaat, een informatie en privacybewuste organisatie, en het succes van je bewustwordingsprogramma, maken of breken. Belangrijk hierbij is wel dat je dit moet blijven herhalen, wil je iets voor de langere termijn voor elkaar krijgen en privacy echt borgen in de organisatie.

Tot slot nog een tip: stuur deze blog door naar betreffende leidinggevenden binnen jouw gemeente.

Meer informatie?
Heb jij nog aanvullende tips of ervaringen op dit vlak, zoals redenen om informatiebeveiliging en privacybescherming serieus te nemen, of heb je juist hulp nodig binnen jouw gemeente? Laat ons dit dan even weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…