Deze week bestond de AVG-privacywet drie jaar. De AVG stelt strengere eisen aan het verzamelen van persoonsgegevens. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij is om de aandacht van bestuurders voor dit onderwerp te krijgen én houden. Want hoe krijg je privacy in de dagelijkse routine en hoger op de prioriteitenlijst van bestuurders?

Digitale technologie is onderdeel van ons dagelijks leven geworden. En door de situatie die is ontstaan door het coronavirus, waarbij veel meer via digitale middelen wordt gedaan, zijn we alleen nog maar afhankelijker geworden. Opmerkelijk en wellicht het gevolg van snelle ontwikkelingen, is het feit dat er in eerste instantie weinig oog lijkt voor privacybescherming. Dit terwijl de media bijna wekelijks over incidenten op privacyvlak berichten. Of het nu gaat om datalekken, identiteitsfraude, cyberaanvallen, digitale fraude, cyberspionage of phishing, de media staan er bol van. Ieder zijn rol en alertheid als het gaat om privacy is nu dus belangrijker dan ooit. Zelfs de Raad van Openbaar Bestuur (ROB) pleit voor een minister voor Digitale Zaken, was deze week te zien bij Nieuwsuur.

Privacy moet onderdeel dagelijkse routine worden

Als gemeente staat goede dienstverlening richting burgers en bedrijven bovenaan je prioriteitenlijst. Ook is het niet eerder voor gemeenten zo belangrijk geweest om burgers digitaal te kunnen bereiken. Hierbij worden veel (persoons)gegevens verzamelt en verwerkt. Bewust en zorgvuldig omgaan met deze gegevens is dus van cruciaal belang, zeker gezien het aantal datalekken en cyberaanvallen dat hard stijgt. Als gemeente is het je taak om ervoor te zorgen dat de toevertrouwde informatie van burgers en bedrijven niet op straat komt te liggen. Inwoners en bedrijven moeten er immers op kunnen vertrouwen dat hun (persoons)gegevens in goede handen zijn bij de gemeente. Kortom, privacy zou bovenaan dat lijstje moeten worden toegevoegd. Maar gebeurt dat ook of wordt privacy nog steeds vaak gezien als een ‘moetje’?

Wil je hier meer aandacht voor dan kun je twee methoden toepassen: inspelen op angst of inspelen op verlangen. Welke van deze twee het beste werkt, is afhankelijk van de personen en organisatie. Angst is over het algemeen een iets krachtigere emotie. En beide methoden vragen tijd en herhaling. Het is namelijk een uitdaging die continue alertheid en aandacht vraagt van bestuurders, en niet pas nadat de schade al is aangericht. Een gewaarschuwd mens telt immers voor twee. Uiteraard kun je ervoor kiezen om niks te doen en te wachten tot er zich een incident voordoet (inspelen op angst). Maar besef wel dat een incident kan leiden tot materiële en immateriële schade voor je organisatie. Dit kost geld, zeker na het in werking treden van de Meldplicht datalekken in 2016 en de AVG in 2018. Reputatieschade is de meest voorkomende vorm van schade, maar ook de vorm die het meest eenvoudig te voorkomen is. De kans op een crisis is groter en dichterbij dan je vermoedt. Maar hoe kun je de alertheid en handelingsperspectief van bestuurders op dit vlak vergroten en ervoor zorgen dat ook zij veilig handelen?

Argumenten voor bestuur 

Directie en management zijn integraal verantwoordelijk voor de interne processen en daarmee dus ook voor een veilig gebruik van informatie. In hoofdstuk 4 van ons boek ‘Gemeenten. Bewustzijn. Privacy.’ vind je verschillende argumenten voor het bestuur over waarom het belangrijk is aan informatiebeveiliging en privacybescherming te werken. In deze blog wil ik graag één punt verder uitlichten, namelijk het voorbeeldgedrag van bestuur en directie. Benieuwd naar de andere argumenten? Bestel dan ons boek waarin we meer privacy maatregelen helder beschrijven en concrete handvaten geven om een privacy bewustwordingsprogramma op te zetten.

Voorbeeldgedrag van bestuur en directie

Leiderschap en daarmee samenhangend voorbeeldgedrag, is de sleutel tot succes en een randvoorwaarde als het gaat om een blijvende (gedrags)verandering en privacybewustzijn. Directie en bestuur dienen het goede voorbeeld te geven in de manier van omgaan met gevoelige informatie en een werkomgeving te creëren waarin de medewerkers gestimuleerd worden zorgvuldig en integer met de informatie om te gaan. De bestaande cultuur in de gemeente is hierbij van invloed. Als er bij de afdelingshoofden en teamleiders al een stemming heerst dat ‘zij op de beleidsafdeling’ niet weten wat er speelt, en ze hebben het gevoel dat er van alles van bovenaf wordt opgelegd, dan is de kans klein dat ze privacy de aandacht geven die het verdient.

Hoe doe je dat dan?

Er zijn vele manieren waarop bestuur en directie kunnen laten zien dat ze betrokken zijn:

1. Wees bewust van eigen handelen en geef het goede voorbeeld. Om te bepalen welke normen op ons van toepassing zijn, kijken we naar het gedrag van anderen en dan met name naar personen die voor ons van betekenis zijn. Binnen gemeenten zijn dit naast direct leidinggevenden, ook het bestuur en management. Als een medewerker zijn leidinggevende bijvoorbeeld elke dag zijn toegangspas zichtbaar ziet dragen, zal hij eerder geneigd zijn dit ook te doen. Zeker wanneer je hier ook nog eens door je leidinggevende op wordt aangesproken. Wees je als leidinggevende dus bewust van je voorbeeldfunctie en stop zelf ook met het delen van wachtwoorden, e-mailen naar privé mailadres, het gebruik van gratis clouddiensten en het ongebreideld genereren van ongestructureerde data (door het (laten) exporteren van gegevens uit beveiligde systemen naar onbeveiligde Excels die oncontroleerbaar rond gaan zwerven). 
2. Wees alert op situaties waar persoonsgegevens gebruikt worden. Voer als leidinggevende controles uit. Vraag bijvoorbeeld eens door of er geen vertrouwelijke informatie wordt weggegeven. Of controleer of er bij de start van een nieuw project, applicatie of dienst persoonsgegevens worden verwerkt en of daarbij de juiste stappen worden gezet om te voldoen aan de privacywetgeving, zoals bijvoorbeeld het (laten) uitvoeren van een Data Protection Impact Assesment (DPIA).
3. Maak privacy bespreekbaar. Het onderwerp landt pas echt als een team erover praat. Hier komt de leidinggevende om de hoek kijken: maak duidelijk wat privacy inhoudt en welk gedrag je van je medewerkers verwacht op het vlak van digitale veiligheid en stuur hierop aan door regelmatig de vraag te stellen: ‘Hoe zit het met de privacy?’ Dat kan in stuurgroepen, maar ook in werkoverleggen, bila’s (bilateraal overleg) en door het opnemen van privacy en informatiebeveiliging in jaar-/functioneringsgesprekken met collega’s. 
4. Stel de juiste middelen beschikbaar. Als je je medewerkers vraagt om regels na te leven, is het ook belangrijk dat ze het kunnen doen. Zo dienen de juiste middelen beschikbaar te zijn, denk hierbij aan: systemen, tijd, voorzieningen om bijvoorbeeld vertrouwelijke gesprekken te kunnen voeren en vertrouwelijke informatie veilig in kluisjes op te kunnen bergen, et cetera.
5. Stimuleer medewerkers om kennis op te doen van het vakgebied. Laat bijvoorbeeld alvast weten dat er een e-learning aan komt, en leg uit waarom het belangrijk is dat alle collega’s deze moeten volgen. Ondersteun ook het bewustwordingsprogramma voor alle medewerkers en haak hierop aan.
6. Zorg voor een veilige meldcultuur. Door zelf onveilige situaties te melden en anderen stimuleren dat ook te doen. Stimuleer hierbij de leercultuur. Reken collega’s dus niet af op onbewust onveilig gedrag, maar wees ook helder in wat je dan wél van mensen verwacht (het gewenste gedrag). Als het gaat om privacy kunnen collega’s tegen veel dilemma’s en vraagstukken aanlopen. Zorg dat er voldoende ruimte is om dit als medeweker aan te geven. Door hier openlijk met elkaar over te praten kan dit een gevoel van veiligheid creëren.

Bovenstaande punten kunnen helpen de digitale veiligheid binnen de gemeente te verhogen en privacy de prioriteit te geven die het verdient. Het verkrijgen en houden van deze steun kan je resultaat, een informatie en privacybewuste organisatie, en het succes van je bewustwordingsprogramma, maken of breken. Belangrijk hierbij is wel dat je dit moet blijven herhalen, wil je iets voor de langere termijn voor elkaar krijgen en privacy echt borgen in de organisatie.

Tot slot nog een tip: stuur deze blog door naar betreffende leidinggevenden binnen jouw gemeente.

Meer informatie?
Heb jij nog aanvullende tips of ervaringen op dit vlak, zoals redenen om informatiebeveiliging en privacybescherming serieus te nemen, of heb je juist hulp nodig binnen jouw gemeente? Laat ons dit dan even weten en neem contact met ons op.