Digital Transformation

    Deel via:

    GDPR – vergeet de menselijke kant niet

    “Paarden zijn oncomfortabel in het midden en gevaarlijk aan de uiteinden.” Het is een uitspraak die fervente paardrijders wel kennen, maar die eigenlijk ook van toepassing is op de GDPR-regelgeving. Op het moment dat ik dit schrijf, is deze regelgeving slechts enkele weken in werking getreden.

    Meer weten over de GDPR-regelgeving? Luister naar de recording van het webinar " Bent u al GDPR compliant? ”.

    Luister naar het webinar

    Er is ontzettend veel aandacht voor de technische en juridische kant van de GDPR. Maar de menselijke kant ‘in het midden’ blijft nog sterk onderbelicht. Wat is de menselijke impact van de nieuwe regelgeving? Hoe help je collega’s om op een goede manier met de GDPR om te gaan? Wat dat betreft zijn er drie belangrijke zaken waar je rekening mee moet houden: steun van de top, uitvoering in de managementlaag, en bewustzijn van medewerkers en externe partners.

    Steun van de top

    Het lijkt misschien een open deur, maar als de directie het GDPR-programma niet actief uitdraagt, zal het nooit écht voet aan de grond krijgen binnen de organisatie. Het is opvallend hoeveel organisaties deze kritische factor over het hoofd zien. Steun van de directie is cruciaal, want alleen dan weet je zeker dat de juiste acties (zoals change management en trainingsprogramma’s) worden gefinancierd, uitgevoerd en structureel een plekje krijgen in de dagelijkse processen.

    Helaas laat recent onderzoek van PwC zien dat minder dan een derde van de directieteams actie onderneemt om de veiligheids- en privacyrisico’s in kaart te brengen. Terwijl zo’n nulmeting juist de basis vormt voor bewustzijn en begrip. En voor inzicht in de verantwoordelijkheden die de directie moet nemen rondom databescherming en privacy.

    Simpel gezegd: zonder actieve steun van de directie zal het GDPR-programma nooit het niveau van een afvinklijstje overstijgen.

    Uitvoering in de managementlaag

    Het formuleren van nieuwe regels is één ding, maar het gaat er juist om dat er verantwoordelijken worden aangewezen voor het laten landen van die regels in de hele organisatie. Volgens artikel 5 van de GDPR moeten ‘verwerkingsverantwoordelijken’ bijvoorbeeld kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben getroffen om de rechten en vrijheden van betrokkenen te beschermen.

    Het Information Commissioner’s Office noemt de GDPR een ‘raamwerk waarop je een cultuur van privacy kunt bouwen’. Er is dus een schone taak weggelegd voor het middenmanagement om die cultuur te laten landen en over te brengen aan alle medewerkers. Het management moet continu nagaan of de regels goed worden begrepen en nageleefd. Dat is een uitgesproken taak voor mensen en niet voor technologie.

    Hoe pak je dat dan aan? Met training bijvoorbeeld. Dat is de ideale manier om mensen te leren wat binnen de grenzen ligt van de privacycultuur van jullie organisatie. Voor zo’n training heb je echter één persoon of team nodig dat eindverantwoordelijk is en daar wringt vaak de schoen. Het GDPR-programma is zo groot dat het veel afdelingen raakt, waaronder marketing, legal, HR, inkoop, klantenservice, analytics, R&D, en fusies en overnames.

    Daarnaast is het belangrijk om rekening te houden met het verloop in het personeelsbestand, want mensen komen en gaan, nemen sabbaticals en gaan op vakantie. De kans is sowieso groot dat de regels op den duur naar de achtergrond verdwijnen of dat mensen terugvallen in hun oude gewoonten. Het is aan de managementlaag en business process owners om dit te voorkomen.

    Overigens geldt ook: hoe dieper de nieuwe privacycultuur doordringt in de hele organisatie, hoe groter de betrokkenheid van medewerkers, en hoe meer zij zich dan ook verantwoordelijk voelen om het management feedback te geven over het change management programma. Zo weet je zeker dat het programma meebeweegt met de behoeften van jouw mensen.

    Medewerkers en externe partners

    Mensen die veel te maken hebben met persoonsgegevens of toegang hebben tot systemen met persoonsgegevens, hebben training nodig om zich bepaalde procedures en een mate van bewustwording aan te leren. Het liefste met een regelmatige opfriscursus, omdat de GDPR nou eenmaal geen tijdelijk programma is. Alle interne processen, beleidslijnen en workflows eindigen met mensen aan het einde van de keten die een activiteit moet uitvoeren. Organisaties moeten ervoor zorgen dat het gedrag van deze eindgebruikers past binnen de privacycultuur van de organisatie. Het is opvallend hoeveel organisaties dit als vanzelfsprekend zien, zonder dat ze een proces hebben om te checken of regels goed worden nageleefd.

    De voormalige Amerikaanse procureur-generaal Paul McNulty wordt vaak geciteerd: “If you think compliance is expensive, try non-compliance.” En daar heeft hij volkomen gelijk in. Het Ponemon Institute heeft namelijk berekend dat non-compliance 2,71 keer zo duur is dan de kosten voor het naleven van de compliance-vereisten. Die hoge kosten voor non-compliance zitten vooral in zaken als boetes, schikkingen, productiviteitsverlies en verstoringen van processen.

    De checklist helpt

    Wil je niet aan een dood paard trekken? Zorg er dan voor dat jouw organisatie zich naast de juridische en technische kant van de GDPR ook focust op de menselijke kant. Want deze nieuwe regelgeving hoeft helemaal niet oncomfortabel te zijn in het midden en gevaarlijk aan de uiteinden. De ICO heeft een mooie checklist gemaakt voor training in mkb-organisaties die jou helpt om mensen mee te krijgen.

    Meer informatie hierover en over andere GDPR-zaken kun je hier vrijblijvend downloaden. Of luister naar de recording van het webinar " Bent u al GDPR compliant? ”.

    Luister naar het webinar