Vers internationaal onderzoek in Groot Brittannië, de VS, Duitsland en Australië laat zien dat krap 20% van de middenmanagers denkt dat hun organisatie klaar is voor de AVG, tegen 41% van de directeuren en commissarissen.
In theorie is het bestuur steeds op de hoogte van wat er in een organisatie speelt, omdat er trouw en waarheidsgetrouw aan hen gerapporteerd wordt. De praktijk is vaak toch net ietsje anders – en dat is natuurlijk de oorzaak van deze discrepantie. Managers op de werkvloer weten maar al te goed, dat en hoe de medewerkers shortcuts verzinnen om formele werkprocessen te omzeilen. Zij gebruiken bijvoorbeeld privé schaduwbestanden, en creëren daarmee soms ernstige securityproblemen, zeker als ze die bestanden in de trein of bij de McDonalds achterlaten. De beste houding die directies daartegen kunnen innemen is ‘Do not shoot the messenger’ – als het nodig is moeten mensen straffeloos onregelmatigheden kunnen en durven melden. “Ik heb per ongeluk een excelbestand naar X gemaild – wat moeten we nu? Wat moet ik doen?” Natuurlijk moeten bestuur én middenkader kritisch vragen blijven stellen; en ook de bestuurderen zelf zijn wat shortcuts betreft niet zonder zonden, al wordt het daar zelden op aangesproken.
Er is nog steeds de nodige verwarring rond het ware doel van de AVG/GDPR. In essentie gaat het om privacy- wetgeving, niet om security-issues. Daarom is ook de ‘right to be forgotten’ een van de grootste uitdagingen waar organisaties voor staan. De meeste organisaties hebben geen idee welke ‘kritieke’ informatie ze hebben, laat staan dat ze weten waar die opgeslagen is, zeker niet buiten het formele systeem. Evenmin weten ze dus wie er toegang toe heeft, laat staan wie er toegang toe gekregen of genomen heeft. Denk alleen maar aan de ex-werknemers, die nog maanden zo niet jaren hun username/password combinatie houden. Dus stel u de verwarring voor, als straks een burger eist dat zijn data verwijderd worden, en dat uw organisatie (u als verantwoordelijke) moet aantonen dat dit inderdaad gebeurd is? Heeft uw organisatie daar al een sluitend protocol voor ontwikkeld?
Uit het onderzoek blijkt dat de angst om risico’s, fouten en tekortkomingen eerlijk op te biechten ( aan de manager, maar zeker ook aan directie en commissarissen) een van de grootste struikelblokken is in de reis naar volledige AVG-compliance. Omdat het vooral om mensen gaat, en niet om de techniek – die is er of is beschikbaar. Compliance is ‘a state of mind’ en raakt de hele organisatie, niet alleen ICT – zorg dus dat HR er actief bij betrokken wordt. Stel desnoods voor het project ‘klaar voor de AVG’ een aparte champion aan, iemand met gezag in de hele organisatie.
De tijd voor actie is ‘nu’ … niet morgen of overmorgen! Begin met in te zien dat er een probleem is, en hoe groot de risico’s. Stel eens een testvraag: waar zit bij jullie AVG-gevoelige informatie? Is het antwoord compleet en betrouwbaar? Start een bewustwordingscampagne. Ondervraag de mensen op de werkvloer, dat zijn de enigen die echt weten hoe en wat, en wellicht ook ideeën hebben hoe te handelen. Inventariseer het gegevensverkeer (en de email) met ketenpartners. Pas als de omvang van het probleem en de risico’s geëxpliciteerd zijn, kan er een degelijk plan van aanpak gemaakt worden. Laat u niet sussen met “alles is onder controle!”