Actueel

12 december 2019

AVG-beleid nog beperkt bekend

Vandaag verscheen er een onderzoek van softwarebedrijf Egress met de strekking dat 1 op de 3 Nederlandse werknemers niet weet of er binnen hun bedrijf maatregelen zijn genomen om aan de AVG te voldoen. En dat terwijl de Europese privacywetgeving inmiddels ruim anderhalf jaar van kracht is.

Een deel van de ondernemingen investeert al wel in het trainen van hun werknemers, maar als geheel schieten Nederlandse bedrijven tekort. Zo weet 32,4 procent van de werknemers niet of er bijvoorbeeld een zakelijke e-mail encryptie-oplossing beschikbaar is. Wat kun je als organisatie doen om je medewerkers te trainen?

Leestijd: 3 minuten

Onderzoek Egress

Ondanks dat werknemers in veel organisaties centraal staan in het AVG-beleid, blijkt uit het onderzoek van de aanbieder van people-centric data security-oplossingen dat dit beleid onder lang niet alle werknemers bekend is. Het lijkt erop dat de verantwoordelijken voor informatiebeveiliging binnen organisaties wel op de hoogte zijn, maar dat deze kennis onvoldoende gedeeld wordt met de groep daarbuiten.

Zo ligt het percentage eind- en medeverantwoordelijken dat aangeeft dat er een e-mail encryptie-oplossing beschikbaar is beduidend hoger dan bij niet-verantwoordelijken: 75,3 versus 33,1 procent. En waar bijna de helft van de niet-verantwoordelijken niet weet of de AVG-wetgeving heeft gezorgd voor veranderingen in de manier waarop de organisatie informatie deelt, ligt dat percentage onder verantwoordelijke werknemers op 10 procent.

Bijna 16 procent van alle respondenten geeft aan dat er binnen hun organisatie wel eens per ongeluk bedrijfsgegevens of bedrijfsgevoelige informatie openbaar is gemaakt. Ook hier is een duidelijk verschil te zien tussen werknemers die verantwoordelijk zijn voor informatiebeveiliging en niet-verantwoordelijken: 32 tegenover 6,9 procent. Het is een indicatie dat lang niet alle datalekken door bedrijven gemeld worden aan hun personeel. Ook het recordaantal datalekken dat dit jaar al gemeld is bij de Autoriteit Persoonsgegevens onderbouwt deze conclusie.

Het onderzoek komt overigens bovenop het zeer actuele nieuws over de Duitse internetprovider 1&1 Telecom die door de BfDI (het equivalent van de AVG) is veroordeeld tot een boete van maar liefst 9,5 miljoen euro wegens het overtreden van de AVG en het niet voldoende beschermen van klantgegevens. Het invoeren van een naam en geboortedatum bleek voldoende om klantgegevens op te kunnen vragen.

Bewustzijn en gedrag

Positief is dat de resultaten laten zien dat de helft van de werknemers op de hoogte is van de beleidsveranderingen die doorgevoerd zijn naar aanleiding van de AVG-wetgeving. In het merendeel van de gevallen (52,3 procent) gaat het daarbij om het trainen van werknemers. Ook geeft bijna 55 procent van de respondenten aan dat informatiebeveiliging voor meer werknemers binnen het bedrijf onderdeel is geworden van het takenpakket.

Axel van Drongelen, General Manager Benelux bij Egress: “Het onderzoek toont duidelijk aan dat er een discrepantie bestaat tussen het beleid dat door de organisatietop wordt uitgestippeld en de invulling van het personeel dat geacht wordt dit beleid uit te voeren. Werknemers die niet verantwoordelijk zijn voor informatiebeveiliging zijn zich bijvoorbeeld veel minder bewust van het gevaar dat onverantwoorde omgang met bedrijfsgevoelige data met zich meebrengt. Dat blijkt bijvoorbeeld uit het gegeven dat respondenten die wel verantwoordelijk zijn voor informatiebeveiliging vaker aangeven dat onbewuste datalekken ontstaan via externe tools zoals WeTransfer of FTP-diensten. Dat duidt erop dat werknemers op zoek gaan naar manieren om veiligheidsmaatregelen te omzeilen, ook omdat er vaker gebruik wordt gemaakt van een e-mail encryptie-oplossing. Ze staan dus niet stil bij de risico’s van hun gedrag.”

Van Drongelen pleit er dan ook voor om nog meer bewustzijn te creëren onder werknemers: “Als je niet weet dat je iets verkeerd doet, kun je je gedrag ook niet verbeteren. Het is positief om te zien dat veel bedrijven investeren in het trainen van hun werknemers als het gaat om het delen van informatie. Tegelijkertijd blijkt dat er nog veel meer bewustwording nodig is om het gevaar van onbewuste interne datalekken in te dammen.”

Awareways en de AVG

Van “we snappen het belang van veilig werken” naar “veilig werken, ja natuurlijk!” Die laatste mindset is waar Awareways voor gaat. Psychologie, communicatie en didactiek zijn onze ingrediënten voor die belangrijke gedragsverandering. We weten als geen ander dat de aanwezigheid van de juiste kennis en informatie geen garantie is voor het vertonen van het juiste gedrag, een van de voornaamste aandachtspunten van ons eigen onderzoek.

De AVG is sinds 25 mei 2018 van kracht, dus inmiddels zijn de benodigde procesaanpassingen ongetwijfeld uitgevoerd. Maar zijn jouw medewerkers inderdaad volledig op de hoogte van hun rol? Belangrijker, snappen ze dat zij de voornaamste schakel zijn bij het beschermen van persoonsgegevens en het voorkomen van een datalek?

Awareways biedt een AVG leermodule waarbij de focus volledig op de gebruiker ligt. Jouw collega die uiteindelijk de finale keuze maakt in de verwerking van privacygevoelige informatie. Om herkenbare situaties te creëren is de AVG leermodule van Awareways op detailniveau aan te passen naar jouw dagelijkse situatie. Kijk voor meer informatie op awareways.com/privacy.

Begeleide training op maat of direct zelf aan de slag?

Informatiebeveiliging begint bij informatiebewustzijn, awareness. Bij een wijziging van of aanvulling op wetgevingen is dat niet anders. Security awareness is de basis voor betere informatiebeveiliging, en het juiste niveau de verantwoordelijkheid van de gehele organisatie – niet alleen het probleem van de IT-afdeling.

In de AVG E-learning van Awareways ligt de focus volledig op de gebruiker: jouw collega die bij de dagelijkse werkzaamheden keuzes maakt in de verwerking van privacygevoelige informatie. Om herkenbare situaties te creëren is onze leermodule op detailniveau aan te passen naar jouw dagelijkse situatie.

Net als al onze andere online trainingen wordt de AVG leermodule in meerdere talen aangeboden, en is deze e-learning op een gebruiksvriendelijk leerplatform beschikbaar gesteld voor verschillende mobiele devices. Maar – we weten ook dat het voor kleine(re) organisaties lastig kan zijn om direct een volledig traject te starten. Daarom is er de Awareways Webshop, speciaal voor iedereen die alvast laagdrempelig aan de slag wil met security en privacy.

Je vindt in onze webshop bijvoorbeeld de training Privacy en AVG om je medewerkers te trainen in de basiskennis over de privacywetgeving, het herkennen van verschillende soorten gegevens en kennis over de rechten van een klant.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.