🚨 NIS2 is nu van kracht. Bewustwording op het gebied van informatiebeveiliging is nu wettelijk verplicht in de EU.

Check compliance
Start je gratis proefperiode
Terug naar het Resource Center

Privacybewustzijn: wat het is, waarom het belangrijk is en hoe je je medewerkers hierin kunt trainen

De meeste datalekken worden niet veroorzaakt door hackers die door firewalls breken. Ze worden veroorzaakt door medewerkers die vermijdbare fouten maken: een bestand naar de verkeerde ontvanger sturen, een document achterlaten op een gedeelde schijf met verkeerde rechten, een privé-e-mailaccount gebruiken voor werkdata, of trappen in een phishing-e-mail die leidt tot onbevoegde toegang. Privacy awareness is de organisatorische praktijk om ervoor te zorgen dat medewerkers begrijpen wat persoonsgegevens zijn, wat hun verantwoordelijkheden zijn onder regelgeving zoals de AVG, en hoe ze met gegevens moeten omgaan op een manier die zowel individuen als de organisatie beschermt.

Wat is privacy awareness?

Privacy awareness is de mate waarin medewerkers privacyrisico's begrijpen en hun verantwoordelijkheden kennen bij het verwerken van persoonsgegevens. Het omvat zowel de juridische dimensie, wat regelgeving zoals de AVG vereist, als de praktische dimensie: hoe die vereisten zich vertalen naar dagelijkse beslissingen over het verzamelen, opslaan, delen en verwijderen van gegevens.

Een medewerker met sterke privacy awareness weet het verschil tussen persoonsgegevens en niet-persoonsgegevens, begrijpt waarom bepaalde categorieën gegevens (gezondheidsgegevens, financiële gegevens, politieke opvattingen) extra bescherming vereisen, herkent wanneer een gegevensverzoek legitiem is en wanneer het een social engineering-poging kan zijn, en weet wat te doen als hij of zij vermoedt dat er een datalek heeft plaatsgevonden.

Privacy awareness is onderscheidend van, maar nauw verwant aan, security awareness. Security awareness richt zich op het beschermen van systemen en gegevens tegen externe dreigingen. Privacy awareness richt zich op hoe medewerkers zelf met gegevens omgaan. In de praktijk overlappen de twee aanzienlijk: een phishing-e-mail die leidt tot diefstal van inloggegevens is zowel een beveiligingsincident als een privacyschending.

Waarom privacybewustzijn belangrijk is: de AVG en de menselijke factor

Onder de AVG zijn organisaties verantwoordelijk voor hoe persoonsgegevens worden verwerkt, ook wanneer die verwerking misgaat als gevolg van een medewerkersfout. Een datalek veroorzaakt doordat een medewerker per ongeluk een klantenlijst naar het verkeerde adres mailt, is nog steeds een meldplichtig lek. De organisatie is verantwoordelijk voor het melden ervan bij de relevante toezichthouder binnen 72 uur, het mogelijk informeren van betrokkenen en het aantonen dat ze passende technische en organisatorische maatregelen had getroffen.

"Passende organisatorische maatregelen" omvat expliciet medewerkerstraining. De AVG schrijft niet exact voor hoe die training eruit moet zien, maar toezichthouders interpreteren de vereiste consequent als doorlopende, rolrelevante bewustwording, niet een eenmalige module afgerond op de eerste werkdag.

De meerderheid van de AVG-breuknotificaties bij de Autoriteit Persoonsgegevens heeft betrekking op menselijke fouten, niet op externe aanvallen. Privacy awareness training pakt de meest voorkomende oorzaak aan van het meest voorkomende type lek.

Naast compliance beschermt privacy awareness het vertrouwen dat klanten, partners en medewerkers in een organisatie stellen. Een datalek is niet alleen een regelgevingsgebeurtenis, maar ook een reputatiegbeurtenis. Organisaties die een echte cultuur van privacyverantwoordelijkheid kunnen aantonen, zijn beter in staat dat vertrouwen te behouden wanneer er incidenten optreden.

Wat privacy awareness in de praktijk betekent voor medewerkers

Privacy awareness gaat er niet over medewerkers tot privacy-juristen te maken. Het gaat erom hen de praktische kennis te geven om gegevens correct te verwerken in hun specifieke rol. In de meeste organisaties komt dat neer op een reeks kerncompetenties:
Privacy awareness gaat er niet over medewerkers tot privacy-juristen te maken. Het gaat erom hen de praktische kennis te geven om gegevens correct te verwerken in hun specifieke rol. In de meeste organisaties komt dat neer op een reeks kerncompetenties:

  • Persoonsgegevens herkennen. Namen, e-mailadressen, telefoonnummers, IP-adressen, locatiegegevens, gezondheidsinformatie, financiële gegevens: medewerkers moeten weten wat er in de context van hun werk als persoonsgegevens geldt.
  • Het ‘need-to-know’-principe begrijpen. Persoonsgegevens mogen alleen toegankelijk zijn voor mensen die ze nodig hebben voor hun werk. Medewerkers die dit snappen, zullen minder snel gegevens zomaar doorgeven of onnodige toegang verlenen.
  • Correct omgaan met verzoeken om gegevens. Wat moet je doen als een klant vraagt om inzage in zijn gegevens, om verwijdering vraagt of bezwaar maakt tegen de verwerking? Weten dat er een procedure is en naar wie je het moet doorverwijzen, is belangrijker dan alle details van de AVG kennen.
  • Veilig omgaan met gegevens in het dagelijkse werk. Verzend gevoelige gegevens via versleutelde kanalen, sla geen persoonsgegevens op in persoonlijke e-mailaccounts of onbeveiligde gedeelde schijven, vergrendel je scherm als je je bureau verlaat en praat niet over klantgegevens in openbare ruimtes.
  • Privacyincidenten herkennen en melden. Een verkeerd verstuurde e-mail, een bijlage die naar de verkeerde persoon is gestuurd, een verloren apparaat met onversleutelde gegevens: medewerkers die weten dat dit een mogelijke inbreuk is en aan wie ze dit moeten melden, zorgen ervoor dat organisaties de meldingstermijn van 72 uur kunnen halen.

Training in privacybewustzijn: hoe zorg je ervoor dat het echt blijft hangen?

Dezelfde principes die gelden voor security awareness training gelden voor privacy awareness training: kort, regelmatig en rolrelevant werkt beter dan lang, weinig frequent en generiek. Een jaarlijkse AVG-e-learningmodule van 30 minuten biedt compliancedekking op papier. Het verandert niet betrouwbaar hoe een klantenservicemedewerker zes maanden later omgaat met een inzageverzoek van een betrokkene.

Effectieve privacy awareness training heeft een aantal kenmerken:

  • Op scenario’s gebaseerd. Een training die realistische situaties laat zien, zoals: “Je krijgt een e-mail waarin je wordt gevraagd de persoonlijke gegevens van een klant door te sturen naar een derde partij; wat doe je dan?”, helpt je niet alleen kennis op te doen, maar ook je besluitvormingsvaardigheden te ontwikkelen.
  • Functiegerelateerd. De privacyrisico’s waarmee een klantenserviceteam te maken heeft, zijn anders dan die bij financiën, HR of IT. Een training die aansluit bij het daadwerkelijke dagelijkse werk van een medewerker, wordt eerder onthouden en toegepast.
  • Dit wordt regelmatig herhaald. De privacywetgeving verandert voortdurend. De manier waarop met gegevens wordt omgegaan, verandert ook. Een nieuwe tool of een nieuw proces kan nieuwe privacyrisico’s met zich meebrengen. Door middel van doorlopende trainingen zorg je ervoor dat iedereen op de hoogte blijft.
  • Gedocumenteerd. Het kunnen aantonen dat een training is gevolgd – wie, wanneer, wat – is op zich al een vereiste om aan de regels te voldoen. Een training die een audittraject achterlaat, is aanzienlijk meer waard dan een training die dat niet doet.

Guardey's security awareness training platform omvat privacy als onderdeel van het bredere programma, en biedt organisaties één platform voor zowel security- als privacy awareness, met de benodigde tracking en reporting om zowel auditors als functionarissen voor gegevensbescherming tevreden te stellen.

Privacy en Security Awareness zijn onafscheidelijk

Integreer privacy awareness in je organisatie en maak het meetbaar.

Vraag een demo aan
Dinela Lokvancic
Dinela Lokvancic Marketing Specialist Dinela houdt Guardey's online aanwezigheid up-to-date. Ze creëert content die complexe cybersecurity-onderwerpen toegankelijk maakt en helpt organisaties begrijpen waarom security awareness training belangrijk is voor hun teams.
KLAAR OM TE BEGINNEN?

Sluit je aan bij meer dan 500 bedrijven die hun teams al beschermen met Guardey

Start je gratis proefperiode van 14 dagen
14 dagen gratis · Geen creditcard nodig · Volledige toegang · Binnen 5 minuten klaar
Of plan een persoonlijke demo