Het voldoen aan de AVG bleek niet alleen een juridische kwestie te zijn. Veenstra: “Gaandeweg het proces werd het duidelijker dat we ook aandacht moesten geven aan de kennis en het handelen van onze medewerkers. Als je leest dat de meerderheid van de datalekken ontstaan als gevolg van menselijk handelen, dan is het belangrijk om te kijken hoe je kennis over het onderwerp en verandering in het handelen bewerkstelligt.”
Hoe werkt de wereld van de cybercrimineel?
De medewerkers van Woonborg volgden onder meer een workshop om kennis te maken met de AVG. Sonja de Vries, social business consultant bij ilionx: “We hebben ze een kijkje gegeven in de wereld van de cybercrimineel. We hebben drie persona’s aan de groep voorgesteld: de Hacker, de Social Engineer en de Fraudeur. Aan de hand van kennis over de waarde van data en een praktijkcase van een niet-ethische hacker hebben we de medewerkers meegenomen in de wereld van de cybercrimineel.” Zo werd het tastbaar hoeveel data waard kan zijn, hoe gemakkelijk het is om met een beetje data veel data te vergaren en hoe de handel hierin werkt.
Die theorie werd in de praktijk gebracht tijdens een interactieve game: in de door ilionx ontwikkelde game Get’it ontdekken deelnemers hoe veilig of kwetsbaar hun werkprocessen zijn en wat hun eigen aandeel hierin is. “In de game neem je het als good guys en bad guys tegen elkaar op”, aldus De Vries. “Dat helpt om je in de wereld van de ander te verplaatsen. Waarom doet een kwaadwillende wat hij/zij doet? En wat kunnen jij en je collega’s eraan doen om te voorkomen dat zo iemand toeslaat?”
Goed bedacht, maar anders uitgevoerd
Dankzij de interactieve game werden medewerkers zich ervan bewust dat een proces vaak goed bedacht is, maar in de praktijk net wat anders uitgevoerd wordt. Ook komt het regelmatig voor dat informatieveiligheid niet goed is opgenomen tijdens het opmaken van een proces. Denk bijvoorbeeld aan een factuurbakje dat voor iedereen toegankelijk is, toegangsrechten tot systemen die niet meer up-to-date zijn en papieren die je eigenlijk in een versnipperaar zou moeten doen, maar nu ben je net op die verdieping waar alleen een open oud papierbak staat. Juist in dit soort uitzonderingen zitten de risico’s.
Nooit compliant
De workshops en de campagne werden door de collega’s bij Woonborg positief ervaren, aldus David Veenstra. “Dat komt vooral doordat alles werd toegespitst op hun dagelijkse situatie. Het was geen algemene cursus over de AVG, maar het ging echt over situaties die ze in de praktijk tegenkomen. Door het interactieve element merkten we dat deelnemers heel actief meededen en de inhoud makkelijker tot zich namen.”
Op de vraag of Woonborg nu volledig voldoet aan de AVG, is Veenstra duidelijk: “Dat kun je nooit helemaal zijn, je hebt altijd nog wat te doen. Bovendien heb je te maken met de wetgeving die ontwikkelt, de aandacht van medewerkers die vooral op het primaire proces gericht is en de doorontwikkeling van IT. Waar ik tevreden over ben, is dat we steeds meer vragen krijgen vanuit de organisatie; dat geeft het gevoel dat we er gezamenlijk aandacht voor hebben.”
Ook Zrnic beaamt dat voldoen aan de AVG eigenlijk niet kan. “Het is niet een kwestie van een checklist afwerken. Je moet continu blijven evalueren.” Maar dat betekent niet dat je altijd het risico hebt dat er een grote boete boven je hoofd hangt als er een keer iets misgaat: “De Autoriteit Persoonsgegevens zal altijd kijken naar wat je als organisatie hebt gedaan om te voldoen aan de regels. Als je kunt onderbouwen dat je flinke stappen hebt gemaakt om risico’s in te schatten en te ondervangen, dan zal daar altijd rekening mee worden gehouden.”
Niet één, maar drie invalshoeken
Of Veenstra nog een advies heeft voor andere organisaties die wellicht nog minder ver zijn? “Benader de AVG vanuit drie pijlers: er zit een technische kant aan, juridische aspecten en gedrag van medewerkers. Vanuit mijn eigen goede ervaring is mijn advies om op zoek te gaan naar een partij die je kan helpen op al deze fronten.”