Privacybewust de werkvloer op: Plan-Do-Check-Act! (‘Privacy Awareness’ - aka ‘Privacybewustzijn’ - creëren binnen uw organisatie)

Nassima
El Kindi

Laten we, beste lezer, starten met een belofte. Aangezien u de moeite neemt om alvast mijn ‘bachelorscriptie-in-een-notendop’ te lezen - hetgeen ik ten zeerste waardeer - beloof ik u in ruil een tegenprestatie. Als u de volgende keer aankomt op uw werkplek garandeer ik dat u, al is het maar in een flits, kort zal nadenken over hetgeen u zo meteen zal lezen. Als ik die belofte waar kan maken, zal ik deze missie als geslaagd beschouwen...

Naast de uren die we bewust online bezig zijn - voor school, werk of gewoon om te ontspannen - zijn de meesten onder ons ook vaak continu verbonden met het internet. We hebben een smartphone waarop al onze persoonlijke berichten en e-mails terug te vinden zijn, maar vaak ook onze persoonlijke foto’s. Soms zijn we zelfs verbonden met de ‘cloud’, een plek waar opnieuw een schat aan persoonlijke info terug te vinden kan zijn. Een mobiele telefoon of laptop verliezen betekent op privé-vlak meestal een klein drama, maar wat als het om een toestel van je werkgever gaat? Privacy gaat dus vaak niet alleen over onszelf.

Droom

Tijdens het nadenken over een stageplaats en een mogelijk onderwerp voor de bachelorscriptie die geschreven zou worden, schoot deze gedachte door mijn hoofd. De problematiek werd bovendien nóg interessanter, wanneer die onderzocht zou kunnen worden binnen een bedrijf dat zélf actief is in een digitale context. Toen kwam Ordina in beeld, een bedrijf met onder meer een vestiging in Mechelen, dat vooropstelt haar klanten te helpen bij ‘het realiseren van digitale voorsprong’. Hoe kijkt een bedrijf dat anderen begeleidt zelf naar persoonlijke gegevens van haar eigen werknemers? Zijn de werknemers van een dergelijk bedrijf ook bewuster bezig met hun eigen privacy? Weten ze eigenlijk wel welke gegevens hun werkgever allemaal van hen verzamelt?

Theorie

Wanneer je dergelijke vragen vandaag begint te stellen kom je op juridisch vlak snel terecht bij de ‘General Data Protection Regulation’ (‘GDPR’). Een term die intussen bij iedereen, ook degene die nog nooit met recht bezig is geweest, wel een belletje doet rinkelen. Al is het omdat het bedrijf waar je een klantenkaart van in je portefeuille hebt zitten hiermee vandaag bezig moet zijn en je soms toestemming moet vragen voor het ‘verwerken’ van sommige gegevens. De GDPR deed vorig jaar onder impuls van Europa zijn intrede in de lidstaten, waaronder ook België. Veel bedrijven waren ruim op voorhand gestart met de voorbereidingen hiervoor, maar sommigen waaronder ook organisaties en verenigingen hebben zich laten verrassen door de omvang van de nieuwe regeling. Dit komt grotendeels doordat beslissingsnemers niet genoeg waarde hebben gehecht aan de intreding van de GDPR.

Het centrale uitgangspunt van Europa was duidelijk: persoonsgegevens van Europese burgers moeten beter beschermd worden door een groot aantal nieuwe maatregelen. Ook dankzij de GDPR deed bij veel bedrijven en organisaties een nieuwe figuur zijn intrede, de zogenaamde ‘Data Protection Officer’ (‘DPO’). Kort gezegd is de DPO de man of vrouw binnen de organisatie die toezicht houdt op het correct naleven van de GDPR-regelgeving. De impact van deze regeling kan dan ook moeilijk overschat worden.

Praktijk

Vanaf het begin stond echter ook voorop dat het geen louter beschrijvende bachelorscriptie mocht worden. Daarom besloot ik om na het doorlopen van het eerder theoretische kader ook een praktijkonderzoek op te zetten tijdens de stage. Het uiteindelijke doel zou er dan in bestaan om ‘bewustzijn’ of ‘awareness’ te creëren bij mijn collega’s op de stageplaats, meer specifiek met betrekking tot de GDPR en hun persoonlijke gegevens die in een arbeidscontext circuleren. Het onderzoek zelf voerde ik op basis van het zogenaamde ‘Plan-Do-Check-Act model’.

In de eerste fase van het praktijkonderzoek (‘Plan’) werden een aantal vragen samengebracht die de basis zouden vormen voor de latere bevragingen. Het ging daarbij onder meer om vragen als: ‘Is Ordina op dit moment bezig met zijn werknemers privacybewust te maken’ en ‘werkt die aanpak’? Alvorens de effectieve bevraging van de collega’s van start kon gaan, moest ik echter zelf de nieuwe regels uit de GDPR in detail begrijpen. Daarna moest die informatie nog ‘gefilterd worden’, zodat enkel die aspecten voor de bevraging overbleven die van belang konden zijn in een arbeidsrechtelijke context (‘Do’). Concreet vond de uiteindelijke bevraging plaats binnen drie units van Ordina. Ik koos voor vragen met een aantal scenario’s die allemaal raakpunten hadden met de nieuwe GDPR-regels (‘Check’). In de 10 dagen dat de collega’s de mogelijkheid hadden om de vragen te beantwoorden, vulden niet minder dan 74 werknemers van Ordina de vragenlijst in. De bevraging leidde tot een aantal verrassende resultaten en conclusies, die in detail na te lezen zijn in mijn bachelorscriptie. De belangrijkste conclusie was daarbij dat er binnen de organisatie nog ruimte was voor verbetering op het vlak van ‘privacy-awareness’ bij de eigen werknemers. Actie kon dus niet uitblijven (‘Act’)!

Resultaat

Aangezien veel werknemers van Ordina bij externe klanten aan het werk zijn, koos ik er uiteindelijk voor om een ‘mini-campagne’ op te zetten die meer ‘privacy awareness’ moest creëren binnen de organisatie. De campagne bestond uit een zelf ontworpen mascotte ‘The Ordinator’ (met dank aan de Bitmoji-app) die met een aantal slagzinnen iedereen aanspoorde om bewust om te gaan met privacy en gevoelige gegevens. In het bedrijf werden zelf ontworpen affiches opgehangen, flyers werden verspreid en er verscheen zelfs een postbus waarbij iedereen vragen kon stellen die te maken hadden met privacy. Dit alles moest onderstrepen dat privacy, ook in een arbeidscontext, een aandachtspunt is voor iedereen binnen de organisatie en dat elke dag opnieuw...

 

Awareness poster 1

Awareness flyer 1 2

Awereness flyer 2 0

Gelukkig zit er in elk mooi verhaal minstens één onverwachte wending. Want waar de stage en bachelorscriptie ergens eind mei voltooid werd, moest er voor mezelf blijkbaar nog een nieuw hoofdstuk beginnen bij Ordina. U kon het misschien al raden: inmiddels mag ik als Privacy consultant het werk dat ik gestart was, verder zetten onder de Ordina vlag.

Denkt u er morgen ook even over na, als u met de ochtendkoffie naar uw bureau wandelt?

Download scriptie (2.9 MB)
Universiteit of Hogeschool
UC Leuven-Limburg
Thesis jaar
2019
Promotor(en)
Tim Greven
Thema('s)
Rechten, notariaat en criminologische wetenschappen
Kernwoorden
GDPR,
Privacy,
Privacy awareness,
data protection officer functionaris voor gegevensbescherming gdpr dpo avg algemene verordening gegevensbescherming general data protection regulation,
Persoonsgegevens