Inloggen Geen profiel? Registreer hier.

Persoonsgegevensbescherming in a nutshell. Stap 4: organiseer bewustmakingssessies.

27/07/2018

Een stevig informatieveiligheidsbeleid (incl. persoonsgegevensbescherming) rust op verschillende pijlers, zoals een concreet actieplan, een afgebakende informatieveiligheidscel, correcte afspraken en voldoende steun voor de DPO, zowel van onderaf (de operationele kant) als bovenaf (het bestuur). Desondanks staat of valt alles met de zwakste schakel, en dat is de mens. Niet vanwege kwade bedoelingen, maar wel vanuit onwetendheid en een gebrek aan bewustzijn rond de materie. Bewustmakingssessies informatieveiligheid spelen hierop in en leren de werknemers waar informatieveiligheid voor staat, welke dreigingen het kan voorkomen, welke maatregelen er reeds zijn uitgezet in dat kader en waarom, en hoe elke medewerker zijn steentje kan bijdragen om tot een beter informatieveiligheidsbeleid en een effectievere persoonsgegevensbescherming te komen.

In wat volgt geven we vanuit V-ICT-OR concrete tips rond bewustmakingssessies.

Hoe lang mag de bewustmakingssessie zijn?

Dit is een heikel punt, aangezien de sessie niet te kort mag zijn (je wil niet teveel content in een al te kleine tijdspanne proppen), maar ook niet te lang (je wil je publiek niet vervelen). Een sessie van anderhalf tot 2 uur volstaat in de meeste gevallen om een goed gestructureerde en begrijpelijke presentatie te geven.

Welke grootte van doelpubliek is aangewezen?

Qua schaal van doelpubliek kun je gaan van heel klein (individueel) tot heel groot (globaal). In dit opzicht wil je zoveel mogelijk mensen per sessie meekrijgen in je verhaal, maar tegelijk wil je ook de sessie enigszins ‘op maat’ aanbieden, zodat mensen voeling krijgen met de materie. Organiseer de sessies naargelang de werking van je organisatie, d.w.z. meestal per dienst (bv. dienst burgerzaken, financiën, technische dienst…). Let op: alleen diensten die in aanraking komen met persoonsgegevens hebben baat bij deze sessies. Sta dus even stil bij de vraag welke diensten met dergelijke informatie in aanraking komen. Door de sessie per dienst te organiseren kun je meer werken met relevante praktijkvoorbeelden, kun je eventuele vragen anticiperen en zelf meebrengen naar de sessie, en kun je de materie doelgerichter uitwerken voor het doelpubliek.

Welke zaken kan ik aankaarten tijdens een bewustmakingssessie?

Hieronder vind je alvast een aantal onderwerpen die aan bod kunnen komen:

  • basisprincipes GDPR (finaliteit, proportionaliteit, transparantie…);
  • kernbegrippen GDPR (bv. toestemming, verwerker, verwerkingsverantwoordelijke);
  • bewaartermijnen;
  • belang van inventarisatie en aanpak;
  • rechten van de betrokkene (recht van inzage, bezwaar, correctie, enz.);
  • sensibilisatie informatieveiligheid (waar kun je op letten, welke risico’s…);
  • motivatie informatieveiligheid (waarom is het belangrijk? En waarom voor u specifiek?);
  • wachtwoord policy;
  • clean desk policy;
  • clear screen policy (geen gevoelige informatie laten staan op scherm, schermbeveiliging…);
  • klikgevaar;
  • gevaren mobiele apparatuur;
  • enz.

Hoe bouw ik een goede presentatie op?

Een presentatie opstellen is altijd even zoeken. Ga ervan uit dat de eerste presentatie nooit perfect kan zijn. Zorg vooral dat de presentatie inhoudelijk goed zit, dat het gestructureerd is en dat het voor een ‘leek’ duidelijk is (toets het misschien eens bij een familielid of vriend). Eens je de presentatie voor de eerste keer gegeven hebt, zal er veel feedback volgen uit het publiek. Gebeurt dat niet, vraag er dan actief naar (dat zal ook geapprecieerd worden!). Houd de opmerkingen van de sessie (rond inhoud, vragen, vorm presentatie…) goed bij en neem ze mee naar volgende sessies. Zo kun je jezelf gaandeweg verder verdiepen in de werking van de dienst en constructief je kennis inzake informatieveiligheid opbouwen. Zorg ervoor dat de sessie interactief is (vraag-antwoord) en dat je jezelf in de plaats zet van de medewerker (wat als ik met die vragen zat?). Geef voorbeelden die herkenbaar zijn voor de diensten.

Hoe kan ik vermijden dat het een ver-van-je-bedshow wordt?

Informatieveiligheid wordt al snel gezien als een onderwerp dat niet voor de medewerker zelf van toepassing is. Meestal ten onrechte. Informatieveiligheid (en persoonsgegevensbescherming) heeft met zoveel te maken dat de meeste functies wel raakpunten hebben, ook al zijn die niet altijd duidelijk van bij het begin. Vermijd het ver-van-je-bedgevoel door de presentatie ludiek te maken en te spijzen met voorbeelden uit het werkveld. Zorg voor betrokkenheid en ‘aha-erlebnissen’ om mensen in je presentatie te betrekken.

De bewustmakingssessies zijn gegeven. Wat nu?

Informatieveiligheid is een topic die je binnen je organisatie top-of-mind moet houden. Je kunt dit op verschillende manieren bewerkstelligen. Stuur bv. intern enquêtes uit om te peilen naar het niveau van bewustzijn rond informatieveiligheid. Of zet intern acties uit om te zien hoe medewerkers omgaan met gevoelige informatie: een usb-stick met gevoelige informatie die rondslingert, een zogezegd verkeerd gestuurde mail met loonfiches van collega’s, enz. Een derde mogelijkheid is om regelmatig mails te versturen die tips bevatten rond informatieveiligheid en die de nieuwste maatregelen bespreken die recentelijk intern zijn uitgerold.

Hoe kan V-ICT-OR mij hierbij helpen?

V-ICT-OR helpt lokale besturen in het kader van premiumabonnementen met hun bewustmakingssessies. Samen denken we na over niet alleen de basisinhoud (principes GDPR, kernbegrippen…), maar ook over de specifieke werking van uw organisatie en hoe deze verenigbaar is met de vereisten uit de privacywetgeving.