Je deed alles wat de AVG-specialisten je vertelden, je sloot verwerkersovereenkomsten en stelde een privacyverklaring op. Dan ben je helemaal klaar voor – en misschien ook wel mét – de AVG. Toch?
Naast het feit dat het proces natuurlijk on going is, moet je ook denken aan het bewust maken van het personeel.
En dan heb ik het niet alleen over de functionaris gegevensbescherming. Je moet ál je personeel attenderen op het privacybeleid binnen je organisatie.
Waarom moet je je werknemers trainen?
Scholing in zijn algemeenheid is sinds de komst van de WWZ nog meer een aandachtspunt dan het al was. Bewustwording en training van je werknemers is altijd zinvol, maar zeker ook als het gaat om je privacybeleid.
Waar moet je dan aan denken?
Denk aan wat je van ze verlangt als er een hack of datalek plaatsvindt. Je wil toch dat iedereen daar dan adequaat op kan reageren? Of tenminste de persoon weet in te schakelen die daarmee verder aan de slag moet?
Maar ook voor het geval je je werknemer wil waarschuwen of zelfs ontslaan zal je eerst je werknemers bewust moeten hebben gemaakt van wat de regels zijn. Anders kun je al snel rekenen op het verweer dat men niet bekend was met het bestaan van regels. Je kunt dan wel vinden dat je werknemer iets fout deed, maar hoe moet hij dat weten als niet bekend was hoe hij eigenlijk had moeten handelen?
Wat als je niet aan die bewustwording doet?
Dan heb je kans dat je twee keer wordt gestraft. Eén keer omdat je werknemer de voor hem niet bekende regels schendt. Je zult in dat geval op zijn minst imagoschade hebben, maar wellicht zelfs meer dan dat, zoals een claim tot schadevergoeding. De tweede keer is als je een sanctie wil geven, zoals ontslag en dat je door de rechter wordt teruggefloten.
Het overkwam de Sociale Verzekeringsbank (SVB). Een medewerker vroeg maar liefst van 23 (!) buren en familieleden gegevens op. De rechter vond wel dat de werknemer het vertrouwen van de SVB had geschonden. Maar de cultuur van de SVB maakte dat er onvoldoende was gedaan ter voorkoming van het gedrag van de werknemer. Trainingen en cursussen waren niet aangeboden. Ook was de toegang tot het netwerk niet voldoende beperkt. En alhoewel er kennelijk wel een bepaalde pop-up kwam bij een zoekvraag dat je als werknemer werd gecontroleerd, werd dit onvoldoende geacht, want die controle bleef sinds jaar en dag uit. Volgens de rechter was SVB tekort geschoten in de opvoeding van zijn medewerkers en ontslag op staande voet was niet rechtsgeldig.
Hoe maak je je werknemer dan bewust van je privacybeleid?
Van een medewerker van een bankinstelling mag bijvoorbeeld ook best wel worden verwacht dat hij op integere wijze omgaat met persoonlijke en/of vertrouwelijke gegevens van klanten. Maar dit vloeit ook vaak voort uit een gedragscode. Overigens is bij schending van dat vertrouwen het geven van ontslag op staande voet toch niet altijd een goed idee in verband met de omstandigheden van het geval, zoals bij de Rabobank gebeurde.
Ook in een ziekenhuis mag meer van een werknemer worden verwacht. Maar zeker als er een gedragscode is én de werknemer is al gewaarschuwd, is de kans op een succesvol ontslag groter.
Het toverwoord is dus gedragscode?
Juist. Zorg voor een goede gedragscode en neem je privacybeleid daarin op. Maar daar blijft het niet bij. Train je werknemers en zorg er voor dat ze continu bewust zijn van wat jij van ze verwacht als het gaat om privacy op de werkvloer.
Gedragscodes zijn trouwens ook handig voor het opnemen van regels over het wel of niet toestaan van een relatie op de werkvloer.
Je kunt er daarnaast regels in opnemen hoe er in het bedrijf wordt omgegaan met seksuele intimidatie op de werkvloer.
En wat je verwacht van je werknemers als het gaat om het met het gebruik van social media.
Dus hoe ga je aan de slag?
1. Zorg voor een gedragscode.
2. Neem je privacybeleid op in een gedragscode.
3. Maak je werknemers bewust van de inhoud.
4. Attendeer ze regelmatig op het bestaan van je privacybeleid.
5. Geef je werknemer eerst een waarschuwing bij een misstap.
6. Overleg met een specialist wanneer je denkt klaar te zijn voor een ontslag.
En jouw bedrijf? Heeft die al een gedragscode?
