Menu

Gegevensbescherming is niet alleen een juridische zaak, maar ook een psychologische

Organisaties treffen op basis van privacyregelgeving en beveiligingsstandaarden maatregelen om privacy (gegevensbescherming) te borgen en security (informatiebeveiliging) te verbeteren. Hoewel bepaalde organisaties formeel wel in orde zijn, doen er zich op die plaatsen toch beveiligingsincidenten en datalekken voor. Elk jaar nemen die lekken in aantal toe. Kan meer aandacht voor gedragsverandering en psychologie daar verandering in brengen?

09-06-2021 - door Kurt Penninck

‘Gedrag van mensen’ wordt in de literatuur vaak als verklaring voor datalekken aangehaald. De mens als zwakke schakel. Gedragingen bestaan echter niet in een vacuüm, maar doen zich voor in een context waarin velerlei determinanten op een en hetzelfde moment een rol spelen. Gebrek aan bewustzijn, risicoperceptie, attitude, capaciteit, motivatie, wilskracht of gemakzucht en een ‘dat overkomt mij toch niet’-houding zijn maar enkele voorbeelden van determinanten die ertoe kunnen bijdragen dat het op het gebied van privacy en security plotseling fout kan gaan. Maar ook factoren als de werkdruk, gebrek aan tijd, oververmoeidheid, uitputting, gebrek aan steun uit de werkomgeving, de invloed van sociale normen kunnen mee verklaren waarom het fout kan lopen. Het gevolg hiervan is dat medewerkers op de werkvloer bewust of onbewust onnodig veel risico’s nemen.

Wel of geen beveiligingsincident of een datalek krijgen, is geen kwestie van pech of geluk, maar heb je als organisatie voor het overgrote deel zelf in de hand. Veel organisaties onderschatten echter nog altijd de rol van gegevensbescherming en informatiebeveiliging. Hun meerwaarde is echter evident: informatie blijft vertrouwelijk, klopt en is beschikbaar wanneer nodig, privacy compliance, imagovoordelen, sterkere concurrentiële positie én bovenal de feitelijke invulling van een grondrecht dat privacy heet.

Met ingang van 25 mei 2018 is de wetgeving rond privacy niet alleen in ons land, maar in de ganse Europese Economische Ruimte (EER) gewijzigd. Organisaties krijgen door de Algemene Verordening Gegevensbescherming (AVG) meer verplichtingen op het gebied van gegevensbescherming en informatiebeveiliging om invulling te geven aan hoe ze binnen de eigen organisatie aan de Verordening kunnen voldoen.

Naast regelgeving, technische en organisatorische beschermings- en beveiligingsmaatregelen zijn bewustwording, inzicht en risicoperceptie en behandeling van de risico’s op de werkvloer daarbij van onmiskenbaar belang. Veel van die risico’s hebben te maken met gedrag.

Privacybewust en informatieveilig werken doe je als organisatie echter niet uitsluitend omdat het vanuit het oogpunt van privacyregelgeving en beveiligingsnormen moet. Organisaties die overtuigd zijn van het belang van gegevensbescherming en informatiebeveiliging schrijven doelstellingen op het gebied van privacy en security in hun bedrijfsstrategie in. De factor ‘mens’ hoeft tenslotte niet de zwakke schakel te zijn. Wanneer privacybewust en informatieveilig gedrag een gewoonte of reflex wordt, kan de mens juist dé sleutel tot verandering zijn.

Meer informatie ? Check onze publicatie ‘Privacy en gedragsverandering’

Ook interessant

Recht

Privacy & Persoonsgegevens: Handleiding voor een goed cookiebeleid

Bart Van den Brande
Matthias Vandamme

Bestel

Recht

Privacy & Persoonsgegevens: Cahier: GDPR in vraag & antwoord

Tom De Schepper
Miet Remans
Ward Van Hal

Bestel

Recht

Tijdschrift Privacy & Persoonsgegevens

Frederic Debusseré
Vincent Dooms
Isabel Plets
Frankie Schram
Brendan Van Alsenoy
Laura De Boel

Bestel

Recht

Big Data Rapport

Cliff Beeckman
Frank De Smet
Dieter Verhaeghe

Bestel

Recht

Codex algemene verordening gegevensbescherming

Dirk De Bot

Bestel