Het is eigen aan domeinspecialisten om hun gespecialiseerde materie zo ingewikkeld mogelijk te maken zodat op den duur niemand anders er nog aan uit kan. Zo gaat het ook bij een grote groep van junior DPO’s, die zodra ze de fakkel opnemen zich geroepen voelen om de organisatie onder de grote noemers persoonsgegevensbescherming en informatiebeveiliging plat te leggen. Roep één van de twee termen en niemand durft nog bewegen. Noem hen ‘specialisten’, met stevige materie doordrongen geesten met een onnoemelijk zware taak, vergeef het hen onder de grote noemer van job protection, enz. Ik noem hen absurd.
Want ook al schermt men het netwerk af met firewalls, brengt men allerlei detectiesystemen aan, stelt men procedures op voor het veilig omgaan met vertrouwelijke informatie enz., een groot deel van de verwerking van gegevens blijft mensenwerk en mensen kunnen misleid worden om dingen te doen die niet zouden mogen gebeuren. De mens is en blijft de meest cruciale en tegelijkertijd ook de zwakste schakel bij de toepassing van de persoonsgegevensbescherming. Helaas is een zeer groot percentage van de informatiebeveiligingsincidenten nog steeds een ‘inside job’ …
Mensen op een correcte manier begeleiden is daarom één van de meest fundamentele kerntaken van een DPO, zonder een schrikbewind te voeren. DPO’s die hun organisatie begeleiden onder een regime, zonder pasklare en duidelijke oplossingen te geven aan de vragen waarmee die mensen in hun organisatie worstelen, vragen er om bedrogen te worden.
Recente metingen tonen aan dat organisaties falen in het implementeren van de meest elementaire basisprincipes van persoonsgegevensbescherming. Het correct toepassen van identificatie en authenticatie horen daar nog steeds onder, terwijl enkele eenvoudige richtlijnen hier snel soelaas kunnen brengen. Van elke medewerker, maar vooral ook van elke manager, wordt verwacht dat zij een bepaalde graad van beveiligingsbewustzijn hebben. Elke medewerker moet zich daarbij bewust zijn van de acties die men dagelijks uitvoert en de gevolgen die deze kunnen teweegbrengen ten aanzien van de informatiebeveiliging of persoonsgegevensbescherming. DPO’s moeten hen daarbij bijstaan, zonder het vermanende vingertje maar wel met begeleidende gebaren.
“Eenvoud is niet het kenmerk van de beginner, het is de duur bevochten stempel van de meester.” Zo kan men bijvoorbeeld post-its aan de koffieautomaat hangen waarbij de medewerkers de vraag krijgen of ze hun laptop of pc vergrendeld hebben, of ze geen prints op de printer lieten liggen ...
Geef hen een lijst van ‘top-10-werkplek’-geboden die makkelijk te onthouden zijn en zorg ervoor dat ze alert zijn voor ‘onveilige situaties’, maar vooral ook weten waar ze deze kunnen melden.
De boodschap is eenvoud, alleen zo maak je persoonsgegevensbescherming en informatieveiligheid begrijpbaar voor iedereen en niet louter voor de happy few.
We moeten er vooral met z’n allen aan werken!