Projectmanagement: de weg naar de GDPR privacywet

Sinds 25 mei 2018 is de nieuwe, Europese privacywetgeving van kracht (AVG/GDPR). Consultant Madelon Snel werd in aanloop van dat moment gevraagd om de Credit Exchange Groep privacy expert tijdens deze uitdaging als projectmanager bij te staan. Diverse inhoudelijke verbeteracties waren reeds in gang gezet. Maar om aan de wetgeving te voldoen moest vooral het bewustzijn op het gebied van privacy en informatiebeveiliging flink worden verhoogd.

De start

Binnen het privacy projectteam werd een werkgroep ‘communicatie & change’ geformeerd. Deze werkgroep maakte gezamenlijk een plan, waarin de doelstellingen, boodschap en gewenste perceptie voor de interne communicatie werden opgenomen. Op basis hiervan werd op wekelijkse basis gecommuniceerd via intranet, narrow casting en persoonlijke kanalen.

Privacy pioniers

Om het draagvlak in de organisatie te vergroten, werd uit elk team/afdeling een medewerker gevraagd voor de rol van privacy pionier. Een privacy pionier is een medewerker met bovengemiddelde kennis op het gebied van privacy. Hij of zij fungeert als vraagbaak voor zijn collega’s en signaleert verbetermogelijkheden. Daarnaast fungeert de privacy pionier als ambassadeur en motiveert hij zijn collega’s om op een juiste wijze met privacy en informatiebeveiliging om te gaan. De privacy pioniers komen maandelijks bij elkaar voor een kennissessie, workshop of vaardigheidstraining. Daarnaast werken ze als ‘community’ samen via een samenwerkingsplatform, waar ze bijvoorbeeld ‘best practices’ delen of hulpvragen kunnen delen.

Bredere initiatieven

Om het bewustzijn te verhogen werden alle medewerkers verplicht om een E-learning ‘privacy en informatiebeveiliging’ te volgen. Deze werd afgesloten met een toets en moet jaarlijks worden herhaald. Er werd ook nog op andere manieren getoetst. Zo werd het kantoor in Rotterdam bezocht door een ‘mystery guest’, werd de front office gebeld door een ‘mystery caller’ en werd er een ‘phishing test’ onder alle medewerkers uitgevoerd. Ook voerden leden van het projectteam wekelijks ‘controles’ van de werkplekken uit en werden er groene en rode kaartjes op werkplekken neergelegd.

Bewustzijn op niveau

Door de integrale ‘communicatie & change’ aanpak, bleek het bewustzijn op het gebied van privacy en informatiebeveiliging voldoende op niveau toen de nieuwe, Europese privacywetgeving van kracht werd. Dit bleek onder meer uit de verschillende testen, die vanuit het projectteam zijn uitgevoerd (E-learning, mystery guest, mystery caller en phishing test). Ook voor de inhoudelijke onderwerpen stonden de meeste ‘seinen op groen’ en was de Credit Exchange Groep op het juiste moment klaar voor de nieuwe wetgeving.

Volgende project