'Privacy en interne communicatie? Het begint met gezond verstand.'

Profile picture for user Marlou
door Marlou

'Privacy en interne communicatie? Het begint met gezond verstand.'

Een efficiënte organisatie staat of valt met soepele communicatie, samenwerking en kennisdeling. Een sociaal intranet brengt dat alles overzichtelijk bij elkaar. Maar hoe doe je het veilig? Mag je medewerkers zomaar lid maken van een community? En wat zegt de privacywet, de AVG, over interne communicatie? Een jaar na inwerkingtreding van de AVG gaan Rik Mulder van Plek en privacy-expert Leonie Gerding met elkaar in gesprek over vragen die bij klanten leven.

AVG

Leonie Gerding is het aan haar stand verplicht om langer na te denken over haar eigen privacy en gegevensbescherming. Als senior-consultant bij Verdonck, Klooster & Associates adviseert zij organisaties op het gebied van privacy, cybersecurity en digital ethics. Directeur Rik Mulder van Plek sprak met haar over vragen die hij geregeld terughoort bij klanten. Over privacy, over veiligheid en over de privacywet AVG die een jaar geleden in werking trad.

Wanneer doen we het goed?

Rik: ‘We merken dat klanten echt worstelen met het thema privacy. De teneur van de vragen van onze klanten is eigenlijk: wanneer doen we het goed? Ik snap dat wel, want rond de AVG is er een jaar na dato nog nauwelijks jurisprudentie. En je kunt wel informatie vinden over hoe je moet omgaan met de buitenwereld – de privacy van klanten – maar hoe pas je die nieuwe privacyregels toe op je medewerkers?’

Leonie: ‘Ik hoor vaak om me heen dat van alles niet mag van de AVG. De AVG bevat 99 artikelen, maar die geven niet specifiek aan wat wel en niet mag voor je medewerkers. Die ruimte moet je als organisatie zelf verantwoord invullen, afhankelijk van wat je doet. Zo’n 80 procent van de AVG is hetzelfde als onder de oude wetgeving, maar daar deden veel organisaties weinig mee. Die vinden het nu zo moeilijk omdat ze nog achterstallig werk moeten uitvoeren.

De formaliteiten zijn dan de eerste uitdaging: het bijhouden van het register van verwerkingen, verwerkersovereenkomsten en de invulling van transparantie naar degene over wie je persoonsgegevens verwerkt. Maar die verwerkersafspraken en melding van registraties kenden we hiervoor ook al.’

AVG

Het is een jaar geleden dat Nederland aan de AVG moest, de Algemene Verordening Gegevensbescherming. Door de nieuwe privacywet gelden in de hele EU dezelfde privacyregels. De AVG heeft op 25 mei 2018 de Wet bescherming persoonsgegevens vervangen.

Samenwerken is informatie delen

Rik: ‘Als ik werksessies doe bij klanten hoor ik soms van medewerkers: “Hoe zit het eigenlijk met mijn privacy?” En: “Ik weet niet of ik wel wil dat mijn foto op het intranet wordt gepubliceerd.” Ik leg dan uit dat het draait om redelijkheid. Dat het logisch lijkt dat je informatie over jezelf deelt in een organisatie waar je met elkaar samenwerkt. Gegevens zoals je naam, je e-mailadres en je telefoonnummer, zodat collega’s je kunnen bereiken. Wat vind jij? Kun je dat inderdaad verlangen van werknemers?’

Leonie: ‘In het digitale tijdperk denk ik dat je er niet aan ontkomt om digitaal met elkaar samen te werken. Vaak is het ook onderdeel van je functie om zichtbaar en bereikbaar te zijn. Als je projectleider bent, moeten mensen jou kunnen benaderen en vragen kunnen stellen. Je moet dan vooraf wel goed nadenken over het doel waarvoor je een medium inzet en waarvoor je de informatie die je vraagt te delen gaat gebruiken.’

Rik: ‘Wij adviseren om daarover van tevoren afspraken te maken. Welke vorm kunnen die afspraken volgens jou het beste hebben?’

Leonie: ‘Het is inderdaad goed om iets vast te leggen, ook omdat dit helpt in de transparantie richting de gebruikers. Maar het is ook een uitgangspunt voor hoe je onderling met elkaar samenwerkt en elkaars privacy respecteert. Ik ben geen voorstander van een lijvig reglement – dat eindigt vaak in een la en leest niemand. Je kan prima een goed leesbaar en begrijpelijk statement opstellen over de manier waarop je met elkaar communiceert.’

Rik: ‘Precies. Zo’n tekst zou je ook kunnen weergeven als mensen voor het eerst inloggen op het intranet.’ Leonie: ‘En je kunt het gelijk meenemen als onderdeel van een onboarding-programma. Wanneer de organisatie een OR heeft, is het belangrijk om die ook mee te nemen in een nieuwe werkwijze. Ga je op een nieuw platform met elkaar communiceren en samenwerken en wil je dat monitoren, stem dan met elkaar de spelregels af.’

loep

Stiekem meekijken

Rik: ‘Onze klanten zijn wel eens zenuwachtig over alles wat er op het sociaal intranet gebeurt. “Want stel nou dat er schimmige dingen gebeuren in besloten groepen”, zeggen ze dan. Op Plek hebben we ervoor gekozen dat een baas of een admin niet kan zien wat er in een besloten groep wordt besproken als hij daar zelf geen lid van is. Je kan dus niet stiekem meekijken. Het Amerikaanse Slack was een tijdje geleden in het nieuws omdat zij juist wel managers de mogelijkheid bieden om privégesprekken in chats te downloaden. Volgens mij schaadt dat het vertrouwen en de privacy.’

Leonie: ‘Ook hierbij geldt dat het goed is om er iets over op te nemen in je huisregels of HR-handboek. Er zijn wel grenzen aan de privacy op het werk. Als er een duidelijk bedrijfsbelang is mag de werkgever onderzoek doen. Dat staat verder los van het middel – e-mail, telefoon, dat maakt niet uit. Een concrete aanleiding is noodzakelijk, maar ook de waarborgen waaronder het onderzoek plaatsvindt kun je in de huisregels beschrijven. Zo weten medewerkers ook waar ze aan toe zijn.’

Wie is het meest actief?

Rik: ‘Statistieken over het gebruik van het platform kunnen ook voor gevoeligheden zorgen. Zeker klanten in het overheidsdomein willen vanuit privacy-overwegingen liever niet bijhouden hoe actief medewerkers zijn op het intranet. Maar wij zeggen: je kan het ook positief inzetten – het kan stimulerend werken als je laat zien: dit zijn de meest actieve gebruikers op het platform. Hoe kijk jij hiernaar?’

Leonie: ‘Zoals bij zoveel zaken helpt het ook hier om je gezond verstand te gebruiken. Waar het om draait is de vraag: wat kan je doen om de verwerking van persoonsgegevens of monitoring van gedrag te verkleinen? Vraag je bijvoorbeeld af of het echt nodig is om individuele statistieken bij te houden. Wil je sturen op meer gebruik van een sociaal intranet, dan kun je dat doel misschien ook bereiken door niet op persoonsniveau te kijken, maar naar welke teams er meer of minder actief zijn.’

Ze vervolgt: ‘Mijn stokpaardje is: er mag best veel van de AVG, zolang je een grondslag hebt voor de verwerking, er transparant over bent en je verantwoordelijkheid neemt voor de veilige verwerking van persoonsgegevens. Mijn advies is: bekijk dingen in de juiste context en probeer het klein te houden. Bedenk altijd of je in gewonemensentaal kunt uitleggen hoe je zaken aanpakt. Privacy is niet zo moeilijk: met een beetje nadenken weet je vaak al hoe je het privacyvriendelijk moet doen.’

Potlood

Leonie Gerding is senior-consultant privacy, cybersecurity en digital ethics bij strategisch ICT-adviesbureau Verdonck, Klooster & Associates. Ze helpt organisaties om veilig en verantwoord gegevens te verwerken, met in het achterhoofd de complexe en continu veranderende regelgeving.

Rik Mulder is algemeen directeur van Plek. Hij helpt organisaties met de succesvolle uitrol en activatie van sociaal intranet en communityplatform Plek. Daarnaast geeft hij leiding aan het Plek-team van 25 ontwerpers, ontwikkelaars, adviseurs, testers en supportmedewerkers.