Novicell richt zich veel op de AVG omdat het een eis van klanten en een wettelijke vereiste is. Novicell is een IT-bedrijf dat adviseurswerk doet voor veel klanten, en daardoor veel persoonlijke gegevens verwerkt. Daarom is het cruciaal geworden om goede processen te hebben voor het omgaan met deze gegevens en om medewerkers te hebben die weten waar ze in hun dagelijkse werk op moeten letten. Het draait allemaal om het nemen van complexe juridische teksten en deze bruikbaar te maken voor alle medewerkers in hun dagelijkse werkzaamheden.
We hebben gesproken met Anne, die verantwoordelijk is om dit allemaal mogelijk te maken. Ze moet ervoor zorgen dat Novicell de juiste procedures heeft en dat medewerkers weten hoe ze deze moeten volgen.
Lees de hele case of lees meteen hoe Anne onze bewustwordingstraining heeft gebruikt.
Wie is Novicell? |
|
Anne Mølgaard Brøndum
Head of Legal bij Novicell
Verantwoordelijk voor AVG-compliance
Cand.Merc (Jur.) – Schreef haar masterscriptie over arbeidsrecht en persoonsgegevens
Novicell is een IT-bedrijf dat digitale levensadviesdiensten levert aan andere bedrijven. Dit betekent dat Novicell bedrijven helpt met een breed spectrum aan zaken. Ze helpen met webontwikkeling, e-commerce, digitale strategieën, digitale marketing, UX en nog veel meer. Je zou ze experts in digitale bedrijfsontwikkeling kunnen noemen. Ze doen dit al een paar decennia met succes en hebben nu meer dan 400 werknemers in 6 landen met hun hoofdkantoor in Denemarken.
Een van de 400 medewerkers is Anne Mølgaard Brøndum. Anne is Head of Legal bij Novicell, wat betekent dat zij de verantwoordelijkheid heeft om ervoor te zorgen dat Novicell de regels van de AVG naleeft. Anne schreef haar masterscriptie over arbeidsrecht en persoonsgegevens, die in veel opzichten een perfecte manier zijn om de mysteries van de AVG te doorgronden.
We hebben met Anne gesproken over haar werk bij Novicell en hoe ze ervoor zorgt dat ze voldoen aan de AVG.
De AVG is hier om te blijven. We kennen allemaal de regels, maar we weten allemaal nog steeds niet hoe we ze correct moeten volgen vanwege het gebrek aan praktijkvoorbeelden van do's en don'ts. De regels zijn in veel opzichten hetzelfde als vóór de AVG, maar de AVG heeft ervoor gezorgd dat bedrijven er prioriteit aan zijn gaan geven.
Anne heeft de taak om ervoor te zorgen dat Novicell voldoet aan de AVG. Het is moeilijk om te praten over een algemene concrete strategie voor hun AVG-werk, en in plaats daarvan doet Anne twee verschillende dingen om het werk bij Novicell in te kaderen. Ten eerste krijgen ze jaarlijks ISAE 3000-audits, wat vereist dat ze aan bepaalde regels en standaarden voldoen. Ten tweede houdt Anne bij wat andere bedrijven doen en welk nieuws de gegevensbeschermingsautoriteiten delen. Dit doet ze om inspiratie op te doen en up-to-date te blijven. Ze past de processen van Novicell aan om ervoor te zorgen dat ze de beste praktijken volgen.
Zoals Anne zelf zegt:
“Er komen altijd nieuwe dingen bij. Het gaat erom de vinger aan de pols te hebben. Er zijn nieuwe verklaringen van de Autoriteit Persoonsgegevens. Nieuwe rechtszaken. Nieuwe aanbevelingen. We proberen om ons voortdurend aan te passen en op de hoogte te blijven van wat er gebeurt.”
Beide zaken leiden natuurlijk tot het laatste deel van de 'strategie', namelijk ervoor zorgen dat alle werknemers begrijpen waarom ze elke dag persoonlijke gegevens moeten beschermen.
Novicell heeft ervoor gekozen om zich elk jaar te laten controleren. Anne zegt dat dit veel taken met zich meebrengt omdat het auditproces veel normen kent waar ze aan moeten voldoen als het gaat om het omgaan met persoonsgegevens. Op die manier werkt de ISAE 3000 als een raamwerk voor hun AVG-werk.
In het begin, toen Novicell voor het eerst werd geauditeerd, hielp het hen om een gestructureerde aanpak van het AVG-werk te krijgen en de beveiliging te versterken. Inmiddels is het meer een jaarlijkse check-up om er zeker van te zijn dat ze voldoen. Daarom is de audit niet meer de belangrijkste drijfveer voor hun dagelijkse AVG-werk.
Maar het blijft waardevol. Het helpt om externe auditors een keer per jaar binnen te laten komen om je werk te controleren, omdat ze kleine dingen vinden die verbeterd kunnen worden:
“Ze doen controles en controleren ons één keer per jaar van A-Z als ze hier zijn. Elk jaar komen er nieuwe uitdagingen uit deze check-ups, dus het levert ons wel taken op.”
Naast de taken die de check-ups met zich meebrengen, zorgt het feit dat de auditors één keer per jaar langskomen ervoor dat Anne zich blijft inspannen – dat is nodig.
Het eerste jaar dat Novicell werd gecontroleerd, kregen ze een Type-1-rapport. Een Type 1-rapport is de basis, daar bouw je als het ware het huis op. Dit betekent dat een Type-1 auditrapport een rapport oplevert van procedures en controles die de organisatie heeft ingevoerd, maar niet hoe ze deze uitvoeren. Dit is vaak een goede manier om te beginnen, omdat het goedkoper en minder werk is dan de Type-2.
In 2020 en 2021 kreeg Novicell het Type-2-rapport, waarbij het niet voldoende is om de procedures en controles te hebben. Je hebt ook bewijs nodig dat je ernaar handelt door een externe accountant door je activiteiten te laten kijken. Dit is veel werk, maar het is ook een manier om te controleren of je het goed doet, zoals Anne zegt:
“Het is de eerste keer het meest uitdagend, omdat het je ook inzicht geeft of je de wet correct interpreteert. Het was fijn om te horen dat de accountants zeiden dat we een van de beste opstellingen hadden die ze hadden gezien. Dat stelde me tot rust en bevestigde dat we de goede dingen doen.”
Het auditrapport is een manier om het werk dat je doet in je organisatie te verifiëren.
Naast het versterken van je beveiliging door ervoor te zorgen dat je persoonsgegevens goed beschermt, heeft de ISAE 3000 ook voordelen als het gaat om branding. Het is een verkoopargument dat Novicell klanten kan laten zien dat ze gecertificeerd zijn omdat het laat zien dat ze de AVG serieus nemen. Ze ondernemen uiteraard serieuze acties om de AVG te volgen.
“Het is een enorm concurrentievoordeel. Het creëert waarde voor onze klanten. En het creëert waarde voor mij en Novicell om te weten dat een externe partij ons werk heeft gecontroleerd. Het zijn niet alleen wijzelf die zeggen dat we het onder de knie hebben."
Novicell kan zien dat het waarde creëert, omdat het vertrouwen schept en klanten en partners geruststelt en bewijs is dat Novicell weet wat ze doen met betrekking tot het omgaan van persoonlijke gegevens.
Het tweede deel van de strategie voor Anne is om op de hoogte te blijven en zich voortdurend aan te passen. De reden hiervoor is dat het AVG-landschap zich voortdurend ontwikkelt. Dit betekent dat je nieuwe aanbevelingen moet volgen om er zeker van te zijn dat je op de hoogte bent, naast de verordening zelf. Juridische zaken creëren voorrang, waardoor je weet hoeveel of hoe weinig je moet doen om aan de regels te blijven voldoen.
Simpel gezegd, we leren allemaal terwijl we ermee bezig zijn.
Anne is zich daarvan bewust en het betekent dat een groot deel van haar werk bestaat uit het op de hoogte blijven van wat Datatilsynet (de Deense gegevensbeschermingsautoriteit), marktleiders (bedrijven die alleen met AVG werken) en anderen doen. Vervolgens evalueert ze altijd of het nieuws relevant is voor Novicell. Als dat zo is, dan gaat het erom het in de praktijk te brengen. Daarom moet ze flexibel zijn in haar AVG-werk, aangezien het werkveld voortdurend verandert.
Het is veel werk om het nieuws of de aanbevelingen te evalueren en het voor medewerkers uitvoerbaar te maken. We kunnen het opsplitsen in drie simpele stappen:
Verzamel informatie/inspiratie uit nieuws/bedrijven/rechtszaken
Zet het in juridisch perspectief (wat zegt de AVG erover)
Neem de wet en de inspiratie en creëer een pragmatische aanpak
Maar hoe doe je dat?
Je kunt er bijvoorbeeld achter komen dat je een IT-beveiligingsbeleid moet hebben. Dat is okay, maar hoe helpt dat je werknemers die het beleid irrelevant zullen vinden voor hun dagelijkse werk? Nou, Anne neemt het beleid door en haalt alle relevante dingen voor werknemers eruit om een kleine gids/handboek te maken met alleen relevante en bruikbare informatie voor de werknemers. Zo zorgt ze ervoor dat het strategisch document voor iedereen bruikbaar wordt.
Ik kom later terug op het kleine handboek, want het is een belangrijk onderdeel van Anne’s werk.
Het auditrapport en up-to-date blijven vormen de basis van veel van wat Anne doet, maar waar komt het op neer?
De echte uitdaging is om een organisatie brede cultuur te creëren die ervoor zorgt dat Novicell AVG-compliant is. Anne weet wat er moet gebeuren, maar ze kan het niet allemaal alleen. Alle medewerkers moeten helpen om dit te realiseren. Communicatie is daarom ook een van Anne’s grootste uitdagingen. Ze moet de complexiteit van de AVG vertalen in bruikbare processen voor werknemers. Daarnaast moet ze medewerkers duidelijk maken waarom compliance belangrijk is op een drukke werkdag, om ervoor te zorgen dat ze de processen volgen. Medewerkers hoeven niet alles te weten, maar ze moeten wel weten wat ze moeten doen en waar ze zich bewust van moeten zijn.
“Onze grootste uitdaging is om altijd up-to-date te blijven. Het is onmogelijk om dit altijd te doen. Het is een zware uitdaging om ervoor te zorgen dat werknemers prioriteit geven aan het volgen van opleidingen en trainingen in een druk dagelijks leven waarin agenda's vol staan met klantvergaderingen, deadlines en lanceringen.”
Effectieve communicatie is de oplossing.
De AVG is niet sexy en wekt niet spontaan plezier op bij medewerkers. De meeste mensen worden moe als ze het woord AVG horen, omdat ze het als een obstakel zien voor wat ze in hun werk doen:
“Ik heb veel tijd geïnvesteerd in communiceren om ervoor te zorgen dat de AVG niet eng was, maar om het te associëren met iets positiefs. In het begin hoorde ik veel mensen zeggen: ‘O, wat zijn dat voor extra eisen’ of ‘Dit wordt echt ingewikkeld.’ Daarom heb ik geprobeerd te laten zien hoe we het aankunnen met veel kleine stapjes.”
Ook al is de AVG een juridische uitdaging, het gaat ook om communicatie, processen en het meekrijgen van mensen. Anne concentreerde zich veel op hoe ze de uitdagingen formuleerde en hoe ze erover sprak om het toegankelijker en positiever te maken. Anne heeft twee grote dingen geïmplementeerd om ervoor te zorgen dat ze het belang op een effectieve manier communiceren. Ze heeft een AVG-handboek geïmplementeerd voor alle medewerkers + bewustwordingstraining voor alle medewerkers.
We beginnen met het handboek.
Ik noemde al kort het AVG-handboek dat Anne samen met enkele collega's heeft gemaakt voor alle medewerkers in het bedrijf. Dit handboek is een van de belangrijkste onderdelen van het AVG-werk van medewerkers. Het is een kleine handleiding dat medewerkers kunnen gebruiken bij twijfel over alles wat met persoonsgegevens te maken heeft. Je zou het een medewerkersgids kunnen noemen.
Laten we zeggen dat ze klaar zijn met een project en dat Novicell dan alle persoonlijke gegevens van dit project moet verwijderen. Vervolgens kunnen de medewerkers het handboek doorzoeken om te zien hoe ze dit proces kunnen starten. Vaak is de eerste stap van de medewerkers om Anne of iemand anders ervan bewust te maken dat er een proces gestart moet worden. Vanaf dan ligt de verantwoordelijkheid niet meer bij de werknemer. Het handboek laat ze zien wat ze moeten doen zonder in te gaan op wat er daarna gebeurt – dit hoeven ze niet te weten.
“Het belangrijkste is dat het proces op gang komt. Jij bent niet degene die het werk moet doen, maar je moet me op de hoogte brengen, zodat ik het proces kan starten.”
Als de medewerkers het hele proces zouden moeten onthouden, zou het een last worden omdat het veel informatie is. Ze hebben genoeg op hun bord. Als ze de eerste stap van het proces kennen, werkt alles.
Anne geeft aan dat een van de voordelen van het handboek is dat alles op één plek wordt verzameld. Maar het is ook belangrijk dat het alleen gevuld is met relevante dingen, zodat het voor werknemers makkelijk en snel is om te vinden wat ze nodig hebben. Het handboek is voor alle medewerkers hetzelfde, maar sommige delen kunnen relevanter zijn dan andere voor b.v. developers of projectmanagers. In totaal is het handboek niet langer dan een paar pagina's. Het bevat verwijzingen naar veel andere documenten, maar de werknemers hoeven deze niet te lezen, ze moeten alleen weten dat ze bestaan als ze deze ooit nodig hebben.
"Het is makkelijker om te communiceren als het maar een paar pagina's zijn met snelle opsommingen voor elk gebied. Dan kunnen we zeggen: ‘Oké, alle projectleiders moeten extra op de hoogte zijn van pagina 2, want deze dingen zijn belangrijk in je werk.’ Je zou gemakkelijk 200 pagina’s kunnen schrijven over het omgaan met persoonlijke gegevens en deze aan alle medewerkers geven en dan verwachten dat ze de regels volgen. Maar dit zou natuurlijk niet werken. We moeten ervoor zorgen dat we de regels volgen door op een effectieve manier te communiceren, zonder informatie-overload te creëren.”
Door het kort en krachtig te houden, is het voor het team geen veeleisende taak om dingen op te zoeken. Je kunt niet verwachten dat werknemers kunnen navigeren door te veel informatie die elke week verandert. Als het gaat om de AVG, is de gezegde "Keep it simple, stupid" van toepassing.
Het is belangrijk om te vermelden dat je niet alleen een handboek met een reeks richtlijnen maakt, het naar alle werknemers stuurt en dan achterover leunt en zegt: "Het werk is gedaan".
Anne kijkt regelmatig naar het handboek om er zeker van te zijn dat het up-to-date is. Als de Autoriteit Persoonsgegevens nieuwe aanbevelingen creëert, past ze het handboek aan. Het handboek is het belangrijkste naslagwerk voor alle medewerkers, dus het moet nuttig en actueel zijn.
Het maken van het handboek is één ding. Een andere uitdaging is ervoor zorgen dat het hele team zich eraan aanpast en het als naslagwerk gebruikt.
“We hebben een controle. Het is de teamleider die verantwoordelijk is om ervoor te zorgen dat het handboek in hun team wordt geïmplementeerd. Ze kunnen echter altijd om hulp vragen. Soms heb ik een ochtendvergadering met een team om over het handboek te praten. Dit is bijvoorbeeld relevant als we daarin wijzigingen hebben aangebracht.”
De teamleiders en Anne zorgen er altijd voor dat mensen het belang van het handboek begrijpen en zorgen ervoor dat ze communiceren wanneer het is bijgewerkt. Daarnaast maakt het handboek ook deel uit van het onboarding proces van elke nieuwe medewerker.
Zoals je inmiddels misschien wel begrijpt, is het handboek het go-to middel van elke werknemer als het gaat om het omgaan met persoonlijke gegevens. Als ze het antwoord niet in het handboek kunnen vinden, weten ze dat Anne degene is die ze het kunnen vragen. Op deze manier krijgen ze duidelijke communicatie, en weten ze wat ze moeten doen.
Maar het handboek is niet het enige initiatief dat Novicell heeft geïmplementeerd.
Een ander belangrijk initiatief dat Novicell heeft geïmplementeerd, is de Awareness Training van CyberPilot. Het is één ding om te weten wat je moet doen en waar je het moet opzoeken. Maar medewerkers moeten ook weten waarom het belangrijk is. Net zoals Anne up-to-date probeert te blijven, moeten de medewerkers ook up-to-date zijn als het gaat om cybersecurity en de AVG. Nogmaals, ze hoeven geen experts te zijn, maar ze moeten wel weten waarom het belangrijk is en waar ze op moeten letten. Hier komt de bewustwordingstraining om de hoek kijken, zegt Anne:
“Misschien komt er een nieuwe aanbeveling over toestemming. En ik kan makkelijk tegen alle medewerkers zeggen: “Dit moet je doen”, maar wat houdt het in en hoe doen we het in de praktijk? Dit is waar CyberPilot’s modules in passen. Ze leggen uit waarom en hoe, en wat het beveiligt. De cursussen leggen uit hoe we persoonlijke gegevens op de beste manier beschermen met herkenbare voorbeelden”
De bewustwordingstraining is het tweede onderdeel van het communiceren over de AVG.
Anne en haar team hebben het handboek zelf gemaakt, dus waarom zouden ze de bewustwordingstraining niet ook zelf maken? Het simpele antwoord is dat je als eenmansleger niet alles zelf kunt doen.
“Er komen altijd nieuwe AVG-aanbevelingen uit. Dit stelt veel eisen aan de bewustwordingstraining omdat je eerst moet weten waar je bewustwording over moet creëren. Welke onderwerpen moeten we behandelen? Daarom hebben we met jullie samengewerkt. De bewustwordingstraining zorgt ervoor dat alle medewerkers continu bijgeschoold worden. En het is mijn indruk dat je (CyberPilot) op de hoogte bent van wat er gaande is. Als er iets is in de media of de Autoriteit Persoonsgegevens, dan kunnen we daar binnenkort een cursus over verwachten.”
Door met CyberPilot samen te werken, hoeft Anne niet op de hoogte te zijn van wat werknemers moeten weten. In plaats daarvan kan ze zich richten op de interne processen en communicatie hierover. Ze vindt bewustwordingstraining een goede manier om medewerkers up-to-date te houden.
“In mijn ogen is dit de beste manier om het te doen. Op dit gebied kun je niet vooruitlopen op wat er gebeurt. Je moet de vinger aan de pols houden.”
Volgens Anne gaat het bij goede bewustwordingstraining er ook over om ervoor te zorgen dat de medewerkers op de hoogte zijn van nieuwe en belangrijke gebieden als het gaat om cybersecurity en de AVG.
Het feit dat de training mensen helpt om up-to-date te blijven, is ook een van de redenen waarom de Awareness Training van CyberPilot continu is en niet slechts één keer per jaar een cursus.
Een van de dingen waar bewustzijnstrainingen bij helpen, die het AVG-handboek en interne processen niet doen, is het geven van voorbeelden over hoe verschillende onderwerpen en situaties het echte leven beïnvloeden. De voorbeelden helpen de processen in perspectief te plaatsen, omdat ze het belang van sterke beveiliging aantonen. De nieuwswaarde van de bewustwordingstraining doet hetzelfde: het relativeert processen en legt uit waarom ze belangrijk zijn. Over de bewustwordingstraining zegt Anne:
“Het werkt hartstikke goed. De nieuwswaarde betekent veel voor mij. Het geeft ons de zekerheid dat we onze medewerkers informeren over wat hier en nu belangrijk is. En dan geeft het ons ook nog wat praktijkvoorbeelden. Je kunt veel to-do's in je hoofd hebben, maar het is belangrijk met de uitleg en voorbeelden van 'Zo voorkom je een beveiligingsinbreuk' of 'wanneer de schade is aangericht, is dit wat we moeten doen'. We hebben ook phishing en spam-mails behandelt. Dit was fijn en bevat concrete en begrijpelijke modules over wat belangrijk is.”
De concrete voorbeelden en beschrijvingen zorgen ervoor dat het werkt, omdat het onduidelijke AVG-praat omzet in concrete acties die je in je dagelijks leven kan ondernemen. Of in ieder geval omvat waar je je in jouw dagelijks leven bewust van moet zijn.
We kennen allemaal het gevoel - als je niet weet waarom een bepaalde regel bestaat, dan lijkt de regel vaak dom, dus waarom zou je je eraan houden?
Het AVG-handboek en de bewustwordingstraining werken goed samen om ervoor te zorgen dat iedereen de processen volgt. Het AVG-handboek regelt de communicatie over interne processen en wat de medewerkers moeten doen in hun dagelijkse bedrijfsuitvoering. De bewustwordingstraining behandelt de kennis op algemeen niveau en helpt communiceren waarom het belangrijk is voor medewerkers om bewust te zijn in hun dagelijks leven.
De bewustwordingstraining is het waarom en het handboek is het wat.
Het handboek en de training zorgen er samen voor dat cybersecurity en de AVG elke dag op de agenda staan zonder al te tijdrovend te zijn. Het is een goede stap om een sterke cyberbeveiligingscultuur te creëren.
In het begin is het altijd het moeilijkst om een boodschap over te brengen.
“We moeten veel klantgegevens beschermen, dus in het begin was de leercurve steil. Er waren veel regels voor de adviseurs en de ontwikkelaars. Maar ze begrepen hoe belangrijk het was.”
Daarom deden Anne en Novicell in het begin ook extra hun best. Ze moesten ervoor zorgen dat beveiliging altijd deel uitmaakt van de mentaliteit van het team. Een manier waarop ze dit deden was het gebruik van fysiek bewustzijn.
Ze creëerden merchandise, bijvoorbeeld stickers om mensen te herinneren aan goede beveiligingsgewoonten.
“We hebben wat nudging gebruikt. Als we bijvoorbeeld een medewerker zagen die bij het verlaten van de computer vergat zijn scherm te vergrendelen, plakten we een sticker op het computerscherm of het toetsenbord. Dat hebben we in het begin veel gedaan, omdat het ook voor bewustwording zorgde over het handboek en de begeleiding.”
Het is belangrijk om een goede start te maken en medewerkers aan boord te krijgen. Stickers zijn een manier om dit te doen.
Anne gebruikte stickers om bewustzijn te creëren bij Novicell. Een andere manier om dit te doen is met kopjes, shirts, posters en nog veel meer. Je fantasie is de limiet. Bij CyberPilot hebben we een aantal posters gemaakt die je hier kunt vinden en in je bedrijf kunt gebruiken. Het is een snelle manier om aan de slag te gaan en je hoeft zelf niets te ontwerpen.
We vroegen Anne ook of ze 3 snelle tips had voor andere bedrijven. Gelukkig had ze deze. Maak je klaar om aantekeningen te maken.
De eerste tip is om gecertificeerd te worden. Het is niet alleen een concurrentievoordeel, het is ook een plan. Het plan helpt je bij het creëren van de benodigde processen en documentatie in je AVG-werk. We hebben een blogpost geschreven over de ISO 27001-certificering en het ISAE 3402-rapport.
Documentatie klinkt misschien saai, maar het is heel logisch. Documentatie en wie verantwoordelijk is, zijn belangrijk om ervoor te zorgen dat processen worden gevolgd en dat alles wordt geregeld.
“Je moet de controle hebben over welke gegevens je verwerkt en hoe. Als er zich een beveiligingsinbreuk voordoet, kunnen we geen contact opnemen met de relevante klanten als we geen overzicht hebben van onze eigen documentatie en procedures. We hebben controles op al onze procedures om ervoor te zorgen dat ze worden uitgevoerd”
Hoewel documentatie niet spannend is, moet je het voor elkaar krijgen.
Er zijn veel taken wanneer je probeert te zorgen dat je bedrijf AVG-compliant is.
Waarom niet hulp krijgen om het je gemakkelijker te maken?
Het is misschien mogelijk om hulpmiddelen te vinden die je helpen in je dagelijkse werk. Sommige tools kunnen je veel tijd besparen.
We houden allemaal van een goed sciencefictionverhaal, dus hoe zit het met de toekomst van de AVG? Waar staan we over vijf of tien jaar als het gaat om de AVG? Het is een goede vraag en Anne moest er ook even over nadenken.
“Ik denk dat we meer voorbeelden zullen hebben om op te leunen. Er zullen waarschijnlijk ook meer afgeronde rechtszaken zijn waarvan je kunt zeggen: ‘Ok, dit is dus de consequentie van dit gedrag.’ Ik denk ook dat we meer aanbieders zullen zien van systemen en tools die ons kunnen helpen in ons dagelijks leven.”
Het klinkt alsof het alleen maar makkelijker en tastbaarder zal worden, maar we moeten niet te hoge verwachtingen koesteren.
“Aan het eind van de dag, als we het hebben over privacy en gegevensbescherming op een hoger niveau, dan zijn het gewoon ingewikkelde dingen. Het is moeilijker dan andere wetten zoals b.v. arbeidsrecht waar je kunt zeggen: "Als dit, dan dat." Wanneer het gaat om gegevensbescherming en privacy, dan is het extreem abstract en het gebied ontwikkelt zich voortdurend.”
Dus ook al krijgen we meer rechtszaken en voorbeelden om op te leunen, er is geen garantie dat wat vandaag waar is, morgen ook de waarheid is. De eisen en het niveau van initiatieven die je moet hebben geïmplementeerd, kunnen hoger zijn dan nu het geval is.
Eén ding is echter zeker, de AVG zal ervoor zorgen dat we in de toekomst geen volledig Minority Report over het omgaan met persoonlijke gegevens zullen hebben.
Het AVG-werk is misschien constant in ontwikkeling en ziet er van dag tot dag anders uit, maar het werk van Anne en Novicell laat zien dat één ding een gegrond en stabiel onderdeel van het werk is: de cyberbeveiligingscultuur. Als je medewerkers het belang van het beschermen van persoonsgegevens begrijpen, wordt alles eenvoudiger. Bewuste medewerkers die het belang begrijpen, zullen eerder de juiste processen volgen en nieuwe veranderingen met een positieve mindset benaderen. Het bewustzijn van medewerkers en een sterke cyberbeveiligingscultuur vormen de basis van goede gegevensbeschermingspraktijken.