-

‘GDPR is meer dan alleen de regels toepassen’

Bedrijven die zowel naar de letter als de geest van de nieuwe Europese GDPR-regels willen handelen, doen er goed aan hun integriteitscultuur onder de loep te nemen. Dit vertelde Marius van Rijswijk van Verdonck, Klooster & Associates, op E-Commerce Live! 2017.

GDPR of de Algemene Verordening Gegevensbescherming zoals we het in Nederland noemen is vanaf 25 mei 2018 van toepassing. “Het kenmerkende aan die wetgeving is dat er veel open normen in zitten,” legt Van Rijswijk uit. “Dat betekent dat de wetgeving wel zegt wat je moet doen maar niet hoe je dat moet doen. Dat mag je als bedrijf zelf bepalen. Dat levert dus een vraagstuk op van ‘hoe ga je dat dan invullen’. Waar de regelgeving ophoudt begint integriteit. Je moet dus zorgen dat je grip hebt op je integriteitscultuur.”

Het is geen vertrouwenskwestie, waarbij de werkgever ervanuit kan gaan dat medewerkers te goeder trouw zijn. “Dat is een aanname die ik niet zomaar wil overnemen. We hebben de afgelopen jaren in de praktijk gezien dat zowel leidinggevenden als medewerkers nog weleens een scheve schaats rijden. Je kunt niet zomaar aannemen dat het goed zit met je integriteitscultuur. Sterker nog, veel zal je natuurlijk niet zien want medewerkers die niet integer zijn hebben er geen enkel belang bij om dat voor het voetlicht te brengen.”

De kapotte-raam-theorie

Hoe bepaal je nu als bedrijf waar je staat qua integriteitscultuur? “We weten uit de omgevingspsychologie dat integriteit meetbaar en voorspelbaar is. De omgeving heeft heel veel invloed op het gedrag van medewerkers. Je kent misschien de kapotte-raam-theorie. Een huis kan heel lang ongeschonden blijven staan. Op het moment dat je een ruit ingooit kan het zomaar zijn dat het huis binnen twee weken helemaal vol met graffiti zit en dat er nog meer ramen kapot zijn gegaan. We speuren als mensen constant onze omgeving af en conformeren ons gedrag daaraan. In een nette omgeving zullen we eerder geneigd zijn om een propje op te rapen. In een slordige omgeving zullen we het veel makkelijker van ons af gooien. Zo zijn er heel veel theorieën in de omgevingspsychologie die eigenlijk aantonen dat die omgeving heel erg bepalend is voor ons gedrag en dat stuurt, bewust of onbewust. Als bestuurder of leidinggevende kun je je organisatie dus op een bepaalde manier inrichten waardoor je maximaal mensen ondersteunt om integer te worden en zich integer te gedragen.”

Autoritair management

Er is een aantal waarschuwingssignalen dat wijst op een mogelijk integriteitsprobleem, zegt Van Rijswijk. “Leidinggevenden die zich heel autoritair opstellen richting medewerkers bijvoorbeeld, zodat de medewerkers bang zijn om tegenspraak te leveren. Daardoor creëer je een heel negatieve organisatiecultuur waarbij dingen onder het tapijt worden geschoven. Denk ook aan heel simpele dingen als het inrichten van je organisatie. Voorbeeldgedrag van leidinggevenden is daar heel bepalend in. Je kunt wel allerlei gedragsregels formuleren en aangeven dat je medewerkers zich daaraan moeten houden maar als een leidinggevende dat aan zijn laars lapt, dan is het zonde van de gedragscode, want medewerkers zullen zich er dan ook niet aan houden.”

Drastisch de bedrijfscultuur omgooien is geen haalbare kaart, erkent Van Rijswijk, maar alleen de regels toepassen van GDPR is niet afdoende. “Ik zie heel veel bedrijven die vooral de focus hebben op de harde kant en te weinig aandacht hebben voor de privacycultuur. Dat begint al bij kleine dingen – het geeltje met het wachtwoord op je laptop is al een cultuuraspect. Als je dat niet aanpakt dan kun je nog zulke mooie regels, procedures en afvinklijstjes inrichten, maar dan heb je nog steeds niet een bedrijf dat privacy-proof is. Ik zeg: zeker, je moet de harde kant inregelen maar tegelijkertijd aandacht hebben voor de integriteitscultuur. Dat is een continu proces waar je aan moet blijven werken.”

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond