Home Zo brengt verandermanagement dataprotectie naar een hoger niveau

Zo brengt verandermanagement dataprotectie naar een hoger niveau

september 16, 2022

Dafir Kramer, Organizational Consultant, specialized in Strategy and Change Strategy Consultant DKSC

AVG compliance: Hoe zorgen we ervoor dat een organisatie dataprotectie als een strategische factor omarmt? Veranderkunde geeft inzichten en handvatten om de beweging naar compliance in gang te zetten, vertelt Dafir Kramer, strategisch consultant van DKSC en docent aan de Leergang Senior Privacy Professional.

Hoe creëren we een organisatie met een hoge awareness van de noodzaak van privacy compliance? Hoe zorgen we dat de directie het strategische belang van dataprotectie onderkent? Hoe zetten we de zorgvuldige omgang met de regels van de Algemene Verordening Gegevensbescherming (AVG) structureel op de managementagenda? Veranderkunde geeft privacy professionals handvatten en tools om de antwoorden te vinden, zegt Dafir Kramer, consultant en docent met een specialisatie in strategie en verandering van organisaties.

Van functioneel naar strategisch vraagstuk

“AVG-compliance is voor veel organisaties nog een functioneel in plaats van een strategisch vraagstuk. Dataprotectie is belegd bij een functionaris of een afdeling, maar het thema is niet geïncorporeerd in het systeem en de boardroom is niet overtuigd van het strategische belang van privacy. Met inzichten uit het verandermanagement kunnen privacy professionals hun strategische positie versterken, en zorgen dat de AVG de aandacht krijgt die noodzakelijk is voor adequate compliance”, vertelt Kramer, die tijdens tijdens de vijfdaagse Leergang Senior Privacy Professional de module over verandermanagement verzorgt.

Systemen veranderen

“Veranderkunde kijkt naar het veranderen van het systeem van een organisatie. Het systeem gaat om een manier van werken en een interne dynamiek die méér zijn dan de optelsom van het gedrag van individuele medewerkers”, vertelt Kramer. “Het systeem is daarom niet door één simpele interventie aan te passen. Je kunt medewerkers extra opleiden, een nieuw ICT-systeem invoeren, juridische richtlijnen opstellen of een gespecialiseerde professional aanstellen. Maar daarmee veranderen de dagelijkse processen, werkwijzen en systemen niet automatisch. Privacy professionals staan in feite voor de opgave om het gehele systeem van een organisatie zodanig te veranderen dat de wet- en regelgeving wordt nageleefd.”

Hoe gaan privacy professionals met deze opgave aan de slag? Het begint met bewustwording dat er geen quick fix is om een organisatie te veranderen, benadrukt Kramer. “Je moet eerst goed kijken naar het gedrag in de organisatie, en de patronen die daaronder liggen. Vervolgens verdiep je je in de geschreven en ongeschreven spelregels van de organisatie: waarom doen we de dingen zoals we ze doen? De spelregels komen vaak voort uit overtuigingen en waarheidsopvattingen. Pas als je ook daarin inzicht hebt, kan je gaan nadenken over de juiste interventies om het systeem te veranderen.”

Systeemanalyse versus brandjes blussen

“Om de gewenste beweging in gang te zetten, is allereerst het zinnig om te vragen welke patronen, spelregels overtuigingen en opvattingen de verandering mogelijk in de weg staan”, adviseert Kramer. “Als het gaat om de AVG, wordt bijvoorbeeld wel eens gezegd dat mensen privacy niet begrijpen, of dat ze de regels niet belangrijk vinden. Vanuit het perspectief van veranderkunde is dat geen zinnige aanpak. Het zogenoemde Thomas-theorema leert ons immers: als mensen een situatie als werkelijk definiëren dan zijn de consequenties ook reëel omdat mensen zich ernaar gaan gedragen. De privacy professional staat aan de lat om collega’s een andere realiteit voor te schotelen.”

Hoe maak je dan de stap van de analyse van het systeem naar de uitvoering van maatregelen om de organisatie te veranderen? “Je moet de organisatie-analyse echt tot op het systeemniveau uitdiepen, anders richt je een actie op symptomen en ben je eigenlijk alleen maar bezig met brandjes blussen,” benadrukt Kramer. “Met een analyse die voldoende diepgang heeft, krijg je inzicht in de onderliggende oorzaken van het gedrag van medewerkers en de manier van werken van de organisatie. De volgende stap is om diverse interventies te doen op verschillende organisatieniveaus en in de praktijk te leren over wat er wel en niet werkt.”

AVG-compliance

Zit de privacy officer niet bij het maandelijkse managementoverleg aan tafel? Ga eens koffie drinken met de directeur en breng actuele zaken ter sprake. Verschuift het overleg over het AVG-beleid steeds van de agenda? Zorg voor een beheersbaar brandje, zodat het thema zeker als een prioriteit wordt gezien. Vindt de directie AVG-compliance een taak van juridische zaken of de afdeling ICT? Leg de verbinding tussen privacy en andere strategische ontwikkelingen, zoals de digitale transformatie die veel organisaties nu nastreven, en maak het onderwerp daarmee een vraagstuk waar het management niet omheen kan. Kramer: “Door voorbeelden uit de praktijk te bespreken, probeer ik professionals anders – en zonder oordelen – te laten kijken naar een verandervraagstuk. Dan voel je je vervolgens rustiger en competenter om actie te ondernemen.”

“Privacy professionals zijn vaak vanuit een specifiek functioneel gebied, zoals juridische zaken of ICT, met het vraagstuk bezig. Dan is het heel ingewikkeld om op strategisch niveau aandacht te creëren voor compliance. De digitale transformatie zorgt voor een fundamentele verandering van de manier waarop organisaties werken, en daar past een strategische benadering van dataprotectie bij. Neem het datalek bij de GGD, waardoor persoonsgegevens van miljoenen Nederlanders uit de IT-systemen in handen van criminelen terecht zijn gekomen. Naast het feit dat er persoonsgegevens op straat zijn komen te liggen, is ook het vertrouwen in de GGD geschaad. Dat kan ertoe leiden dat mensen zich niet meer laten testen, en zich straks misschien zelfs niet laten vaccineren. Daarmee raakt het datalek de primaire taken en het voortbestaan van de organisatie, wat laat zien dat de AVG een strategische opgave is.”

Inzicht in verandermanagement

“In de veranderkunde geldt dat het helpt om te leren van anderen. Inzichten uit het verandermanagement geven professionals handvatten en tools, en de discussie daarover met vakgenoten zorgt voor verdieping en zelfreflectie. Je ontdekt dan steeds meer wat je allemaal kunt doen om een organisatie te veranderen. Je ontwikkelt jezelf door uit een denkkader te stappen en te ontdekken welke patronen, spelregels, overtuigingen en opvattingen veranderbaar zijn. Het goede nieuws is: alles is veranderbaar. Onze gedragingen lijken misschien wetmatig, maar we bepalen zelf welke betekenis we aan de werkelijkheid geven – en daarmee hebben we een directe impact op een situatie.”

Experimenteren met lef

De grootste opgave voor iedereen die bezig is met organisatieverandering is volgens Kramer om de analyse van het gedrag van individuen te overstijgen en de complexiteit van het gehele systeem te ontdekken. “Je moet er al doende achter komen aan welke touwtjes je kunt trekken om de organisatie in beweging te brengen. Dat is echt een kwestie van experimenteren en trial & error. Elk systeem is nu eenmaal uniek, en een maatregel werkt daarom niet altijd en overal. Een interventie die succesvol is op het ene niveau, is dat niet per definitie op het andere niveau, of in een andere organisatie.”

“Toon lef”, is Kramers belangrijkste advies. “Een verandering roept meestal weerstand op. Denk maar aan de verhitte discussies over Zwarte Piet. Maar een systeemverandering begint altijd doordat je eerst zelf als persoon verandert. Probeer je daarom voor te stellen hoe het anders kan, en ga het gewoon doen. Daarmee leef je het gewenste gedrag, en als anderen dat zien dan kan er een olievlekwerking ontstaan. Verander de wereld, begin bij je zelf – het is een cliché, maar in organisaties werkt het vaak echt zo.”

Meer weten? In de praktijkgerichte Leergang Senior Privacy Professional helpen topsprekers uit private en publieke organisaties hoe u als senior professional daadkrachtiger kunt optreden en hoe u uw impact kunt vergroten.