Beheer

Governance
avg

Model kan AVG-compliancy makkelijker maken

MAPPE-model helpt databewustwording verbeteren

17 oktober 2019

MAPPE-model helpt databewustwording verbeteren

De Algemene verordening gegevensbescherming (AVG) is meer dan een jaar van kracht. Veel organisaties kiezen ervoor om AVG-compliant te zijn of te worden door zich te richten op IT-oplossingen. Terwijl onderzoeken aantonen dat juist de mens hierin de zwakste schakel is. Databewustwording bij mensen vergroten is daarom een betere route om compliant te zijn aan de AVG. Volgens Arno van Loo, Hans Mulder en Edward van Dipten kan het MAPPE-model hierin helpen.

AVG is een verordening die organisaties verplicht meer grip te krijgen op de persoonsgebonden data binnen een organisatie. Bij het overtreden van deze verordening kan de Autoriteit Persoonsgegevens boetes opleggen die vele malen hoger zijn dan die onder de oude Wet bescherming persoonsgegevens. Het voorkomen van imago- en reputatieschade van een organisatie is eveneens een belangrijk uitgangspunt om aan de AVG te voldoen.

Uit onderzoek blijkt dat datalekken in 71% van de gevallen te wijten zijn aan menselijk handelen[1]. De wetgever stelt voor dat organisaties de privacy als cultuur omarmen. Een mentaliteitsverandering[2] of een cultuuromslag[3] binnen organisaties is daarom nodig om AVG-compliant te worden. Minstens zo belangrijk is het om de inzet van datasecurity en verandermanagement op een juiste wijze te realiseren.

De praktijk

Uit empirisch onderzoek blijkt dat de grootste uitdaging voor de organisatie zit in het aanbrengen van structuur op de drie fronten: AVG, datasecurity en verandermanagement. Opvallend is dat voor 25 mei 2018 de urgentie werd gevoeld om AVG-compliant te zijn. De communicatie binnen organisaties vond top-down plaats. Vaak is dit niet de wens van de bestuurders, maar de urgentie dwong hen ertoe. Organisaties zijn nu volop bezig om de bewustwording te vergroten onder hun medewerkers. Het compliant zijn en blijven is een continu proces. Het niet juist prioriteren, geen tijd ervoor vrijmaken, persoonlijke weerstand en onvoldoende gefaciliteerd worden met passende en toereikende (verander)systemen zijn aangegeven als factoren die de verandering in de weg staan.

Een organisatieverandering en het creëren van bewustwording van het verwerken van persoonsgegevens vergen veel tijd. Het verlangt continue energie in denken en handelen, zowel op besturingsniveau als op operationeel niveau. Het MAPPE-model heeft hierin een positieve bijdrage. Het zorgt voor structuur en combineert de verschillende verandermanagementtheorieën en -methoden per fase in het verandertraject.

In veel gevallen zet het management de eerste stap in een veranderproces[4]. Het bepaalt in die eerste fase de kaders (requirements) waarlangs het veranderproces loopt. Tijdens de analyse creëert men inzicht in het verschil tussen de doelstelling en de huidige situatie: de GAP-analyse. Na deze fasen van mobilisatie en analyse neemt een projectteam – operationeel niveau – het veranderstokje over. Het projectteam richt zich op de fasen beleid, planning en uitvoering. Het bepaalt na de GAP-analyse wat de best passende oplossing is. Vervolgens stelt het projectteam het privacy-/securitybeleid op en het plan voor de uitvoering. Na goedkeuring van het plan start het projectteam met de uitvoering. Met het toepassen van de PDCA-cyclus (Plan, Do, Check en Act), een middel om de kwaliteit van veranderingen te bewaken, nemen het lerend vermogen en bewustwording toe. Ook wordt de samenstelling van de klankbordgroep vastgesteld die een onafhankelijke en adviserende rol heeft in het veranderproces.

MAPPE-model

MAPPE, dat is ontwikkeld vanuit de literatuur en praktijk, is de afkorting voor Mobilization, Analyze, Policy, Planning en Execute. In vijf fasen wordt de transitie gerealiseerd. De fasen Mobilization en Analyze worden vormgegeven op managementniveau. Het projectteam zet daarna de fasen Policy, Planning en Execute in. Voor het bereiken van het gewenste resultaat wordt binnen dit MAPPE-model het kleurdenken van Caluwé (2006) toegepast. Het kleurdenken is een veranderkundig raamwerk en creëert bewustwording van wat passend is in een veranderproces. Per niveau binnen het MAPPE-model is de kleur van het veranderen verschillend en werkt als volgt. De kleur blauw geeft de betrokkenheid aan van het management in de fasen Mobilization en Analyze. Hier past blauw, omdat het management de eerste stap zet en de regels uitzet in het veranderproces. Op organisatieniveau zijn groen en rood relevant, die passen bij de fasen Policy, Planning en Execute. Groen staat voor het leren in een veranderproces en rood staat voor het enthousiasmeren van de mensen. De klankbordgroep is in het grijs aangegeven. Deze heeft vanwege zijn onafhankelijkheid geen kleur in het veranderproces.

Met het MAPPE-model worden alle niveaus binnen de organisatie betrokken bij het veranderproces. Hierbij zijn de eerste twee fasen Mobilization en Analyze strategisch gericht. Policy en Planning zijn op tactisch niveau en de fase Execute is gericht op operationeel niveau.

Kleuren

Het MAPPE-model zorgt ervoor dat de verandermanagementmechanismen per fase situationeel gevormd worden. Op die momenten worden de verschillende veranderstrategieën ingezet, gebaseerd op het kleurdenken. Dit wordt hoofdzakelijk gedaan met de kleuren:

  • Blauw: regels bepalen door het managementteam
  • Rood: het enthousiasmeren van de medewerkers
  • Groen: het leren binnen het veranderproces door de medewerkers

Er zijn hierin drie belangrijke aspecten die niet mogen ontbreken in een veranderproces, namelijk:

  1. Hanteer de juiste communicatievorm

De afstemming start vanuit het management met eenzijdige communicatie (monovocale communicatie). Na de boodschap van het management gaat de organisatie op operationeel niveau zelf met elkaar communiceren (spontane polyvocale communicatie)[5].

  1. Verander van paradigma, taal en gedrag

Belangrijk is om dan draagvlak en betrokkenheid voor de verandering te creëren door het aanpassen van het paradigma, het veranderen in taal en gedrag[6].

  1. Beloon goed gedrag

In een veranderproces is het van belang om goed gedrag te blijven belonen[7].

Deze drie aspecten helpen mee aan het vergroten van de bewustwording van de medewerkers in het veranderproces. In elke volgende fase binnen het MAPPE-model van Mobilisatie tot en met Execute wordt het verandertraject verder geconcretiseerd. Uiteraard is iedere omgeving uniek en is het nodig de details per situatie en omgeving te concretiseren.

Mappe-model

 

Figuur: MAPPE-model

 

Voordelen

Het MAPPE-model is een flexibel model dat zich aanpast aan de fase en activiteit in het veranderproces. Het past zich aan bij wat de organisatie nodig heeft en niet andersom. Met heldere en kleine stappen wordt een iteratief proces gestart. Dit is in de lijn van het steeds meer toegepaste agile werken. Daarmee is het model ook praktisch en is het snel toepasbaar. Iedereen binnen de organisatie zal de aanpak begrijpen en kan hiermee aan de slag. Het MAPPE-model zorgt voor bewustwording van het veranderproces en wat de doelen zijn.

In het MAPPE-model is de PDCA goed te zien binnen de fasen Planning en Execute. De uitkomsten van de stap Check vormen de input van de stap Act in de PDCA. De Act valt in het model, zoals hierboven aangegeven, in de fase Planning. In de praktijk kan het zijn dat de uitkomsten van de Check zelfs teruggaan naar de mobilisatiefase.

De vraag is of het inderdaad nodig is om verandermanagementmechanismen toe te passen om de bewustwording te vergroten. Hoe gaan organisaties om met persoonsgevoelige data om AVG-compliant te worden? En welke verandermanagementmechanismen worden hiervoor ingezet?

Bevindingen uit de literatuur

De mens is volgens de literatuur de verbindende factor binnen de begrippen AVG, datasecurity en verandermanagement. Het initiatief om AVG-compliant te worden start vanuit de bedrijfsmatige risico’s, gegeven de mogelijke boetes. Daarnaast zijn AVG en datasecurity onderwerp van de governance binnen een organisatie. Een belangrijk advies is om medewerkers te belonen en te stimuleren op het moment dat er goed en adequaat gehandeld wordt bij de uitvoering. Belonen draagt bij aan de bewustwording[8].

Het startpunt van het proces is de beschrijving van de huidige situatie, met als doel een verandering te realiseren en de bewustwording te vergroten. Om de doelstellingen te bereiken zet het management actiepunten uit[9]. Direct daarna start er een iteratief proces met het toepassen van de PDCA-cyclus van Deming[10]. Met de theorie kleurdenken[11] komen klassieke veranderstrategieën samen. Hiermee wordt de relatie gelegd tussen het type van een organisatie en een veranderaanpak.

De adequate bestuurder kiest natuurlijk voor een verandering op alle drie de fronten; AVG, datasecurity en verandermanagement. Hierbij helpt de structuur van het MAPPE-model.

 

[1] (Hutter, Katus, Terstegge & Vermissen, 2015)

[2] (Het Financieele Dagblad, 2017)

[3] (Segenhout & Leupen, 2017)

[4] (Homan, 2005)

[5] (Homan, 2005)

[6] (Covey, 2006)

[7] (Baars, Hintzbergen, Hintzbergen, & Smulders, 2016)

[8] (Baars, Hintzbergen, Hintzbergen, & Smulders, 2016)

[9] (Seykens & Wiel, 2014); (Vermissen, Terstegge & Krijgsman, 2017a); (Caluwé & Vermaak, 2006)

[10] (Baars, Hintzbergen, Hintzbergen, & Smulders, 2016); (Vermissen, Terstegge & Krijgsman, 2017a)

[11] (Caluwé & Vermaak, 2006)

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (septembernummer 2019). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.