​“We hébben daar toch een policy voor?” Het is een verzuchting die veel bedrijfsjuristen en compliance officers bekend in de oren klinkt. Een dataprotectiebeleid? Check. Een draaiboek dat uitlegt wat te doen bij datalekken? Check. Afspraken over privégebruik van kantoor-IT. Check. Gedragscode? Check. En toch: medewerkers sturen persoonsgegevens via hun privémail, melden een incident te laat of klikken zonder nadenken op een phishinglink. Hoe kan dat, als de regels duidelijk zijn?

Het antwoord: een policy hebben is niet genoeg. Natuurlijk zijn de policy’s duidelijk in jouw ogen als bedrijfsjurist of compliance officer. Je hebt ze waarschijnlijk zelf geschreven. En als je ze niet zelf hebt geschreven gaan ze op z’n minst over materies waarmee je vertrouwd bent. Maar voor je collega’s van andere afdelingen is dat niet zo. Hebben zij je policy überhaupt wel gelezen of is het al verticaal geklasseerd in een onvindbaar mapje op hun computer? En als ze het al gelezen hebben, hebben ze het dan begrepen? En als ze het begrepen hebben, weten ze dan echt hoe ze wel of niet moeten handelen?

Dit artikel vertrekt vanuit één centrale gedachte: veel policy’s falen niet omdat ze juridisch onjuist zijn, maar omdat ze onbruikbaar zijn voor de mensen die ermee moeten werken. Voor bedrijfsjuristen betekent dit een dubbele opdracht: juridisch solide én mensgericht schrijven.

Schrijf de policy voor de anderen, niet voor jezelf

Stel uzelf eens een andere vraag. Weet u precies wat u moet doen wanneer het brandalarm afgaat? Of hoe u thuis een veilige VPN-connectie opzet? Waarschijnlijk heeft de preventieadviseur ooit een draaiboek met u gedeeld. Misschien staat er ergens op het intranet een FAQ met vragen en antwoorden over hoe u tewerk moet gaan. Maar zou u op het moment zelf feilloos wat u moet doen?

Als jurist of compliance officer ben je expert in je materie. Nemen we de procedure rond datalekken als voorbeeld. Als jurist of data protection officer kent je de AVG, je weet welk incident een datalek is en welk niet, je kent het verschil tussen een verwerker en een verwerkingsverantwoordelijke. Maar je collega van sales, marketing of operations weet dat allemaal niet.

Wanneer je in je policy schrijft: ““Bij een vermoeden van een inbreuk in verband met persoonsgegevens dient onverwijld de DPO te worden gecontacteerd”, is dat voor jou glashelder. Bij je collega roept het vooral vragen op:

1. Wat is een “inbreuk in verband met persoonsgegevens”? Betekent dit dat mijn computer gehackt moet zijn of geldt dat ook als ik mijn laptop met gevoelige data op de trein vergeet?
2. Wat betekent ‘onverwijld’? Is dat nu, over vier uur, mag het ook nog morgen?
3. Wat is een DPO eigenlijk? En wie is de verantwoordelijke DPO van het bedrijf? En waar kan ik die vinden?

Wat is een goede policy?

Een goede policy is geen juridisch essay. Het is een praktisch instrument dat drie elementen combineert: (i) juridische correctheid, (ii) operationele toepasbaarheid en (iii) helderheid. Elk van die drie aspecten is even belangrijk.

Iedere policy moet voor iedereen in het bedrijf duidelijk maken:

1. Waarom de policy bestaat
2. Of de policy op hem/haar van toepassing is
3. Wat er concreet verwacht wordt
4. Wat de gevolgen zijn bij niet-naleving

Voor je begint: bepaal doel van je policy en betrek de doelgroep

Een goede policy vertrekt vanuit een concrete vraag. De eerste stap is niet: “Wat zeggen de regels?” maar: “Welk probleem willen we oplossen?” of “Welk risico moeten we onder controle houden.”

Dat startpunt kan bijvoorbeeld zijn:

1. Je merkt dat datalekken vaak te laat gemeld worden.
2. Uit tests blijkt dat sommige AI-tools fout gebruikt worden.
3. Je krijgt veel vragen over de afspraken rond thuiswerk.

Het is daarbij een goed idee om je doelpubliek, de stakeholders, bij de totstandkoming te betrekken. In de praktijk komen ze allicht met vragen en obstakels in aanraking, waar je zelf niet aan denkt. Zij zullen de policy ook effectief gaan toepassen, dus het is best hen zo vroeg mogelijk aan boord te hebben. Het verhoogt het draagvlak en maakt de policy realistischer. Een regel die in de praktijk onwerkbaar is, wordt sneller genegeerd hoe juridisch correct die ook is.

Structuur: maak je document scanbaar en logisch

Een gestructureerd document verhoogt de leesbaarheid drastisch. Een klassieke, goed werkende opbouw is:

1. Titel. Duidelijk en specifiek
2. Doel (Purpose). Waarom bestaat deze policy?
3. Reikwijdte (Scope). Op wie is ze van toepassing?
4. Definities. Leg kernbegrippen eenvoudig uit
5. Afspraken (Policy Body). De concrete regels
6. Verantwoordelijkheden. Wie doet wat?
7. Procedure; Stap-voor-stap instructies

Het is daarbij essentieel dat je het verschil maakt tussen het ‘wat’ (de policy) en het ‘hoe’ (de procedure.

Bijvoorbeeld:

Policy:
“Alle datalekken moeten binnen 24 uur na ontdekking intern gemeld worden.”

Procedure:

1. Meld het incident via het online formulier.
2. Voeg relevante documenten toe.
3. Informeer uw leidinggevende.

Schrijfstijl: minder juristerij

Juristen hebben soms de neiging nogal breedsprakerig te zijn, met veel bijzinnen, en lange moeilijke woorden. Dat leidt tot ellenlange policy’s. Dat werkt niet. Hoe langer de policy, hoe groter de kans dat de medewerkers de tekst niet (helemaal) lezen en dus ook niet volgen. Beperk je policy dus tot een of twee pagina’s. Meer uitleg nodig? Zet de kern in de policy en voeg bijlagen toe. Dat is niet makkelijk. Maar “schrijven is schrappen”. Vraag jezelf bij elke paragraaf af: Is deze paragraaf echt nodig? Of alleen voor juridische volledigheid?

En verder? Geen vakjargon, vermijd passieve zinnen (“het incident moet worden gemeld”), schrap archaïsche woorden (geen “onverwijld”).

Hoe concreter, hoe beter

Een policy die zegt: “Medewerkers dienen vertrouwelijke informatie adequaat te beveiligen,” is voor veel gebruikers nietszeggend en zal dus niet worden gevolgd. Vertaal deze abstracte regel liever in enkele concrete regels: “Deel geen vertrouwelijke gegevens via WhatsApp toegelaten.” “Breng geen USB-stick van buitenaf binnen.” “Deel geen klantengegevens met ChatGPT.” “Download geen documenten via een WeTransfer-link.”

Hoe abstracter de regel, hoe groter de interpretatieruimte. En hoe groter de interpretatieruimte, hoe groter het risico op fouten.

Legal design: van document naar gebruiksinstrument

Een goede manier om van een document een echt gebruiksinstrument te maken is legal design. Je kan lange lappen tekst vervangen door: bullet points, tabellen, schema’s, infographics en flowcharts.

Implementatie

Zelfs de best geschreven policy heeft geen effect als ze niet bekend is. Zorg dat het document centraal beschikbaar is (intranet) en gemakkelijk vindbaar.

Communiceer een nieuwe policy actief bij lancering, bv. met een korte toelichting tijdens teammeetings en e-learning met praktijkvoorbeelden.

Besluit: de policy als werksintrument

Een policy is in de eerste plaats een werkinstrument. Als medewerkers de regels niet begrijpen, zullen ze die niet volgen hoe mooi ze juridisch ook is opgesteld.

Voor bedrijfsjuristen ligt hier een belangrijke kans. Door de blik in de eerste plaats te richten op “wat moet mijn collega weten en doen?”, verhoog je niet alleen de naleving, maar ook de impact binnen de organisatie.

Wim Putzeys, hoofdredacteur Jubel

Lees hier andere artikels van Wim Putzeys