Dit is waarom bedrijfskundige inzichten bijdragen aan compliance

Data protection officers (dpo’s) staan bijna dagelijks voor de uitdaging om privacy op de strategische agenda van de organisatie te houden. Inzichten in corporate governance zijn onmisbaar om als dpo effectief te opereren op het juiste niveau, vertelt Jeroen Terstegge.

“Privacy is slechts één van de vele belangen van directies en besturen. Daardoor is het voor data protection officers (dpo’s) wel eens lastig om het onderwerp op managementniveau voor het voetlicht te brengen”, vertelt Jeroen Terstegge, partner van adviesbureau Privacy Management Partners, vertegenwoordiger van de IAPP in Nederland en een van de zes docenten van de collegereeks Bedrijfskunde voor privacy van Outvie en Nyenrode Business Universiteit. Hoe komen strategische besluiten tot stand en hoe passen de doelstellingen van het dataprotectiebeleid hierin? Hoe krijg je directie en bestuur mee in je verhaal over het belang van compliance met de Algemene verordening gegevensbescherming (AVG)? Het zijn vraagstukken waarvoor bedrijfskundige kennis onmisbaar is, vindt Terstegge, die zelf overigens jurist én bedrijfskundige is.

Terstegge werkt al sinds de jaren negentig in het veld van privacy en was als privacy officer van Philips een van de grondleggers van het concept van Binding Corporate Rules dat met de inwerkingtreding van de AVG nu ook een wettelijke basis heeft gekregen. “Binding Corporate Rules (BCRs) zijn een managementoplossing voor een juridisch probleem. BCRs moeten zich aanpassen aan de corporate governance van het bedrijf en de Functionaris voor de Gegevensbescherming (FG) van dat bedrijf moet alle interne stakeholders daarom op zodanige manier betrekken dat de directie er uiteindelijk ook in meegaat”, zegt Terstegge.

Organisatiemodellen en besluitvormingsculturen

“De organisatiemodellen van Mintzberg maken duidelijk dat er verschillende soorten organisaties zijn met elk een eigen besluitvormingscultuur”, legt Terstegge uit. “In organisaties met een divisiestructuur, zoals Philips, komen strategische besluiten op een andere manier tot stand dan bijvoorbeeld in een professionele bureaucratie zoals een ziekenhuis. Dpo’s moeten goed weten bij welk type organisatie ze werken om te kunnen bepalen welke compliancestrategie succes heeft. In een professionele bureaucratie ervaren professionals regels als beperkend. Dan is het heel lastig om de werkvloer netjes een verwerkingsregister te laten bijhouden of een Data Protection Impact Assessment (DPIA) te laten uitvoeren.”

Inzichten uit de bedrijfskunde helpen FG’s ook om te begrijpen waarom compliance soms moeilijk lukt – en hoe het anders kan. “Organisaties verschillen niet alleen in de besluitvormingsculturen die ze hebben, maar ook wat betreft de compliancecultuur. Als je in een organisatie werkt waar op elke slak zout wordt gelegd en over alles eindeloos wordt vergaderd, dan heb je als FG een heel andere baan dan als de organisatie sterk inzet op windowdressing.”

Aan de juiste knoppen draaien

Hebben FG’s eenmaal een goed begrip van het type organisatie waarmee ze te maken hebben, dan kan vervolgens de juiste aanpak voor AVG-compliance worden gekozen. “Je moet op zoek naar de knoppen waar je het beste aan kunt draaien om de organisatie te overtuigen. Dat is voor elke organisatie anders. Sommige organisaties voelen zich aangesproken als je het hebt over reputatierisico’s, anderen zijn vooral gevoelig voor de meningen van aandeelhouders en investeerders. Bij Philips heb ik de focus gelegd op maatschappelijk verantwoord ondernemen omdat de Raad van Bestuur dat belangrijk vond. Het hele woord compliance is daarbij niet genoemd. De ontwikkeling van het privacybeleid ging erom dat we fatsoenlijk omgaan met de gegevens van onze klanten en medewerkers.”

De juiste aanpak vraagt altijd om maatwerk, benadrukt Terstegge. “Sommige organisaties zijn allergisch geworden voor het woord AVG. Je hoeft het dan niet expliciet over AVG-compliance te hebben, je moet gewoon zorgen dat mensen bepaalde werkwijzen volgen. Soms moet de werkvloer zelfs iets doen zonder dat ze weten waarom precies.”

Terstegge is er in ieder geval van overtuigd dat een verwijzing naar boeterisico’s niet effectief is. “Ik hoorde ooit van een bedrijf dat zo vaak boetes kreeg dat ze daar op een gegeven moment simpelweg een reservering voor in de begroting hebben opgenomen. Dan zijn de toekomstige boetes dus al ingecalculeerd en liggen aandeelhouders er wakker niet van. Veel organisaties zijn ook helemaal niet gevoelig voor reputatierisico’s, bijvoorbeeld omdat ze monopolist zijn. Maar neem het voorbeeld van British Airways, dat recent een miljoenenboete kreeg opgelegd vanwege een datalek. Consumenten vliegen nu echt niet minder met de luchtvaartmaatschappij: ze stappen niet over van een respectabele airline naar een prijsvechter vanwege zorgen om dataprotectie, ze willen gewoon veilig en comfortabel van A naar B. Het heeft dan dus geen zin om als FG te hameren op het risico van reputatieschade. Men zegt wel eens: de krant van vandaag ligt morgen in de kattenbak. De grote boete voor British Airways is binnenkort iedereen buiten ons vakgebied weer vergeten.”

De uitdaging van alleen opereren

FG’s zijn schapen met vijf poten en het is onmogelijk om aan alle vereisten te voldoen die nodig zijn om succesvol te opereren, vindt Terstegge. “Op dit moment heeft naar schatting ongeveer de helft van de FG’s een juridische achtergrond. Daarnaast zijn veel dpo’s afkomstig uit de wereld van informatiebeveiliging. Maar je komt er niet door te zeggen wat de regels zijn en er dan maar vanuit te gaan dat die worden opgevolgd. Je hebt ook kennis nodig van onder andere bedrijfskunde, verandermanagement en communicatie. Je moet ook allerlei skills hebben: je moet bijvoorbeeld kunnen adviseren, weten hoe audits werken, en begrijpen wat de strategie van de organisatie betekent voor het complianceprogramma. Het mag duidelijk zijn: geen enkele persoon heeft alle skills om alle uitdagingen aan te gaan.”

Idealiter heeft een FG daarom een team van privacy officers en andere assistenten die zorgen voor ondersteuning en aanvullende competenties en vaardigheden. “De FG die alleen opereert heeft echt een grote uitdaging. Natuurlijk is de directie verantwoordelijk voor de compliance. Maar de FG moet de organisatie wel proberen in beweging te zetten om aan de regels te voldoen. De directie verwacht immers dat FG het oplost. Maar als de FG daartoe niet in staat is, dan komt het probleem weer terug op het bord van de directie.”

Multidisciplinaire skills

Het is belangrijk dat dpo’s zichzelf zien als multidisciplinaire professionals, vindt Terstegge. “FG’s moeten beseffen dat ze een complexe, veelzijdige functie hebben waar zó veel bij komt kijken dat je voortdurend aan je professionele ontwikkeling moet werken. Als je geen team hebt dat jouw tekortkomingen opvangt, is het essentieel dat je je eigen skills doorontwikkelt en verder komt met alles wat niet direct met de juridische aspecten van de AVG te maken heeft. Dat kan bijvoorbeeld door boeken te lezen, cursussen en trainingen te volgen, coaching te organiseren en vakgenoten op te zoeken. Vooral het klankborden met deskundigen buiten je organisatie levert vaak veel op: het helpt om zaken scherp te krijgen en te doorzien waar de prioriteiten liggen.”

“Het grootste probleem voor dpo’s is dat ze een eenzame functie hebben. Ze weten vaak niet goed of ze hun taken en verantwoordelijkheden goed vervullen”, zegt Terstegge over de uitdagingen waarmee FG’s te maken hebben. “Het tweede probleem is om de toegevoegde waarde van de functie aan te tonen zodat mensen je niet gaan negeren. Als je aan de verkeerde knoppen aan het draaien bent, dan heb je binnen de organisatie vast en zeker steeds terugkerende discussies over hoe lastig compliance is, of hoe gering het boeterisico. Probeer dan eens een andere knop! Ga bijvoorbeeld eens op een andere afdeling of locatie werken, zodat je laat zien dat je er bent voor vragen en ideeën. Dan ervaar je bovendien ook dat ook communicatie – naast juridische instrumenten zoals DPIA’s – een manier kan zijn om aan compliance te werken.”