Formele compliance het belangrijkst en vaak niet goed geregeld

Wanneer je, vanuit je rol als Data Protection Officer, FG of bedrijfsjurist, de operatie volledig beheerst en wilt leren om meer op strategisch en tactisch niveau te denken over compliance, dan is de Leergang Senior Privacy Professional écht iets voor jou.’ Aan het woord is Jean Paul van Schoonhoven, Managing Partner van L2P en hoofddocent van de Outvie opleidingen: Leergang Senior Privacy Professionals en de training Privacy Officer 2.0.

Adaptatie van je privacy beleid

‘In de kern gaat het om de vraag hoe je ervoor zorgt dat de adaptatie van je onderwerp van het privacy programma optimaal is en hoe je verandering binnen je organisatie bewerkstelligt. Dáár draait het om tijdens deze training. We staan stil bij hoe je competenties en ervaringen leert toe te passen om datgene te bereiken wat je wilt bereiken. De professionals die aan deze training deelnemen zijn gepokt en gemazeld in de kennis van de privacy wetgeving. Tegelijkertijd weten zij dat het niet werkt om met het wetboek in de hand collega’s te overtuigen van bepaalde zaken. Daar is een minder operationele, meer holistische aanpak voor nodig.’

Vergroten van effectiviteit en impact

‘De doelgroep van deze training zijn vooral de (meer ervaren) functionarissen die merken dat ze niet effectief genoeg zijn. Het lukt ze niet om een onderwerp van het privacy programma op het hoogste niveau tussen de oren te krijgen’, aldus Jean Paul. ‘Daardoor lopen ze continu tegen problemen aan. Vaak hebben ze te maken met managers of directeuren die privacy als thema an sich onvoldoende aandacht geven. Kortom, hun effectiviteit en impact is te laag, ook in hun eigen beleving. Deze cursisten staan ervoor open om meer de taal van de besluitvormers te leren.

Op die manier zijn ze een betere gesprekspartner en kunnen ze goed benoemen wat er voor nodig is om hun onderwerp van het privacy programma effectief geadapteerd te krijgen in de business. Als er vanaf de top niet gestuurd wordt op verandering, al dan niet door inzet van KPI’s en door te sturen op het behalen van bepaalde resultaten op dit gebied, dan gaat het middle management het nooit begrijpen. Deze managementlaag is weer verantwoordelijk voor het vertalen van de strategische doelstellingen naar de operatie. Wanneer dit niet goed gebeurt dan druppelt compliance in de operationele organisatie nooit door.

Daarom is het zo belangrijk om de top van de organisatie zo ver te krijgen dat zij het middle management aansturen. En dan niet alleen op operationeel vlak, maar zeker ook op het niet-tastbare vlak, waar privacy en security toe behoren. Als taken, verantwoordelijkheden en bevoegdheden niet op de juiste manier worden belegd, dan ben je als een soort werkmier aan de slag zónder dat je echte resultaten bereikt.’

Privacy wetgeving

‘Om bovenstaand in een juist perspectief te plaatsen, is het noodzakelijk om de pijlers van de wet te kennen. Feitelijk bestaat de wet uit twee pijlers: de operationele compliance en functionele compliance. De operatie, de materiële compliance dus, is vaak wel geregeld. Dat gaat over het operationeel toepassen van privacy. Denk bijvoorbeeld aan het oplossen van casussen.’

‘Formele compliance gaat over het inrichten van het risicobeheersingsraamwerk. Over het aantoonbaar voldoen aan de wet door middel van de PDCA-cyclus. In de praktijk zie je vaak dat het materiële stuk wel geregeld is.’

Risicobeheersing effectief organiseren en toepassen

‘In de cursus leren deelnemers dat de formele compliance, het risicobeheersingsraamwerk dus, het belangrijkste is. Als dat niet functioneert ga je nooit risico’s onderkennen alvorens het een risico wordt. En dat is wél het doel van je risicomanagement: je moet het juist inrichten. En hoe dat moet? Dat staat niet letterlijk in de wet. Daar staat zoiets als dat je ‘risico’s in acht moet nemen’. Bij de module Governance, leiderschap en change leert men hoe risicomanagement wordt ingericht én hoe je dat effectief bij het management over de bühne brengt zodat de organisatie het ook gaat toepassen.

Dat is overigens geen garantie dat men ook compliant gaat worden. Het gaat er vooral om dat deelnemers beseffen dat een bepaalde mate van compliance, ook een bepaalde mate van risico’s met zich meebrengt. Deze risico’s identificeer, mitigeer en kwalificeer je vervolgens. Het bestuur moet snappen dat privacyrecht niet een dwingende aangelegenheid is. Het gaat veel meer om het maken van bewuste keuzes waar vervolgens bepaalde risico’s bij horen.’

Communiceer met oog voor je doelgroep

‘Verder staan we ook stil bij de manier waarop je als ervaren privacy professional communiceert. Wanneer je richting het bestuur vooral spreekt vanuit je passie voor het vak, dan is de kans dat je je doel bereikt klein. Het gaat erom dat je je verdiept in de doelstellingen en uitdagingen van het bestuur. Zij houden zich vooral bezig met kosten en risico’s en de mate waarin men, door bepaalde risico’s te accepteren, als gevolg van wanbeleid wellicht hoofdelijk aansprakelijk gesteld kan worden. Als je dat eenmaal begrijpt heb je goud in handen en wordt je vak ineens een stuk gemakkelijker’, besluit Jean Paul.