Outvie winteractie: Kies uit Diner Cadeau bon of een VVV-cadeaukaart t.w.v. €50,-* Bekijk de actie.

Stakeholdermanagement als sleutel voor AVG-compliance

Annemarie Bloemen | De Roos Advocaten

Annemarie Bloemen | De Roos Advocaten

Privacy professionals die werken aan bewustwording, draagvlak en compliance hebben onvermijdelijk te maken met stakeholdermanagement. Annemarie Bloemen van De Roos Advocaten, zet de uitdagingen en uitgangspunten voor een succesvolle omgang met belang-hebbenden of belangrijkste betrokkenen op een rij.

 

“Om de naleving van de Algemene verordening gegevensbescherming (AVG) effectief en efficiënt in een organisatie te implementeren en waarborgen, heb je als privacy professional niet alleen kennis van de regels nodig. Je moet de regels ook kenbaar, begrijpelijk en praktisch toepasbaar maken, op een manier die past bij de organisatie. Stakeholdermanagement is daarbij een essentieel onderdeel van het werk van privacy professionals”, zegt Annemarie Bloemen, advocaat en partner in het Privacy, Technology & Digital Services team van De Roos Advocaten en een van de docenten van de leergang Senior Privacy Professional.

 

Het stakeholderveld van privacy professionals is gevarieerd en groot, benadrukt Bloemen. “Het begint natuurlijk met de individuen over wie persoonsgegevens worden verwerkt: zij krijgen immers bescherming onder de AVG. Daarnaast zijn collega’s die beslissingen maken of uitvoeren, de media en de toezichthouder vaak voor de hand liggende stakeholders. Maar eigenlijk is iedereen in en rond je organisatie die de AVG moet kennen – of die er iets van kan vinden – een belanghebbende.”

 

Laveren in een complex speelveld

Bloemen houdt zich al ruim zestien jaar bezig met privacy en is momenteel onder andere docent van de opleiding Chief Data Officer en examinator van de opleiding Certified Data Protection Officer (CDPO) van Outvie. Ze werkte eerder onder andere bij Houthoff Buruma en Philips. Stakeholdermanagement is volgens Bloemen door de toenemende inzet van datatechnologie nu belangrijker dan ooit. “Er worden steeds meer gegevens verzameld en er zijn steeds meer technische mogelijkheden om ervan gebruik te maken. Privacy professionals laveren tussen een begrip van wat er gebeurt en aandacht voor compliance. Je wilt digitale innovaties mogelijk maken, maar ook zorgen dat gegevensverwerkingen plaatsvinden binnen de wettelijke en ethische grenzen.”

 

De komst van nieuwe wet- en regelgeving op het terrein van data, digitale dienstverlening en Artificial Intelligence (AI) maakt het speelveld voor privacy professionals extra uitdagend, signaleert Bloemen. “Europese regulering zoals de Data Act, Digital Services Act en AI Act raakt ook dataprotectie. Privacy professionals moeten op de hoogte zijn van de ontwikkelingen en de issues op de agenda zetten. Vanuit een goed begrip van je stakeholders kan je zorgen dat de interne verantwoordelijkheid voor de thematiek van datatechnologie op een passende wijze wordt belegd. En niet alles hoort thuis op het bord van het privacy team.”

 

Stakeholders centraal

“Een gesprek is effectiever en gemakkelijker als je weet wat de ander drijft”, zegt Bloemen over het belang van een stakeholderanalyse. Ze geeft voorbeelden van een collega die zo veel mogelijk data wil verzamelen of een manager die streeft naar kostenreductie. “Kennis en begrip van de positie van de ander zijn noodzakelijk om de juiste toon te vinden om privacy compliance op de agenda te zetten. Realiseer je daarbij goed wie je stakeholders precies zijn. Maak een overzicht van de verschillende spelers waarmee je direct en indirect te maken hebt voor privacy compliance en ga met hen het gesprek aan.” Door met stakeholders te praten, komen soms ook weer andere relevante gesprekspartners in beeld.

 

De Autoriteit Persoonsgegevens (AP) wordt als nationale toezichthouder doorgaans als zeer belangrijke externe stakeholder gezien. “Bij de stappen die je neemt om de AVG-compliance op orde te houden, kunnen de standpunten, uitspraken en guidelines van de AP behulpzaam zijn. De belangrijkste belanghebbende blijft de betrokkene. Bij twijfel is je uitgangspunt om het goede te doen voor de betrokkene. Als je de risico’s voor de rechten van de betrokkenen minimaliseert dan voorkom je automatisch dat je gedoe krijgt met de toezichthouder. Met een ethisch en praktisch AVG-programma zou je zo min mogelijk van doen moeten hebben met de toezichthouder.”

 

Conflicterende belangen

Dataprotectie en privacy compliance vragen om professionals met sterke sociale competenties en management skills, die daadkrachtig en effectief optreden om de thematiek op de agenda te zetten. Dat is het uitgangspunt van de Outvie-leergang Senior Privacy Professional. In de module over stakeholdermanagement en de omgang met toezichthouders deelt Bloemen samen met Muriël Holdrinet, Senior Corporate Legal Counsel van KLM Royal Dutch Airlines, actuele inzichten en praktijkervaringen.

 

Een belangrijk inzicht is dat stakeholdermanagement bijdraagt aan een risk-based approach van de AVG, vertelt Bloemen. “Omdat er zoveel verschillende belangen spelen in en rond een organisatie, ben je als privacy professional eigenlijk onvermijdelijk met stakeholdermanagement bezig. Naast dataprotectie vragen ook allerlei andere juridische en niet-juridische onderwerpen om de aandacht van het management. Daardoor moet privacy soms opboksen tegen andere belangen, en is een goed advies vanwege conflicterende issues in de praktijk niet automatisch uitvoerbaar. De risk-based approach van de AVG maakt het mogelijk om dan toch compliance te borgen, mits je aantoont waarom sommige risico’s niet maximaal worden geadresseerd.”

 

Awareness en draagvlak stakeholdersmanagement

De ervaring leert ook dat awareness en draagvlak continue aandachtspunten zijn bij stakeholdermanagement rond AVG-compliance, voegt Bloemen toe. “Het is altijd lastig om de betekenis en het belang van dataprotectie voor het voetlicht te brengen op de verschillende niveaus van de organisatie. Hoe spreek je mensen aan over de wettelijke vereisten? Hoe breng je goed over wat er op de dagelijkse werkvloer moet gebeuren? Hoe weet jij precies wat er op de werkvloer gebeurt? Hoe overtuig je directies om te investeren in compliance? Door je te verdiepen in de belangen van de verschillende teams, kan je privacy vanuit de juiste hoek aanvliegen. Voor mensen die gewend zijn om thuis dagelijks foto’s van hun kinderen op Instagram te zetten, is het misschien een hele stap om op de werkvloer strikte privacyregels na te leven. Dan helpt het doorgaans beter om met positieve voorbeelden te laten zien hoe dataprotectie werkt dan om afschrikwekkende verhalen over incidenten en boetes te vertellen.”

 

Drie uitgangspunten voor succesvol stakeholdermanagement door privacy professionals

Er zijn maar weinig rechtsgebieden die zo allesomvattend zijn als dataprotectie en dat maakt stakeholdermanagement voor privacy professionals een complexe opgave. Bloemen schetst drie praktische uitgangspunten. “Besef allereerst dat de betrokkene – het individu waarover persoonsgegevens worden verwerkt, of waarop de verwerking van persoonsgegevens betrekking heeft – de belangrijkste stakeholder is. Bij twijfels of dilemma’s tussen de belangen en risico’s van de betrokkene(n) en de organisatie, verdient de bescherming van het individu voorrang.”

 

“Weet wie je stakeholders zijn én zorg dat je de diverse posities, drijfveren en belangen kent”, vat Bloemen de twee andere uitgangspunten samen. “Je maakt als privacy professional altijd een risicoanalyse en een belangenafweging. Als een voorgestelde maatregel ongelofelijk duur is, of zich moeilijk verhoudt tot de cultuur van de organisatie, dan valt de belangenafweging misschien anders uit dan je in eerste instantie had gewild. Ook om realistische adviezen te geven, moet je weten wat er leeft in de organisatie. Alleen op basis daarvan kan je immers bepalen wat er in de dagelijkse praktijk echt werkt op het gebied van privacy compliance.”

Tijdens de leergang Senior Privacy Professional komt u alles te weten over stakeholdermanagement en andere topprioriteiten om als ervaren professional in uw organisatie het verschil te maken op het gebied van dataprotectie en privacy compliance. Bekijk voor het volledige programma en de startdata de website van Outvie.

Download de brochure Senior Privacy Professional

Share

Outvie logo