Print:

Bedrijfsprocessen: dit zijn de uitdagingen voor dataprotectie

Internationale en complexe informatiestromen spelen een steeds grotere rol in de dagelijkse bedrijfsprocessen van organisaties. Deze ontwikkelingen brengen nieuwe opgaven voor privacyprofessionals mee. Hoogleraar Bert Kersten vertelt over de actuele vraagstukken en deelt zijn visie op de oplossingsrichtingen.

Bert Kersten | IIR“Informatie wordt steeds belangrijker voor de aansturing van primaire bedrijfsprocessen. Bedrijven hebben tegenwoordig veel en uiteenlopende soorten gegevens nodig om hun processen te optimaliseren en om diensten en producten te leveren”, vertelt Bert Kersten, hoogleraar Business Processen & ICT aan Nyenrode Business Universiteit, mede-directeur van het Fraude Detectie Expertise Centrum van Leiden University en bestuurslid van de stichting Neurale Netwerken.

Of het nu gaat om webwinkels, luchtvaartmaatschappijen of banken, bij allerlei onderdelen van het bedrijfsproces komen digitale data kijken. “De data zijn van belang voor het bedrijfsproces én voor de omgang met klanten. Daarbij kan een onderscheid worden gemaakt tussen niet-vertrouwelijke gegevens, vertrouwelijke informatie en persoonsgegevens.”

Naast de verwerking van grote hoeveelheden verschillende data is ook de internationale context een belangrijke uitdaging, zegt Kersten. “De meeste bedrijfsprocessen zijn niet meer aan landsgrenzen gebonden. In Nederland gevestigde bedrijven opereren nu eenmaal in toenemende mate internationaal. De grootste uitdaging is dan: hoe kan je je aan de privacywetgeving houden als je in verschillende landen opereert?” Kersten noemt het voorbeeld van KLM’s dochterbedrijf Cygnific, dat gestrande passagiers over de hele wereld helpt om weer thuis te komen. Voor die dienstverlening zijn veel persoonsgegevens nodig.

Pragmatisme

De snelle technologische ontwikkelingen, die onder andere onze manieren van werken, reizen en betalen veranderen, brengen allerlei nieuwe vraagstukken mee. In veel gevallen verwerken nieuwe applicaties namelijk persoonsgegevens. “Neem de reisplanner Tranzer, een succesvolle app van een Nederlands bedrijf dat reisadviezen geeft en vervoersbewijzen verkoopt. De app werkt wereldwijd en verzamelt heel veel gevoelige informatie, bijvoorbeeld over je identiteit, reizen en betalingsverkeer. Hoe is zo’n internationale app in alle landen privacycompliant te maken?”

Kersten adviseert Data Protection Officers (DPO’s) om pragmatisch met dit soort vraagstukken om te gaan. “Het lijkt me onmogelijk om aan de strengste wetgeving ter wereld te voldoen, want dan werken allerlei functionaliteiten die je wel wilt hebben, waarschijnlijk niet meer. Een belangrijk uitgangspunt is om in de gebruikersvoorwaarden duidelijk aan te geven wat er met de persoonsgegevens gebeurt. Verder mag de DPO best kritische vragen stellen bij nieuwe technologische ontwikkelingen. Probeer de complexiteit van bedrijfsprocessen te reduceren en zorg dat je tijdig bent aangehaakt op plannen voor nieuwe technologische toepassingen. Probeer vanuit jouw expertise en visie bij te dragen aan nieuwe plannen.”

In de geest van de wet

Als een van de docenten van de IIR-collegereeks Bedrijfskunde voor privacy verzorgt Kersten een college over bedrijfsprocessen en ICT. Hoe kan privacy in zijn ervaring goed worden ingebed in bedrijfsprocessen, zonder dat dit ten koste gaat van de business en ICT-innovatie? “Als DPO wil je geen nee-zegger worden die steeds nieuwe ontwikkelingen tegenhoudt, want dan gaan collega’s van de business het voortaan proberen zonder jou te doen. Je kunt beter meedenken over wat de meest wijze en minst risicovolle oplossingen zijn. Dan is het natuurlijk wel noodzakelijk om in een vroeg stadium te weten welke nieuwe producten en diensten eraan komen.”

De dreiging van boetes door toezichthouders is volgens Kersten niet de aangewezen weg om het thema dataprotectie op de agenda te krijgen. “Toezichthouders hechten er over het algemeen vooral aan dat bedrijven handelen in de geest van de wet en stappen zetten om compliant te worden. Een boete komt pas in beeld als blijkt dat een organisatie er echt niet aan wil werken. Natuurlijk kan het voor de positie van de DPO wel goed zijn als de toezichthouder een forse boete uitdeelt binnen de sector, want daarmee wordt wel duidelijk hoe belangrijk de aandacht voor naleving is.”

Risicomanagement

Risicomanagement is van oudsher een standaard onderdeel van bedrijfsprocessen en ook het omgaan met het risico van bijvoorbeeld datalekken hoort daarbij, vindt Kersten. “Overal waar gewerkt wordt, kunnen dingen misgaan. Denk aan een product recall, een bedrijfsongeval of een brand. De categorieën van risico’s die standaard onderdeel uitmaken van het risicomanagement bereiden zich de laatste jaren wel uit. Ook datalekken en andere aspecten van dataprotectie krijgen daarin steeds meer een plek. Wat mij betreft hoort de omgang met datalekken ook echt thuis binnen de algemene beveiligingsprocedures van de organisatie.”

Drempels wegnemen

“Nieuwe digitale technologie houdt zich per definitie niet aan landsgrenzen. De wereld waarbinnen organisaties en ondernemingen opereren is daarmee in feite een dynamisch speelveld met steeds veranderende issues”, zegt Kersten over de uitdagingen van de toekomst. “Deze problematiek maakt het ingewikkeld om de juiste oplossingen te vinden voor dataprotectie en datagebruik. Welke gegevens zijn privacygevoelig? Welke regels zijn van toepassing? Hoe verhoudt de nationale wet- en regelgeving zich tot de snelle technologische ontwikkelingen?”

Privacyprofessionals moeten goed op de hoogte zijn van de ontwikkelingen in wet- en regelgeving, maar ook van de innovaties binnen hun organisatie, adviseert Kersten. “Wie zijn onze klanten? Welke persoonsgegevens verzamelen we precies? Hoe verandert de aard van deze data in de loop der tijd, bijvoorbeeld doordat we internationaal opereren? DPO’s moeten tijdig worden betrokken bij plannen, projecten en business cases om een inschatting te kunnen maken van de compliancerisico’s. Niet om hindernissen op te werpen, maar om de drempels voor innovatie weg te nemen.”

Meer weten? In de collegereeks Bedrijfskunde voor privacy van IIR en Nyenrode Business Universiteit leert u alles wat u moet weten over bedrijfsprocessen om dataprotectie effectief te integreren in de organisatie.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten