Print:

Dit kunnen Schiphol, Coolblue en Heineken ons leren over dataprotectie

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

De Algemene verordening gegevensbescherming (AVG) stelt aan alle organisaties dezelfde eisen. Maar door de vele open normen wordt er in de praktijk op uiteenlopende manieren invulling gegeven aan de wettelijke verplichtingen. Dat betekent dat er veel te leren valt van de ervaringen van verschillende organisaties. De inspirerende visies van Schiphol, Coolblue en Heineken.

Eerder dit jaar vroegen twee journalisten van De Volkskrant zeven Nederlandse en drie internationale ondernemingen om inzage in hun persoonsgegevens. Welke gegevens hebben de bedrijven in huis, en voor welke doeleinden worden deze verwerkt? De reportage concludeert dat Coolblue, De Bijenkorf en Tele2 de procedures prima op orde hebben. Bij onder andere Alibaba, Amazon en Zalando ging het mis. Deze bedrijven zijn er volgens de krant nog niet in geslaagd om goede invulling te geven aan het recht op inzage uit de Algemene verordening gegevensbescherming (AVG). Het is voor consumenten bijvoorbeeld lastig om een inzageverzoek in te dienen, en de ingeleverde vragen worden te laat en onvolledig beantwoord.

De test van De Volkskrant maakt weer eens duidelijk dat er grote verschillen zijn in de manieren waarop organisaties met AVG-compliance aan de slag zijn. Er is uit de praktijk dan ook veel te leren over dataprotectie. Drie inspirerende perspectieven van ervaren data protection officers (DPO’s).

De Schiphol Privacy Office gaat in gesprek met stakeholders

Bij Schiphol is sinds 2016 een privacy office ingericht. De Schiphol Privacy Office maakt onderdeel uit van de afdeling Corporate Legal van de luchthaven. Jeanne Jacobs-Gilhuis, data protection & compliance officer bij Royal Schiphol Group, zet er samen met haar collega’s het thema dataprotectie intern op de kaart en fungeert als contactpunt voor vragen van collega’s en klanten. Een van de grootste uitdagingen is volgens Jacobs-Gilhuis om alle betrokkenen te informeren. “Schiphol is een grote organisatie met een medewerkersbestand van ongeveer 2000 fte. Door verloop komen er regelmatig nieuwe medewerkers bij. En dan werken we ook nog met veel externe partners en we besteden een aantal activiteiten uit.” Via artikelen, workshops en quizzen geeft de Schiphol Privacy Office informatie over het thema dataprotectie en over de uitvoering van data protection impact assessments (DPIA’s).

Een belangrijk onderdeel van de aanpak van privacyrisico’s waarmee de Privacy Office zich bezighoudt is het gesprek met externe stakeholders. Jacobs-Gilhuis noemt als voorbeelden de douane, de Koninklijke Marechaussee en andere organisaties waarmee Schiphol veel samenwerkt. “We hebben een aantal keren ook de Autoriteit Persoonsgegevens uitgenodigd om toe te lichten waar we mee bezig waren. Om een gevoel te krijgen bij hoe zij aankijken tegen de manier waarop wij een bepaald project aanpakken. Dit hebben we overigens ook gedaan met Privacy First, een stichting die zich bezighoudt met het recht op privacy.” Dergelijke open gesprekken leveren Schiphol waardevolle inzichten op en creëren de basis voor draagvlak voor het privacybeleid.

De les van Schiphol: maak het privacybeleid onderwerp van gesprek met interne én externe stakeholders.

Coolblue zet de DPO voorop

Voor veel organisaties is het een puzzel: stellen we een interne privacy officer aan, zijn we verplicht om een Functionaris voor de Gegevensbescherming (FG) aan te stellen, huren we AVG-kennis tijdelijk in? “Het wel of niet aanstellen van een DPO was voor ons geen punt van discussie”, zegt Cassandra Moons, legal council van Coolblue. “Een bedrijf met ruim 2.500 medewerkers en gemiddeld 13.000 orders per dag moet gewoon een DPO hebben. Dat verwacht de buitenwereld ook. Als er vragen zijn over privacy, dan moet een DPO die kunnen beantwoorden.”

Cassandra Moons IIR

Als bedrijf dat naar eigen zeggen alles doet voor een glimlach, speelt de DPO een belangrijke rol in een klantvriendelijke invulling van de rechten die betrokkenen hebben op grond van de AVG, zoals het recht op inzage. “Ga uit van transparantie. Informeer de klant altijd heel duidelijk over wat je aan het doen bent en waarom, en waar die data naartoe gaan”, adviseert Moons. Ook bij de invulling van organisatorische en technische verplichtingen uit de AVG staat de DPO bij Coolblue aan de lat. Vanwege de data-intensieve processen van de webwinkel is IT-expertise daarbij onontbeerlijk. “Wat ons betreft is het domein van IT-security de meest logische plek om de DPO-rol te beleggen”, aldus Moons. “Die afdeling ziet ook echt alle datastromen. De benodigde juridische kennis is bovendien makkelijker over te hevelen naar IT naar security dan andersom.”

De les van Coolblue: geef de DPO een stevige plek en voldoende (IT) expertise.

Heineken combineert centraal met lokaal

De komst van de General Data Protection Regulation (GDPR) beloofde de privacywetgeving in de gehele Europese Unie te harmoniseren. Maar elke lidstaat kan in een nationale verordening nog aanvullende regels invoeren. Om die reden heeft de Nederlandse bierbrouwer Heineken, die in vrijwel ieder Europees land actief is, de privacygovernance de afgelopen jaren zowel centraal als lokaal opnieuw ingericht. “Heineken is van oudsher een decentrale organisatie, die vroeger veel lokale brouwerijen opkocht. Dat betekende dat privacyregels altijd lokaal werden geregeld. Maar dat moet nu naar centraal niveau wordt getrokken”, vertelt Anna den Hartog, hoofd van het Global Privacy Office van Heineken.

Het centrale beleid voor privacygovernance wil niet zeggen dat het hoofdkantoor de regie voert over lokale aanpakken, benadrukt Den Hartog. “Over de hele organisatie zorgen we dat de governance klopt, door een projectplan met de juiste privacy procedures op te stellen. Dat doen we met standaard processen zoals templates voor contracten, een organisatiestructuur waarbij hoger management accountable is. Maar we willen niet alle regels van bovenaf de ether inschieten, de lokale afdelingen moeten zelf de lokale richtlijnen volgen.” Om die reden zijn in alle brouwerijen privacy champions en privacy officers aangesteld. “We willen overal in de organisatie ogen en oren hebben. Het gaat erom dat je in alle aderen van een organisatie zit en zo overal governance hebt en je aan je accountability-principe voldoet.”

De les van Heineken: zorg voor centrale richtlijnen waarmee verschillende niveaus in de organisaties, bijvoorbeeld met behulp van privacy champions en privacy officers, aan de slag gaan.

Meer inzichten, leerervaringen en tips horen van Privacy Officers die dagelijks aan de slag zijn met de AVG? Volg de IIR-praktijkcursus Privacy Officer 2.0. In deze vierdaagse training staat onder andere een unieke sparsessie over privacybeleid en -strategie op het programma. Daarin geven doorgewinterde Privacy Officers – werkzaam bij onder andere Nuon en de politie – antwoorden op al uw vragen.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten