Print:

Drie internationale uitdagingen van de nieuwe Europese privacywet

Elske Feenstra, Compliance/Privacy Officer

LinkedIn profiel

De implementatie van de Algemene verordening gegevensbescherming (AVG) houdt de gemoederen in Nederland flink bezig. En daar zit een internationaal tintje aan. Elske Feenstra, Corporate Compliance & Privacy Officer van Tele2 vertelt over de uitdagingen en kansen.

Dataprotectie & Privacy Congres | IIRDe AVG is de Nederlandse vertaling van de General Data Protection Regulation (GDPR), die bedoeld is om de privacywetgeving in de Europese Unie te harmoniseren. Dat zou consumenten meer privacybescherming opleveren én de regelnaleving voor multinationals vereenvoudigen. Ondernemingen die actief zijn in meerdere lidstaten, hebben door de GDPR overal in Europa met dezelfde regels voor dataprotectie te maken.

De aardverschuiving die de GDPR in Europa teweegbrengt, betekent dat in alle lidstaten hard gewerkt wordt aan de implementatie van de nieuwe regels. Privacyprofessionals bij bedrijven die in meerdere landen actief zijn, hebben dan ook intensief contact over de grenzen, vertelt Elske Feenstra, Corporate Compliance & Privacy Officer bij telefoonaanbieder Tele2. “Bij Tele2 startten we al in 2015 met de eerste voorbereidingen. Elk van de acht Europese landen waar Tele2 opereert is vertegenwoordigd in een denktank van privacyprofessionals die het gezamenlijke beleid ontwikkelt. In 2017 stond het beleidskader in de steigers en hebben we afgesproken dat elk land dat verder zelf oppakt en implementeert.” Voor gezamenlijke systemen en applicaties, zoals een aantal ICT-voorzieningen, is een landenoverstijgende aanpak uitgewerkt die het hoofdkantoor in Zweden monitort.

Op basis van de leerervaringen van Tele2 heeft Feenstra, die spreekt tijdens het Data Protectie & Privacy Congres op 26 & 27 september 2018 en gastdocent is bij diverse IIR-opleidingen (zoals de training DPIA’s onder de AVG), drie adviezen over internationale aspecten van AVG-implementatie.

1. Besteed aandacht aan cultuurverschillen

“Als deelnemer aan ons internationale privacy advisory panel merkte ik dat we in Nederland behoorlijk vooruitlopen op het vlak van dataprotectie. We zijn bijvoorbeeld gewend aan de open normen uit de Wet bescherming persoonsgegevens, een actieve toezichthouder en de meldplicht datalekken”, vertelt Feenstra. Vooral in Oostbloklanden is de privacy-awareness van oudsher minder hoog. Dat vraagt in het implementatietraject van de AVG om wat extra aandacht en geduld. “Landen die iets later op gang zijn gekomen, maken nu echt een inhaalslag. Het is dan interessant om te merken dat we in Nederland pragmatisch met regelinterpretatie omgaan en uit ervaring goed weten welke maatregelen heel nauw luisteren. Die kennis helpt andere landen om de vertaalslag te maken van de generieke regels naar de nationale processen en procedures.”

2. Zorg voor support vanuit het management

De implementatie van de AVG is een hoofdtaak voor internationaal opererende dataprotection officers (DPO’s), maar de opgave vraagt om een sterke betrokkenheid van het lokale management, benadrukt Feenstra. “In je eentje red je het niet – er moet een gevoel zijn dat we gezamenlijk werken aan de juiste oplossingen. Zorg dus dat je steun hebt van het management. Als het belang van de AVG daar niet tussen de oren zit, dan wordt het heel moeilijk om de awareness wél van medewerkers te vragen.” De backing vanuit het bestuur is ook belangrijk bij incidentenmanagement. “Gaat het dan meteen om de schuldvraag, of staat het samen zoeken naar een oplossing voorop? Begrip van de issues, draagvlak voor de veranderingen en voorbeeldgedrag vanuit het management zijn essentieel.”

3. Doe het samen

Europese privacyregels klinken voor de gemiddelde werknemer misschien als een ver-van-mijn-bedshow. Maar het vergroten van kennis en awareness van de AVG vraagt tijd en aandacht vanuit de hele organisatie – van het topmanagement tot de medewerkers binnen de diverse afdelingen, zegt Feenstra. “De nieuwe wetgeving draait niet alleen om dataprotectie, maar betekent dat we alle processen op orde brengen en een duurzame governancestructuur opzetten. Om dit alles AVG-proof te maken – van het contractmanagement tot de systemen en applicaties – hebben we iedereen nodig.”

Vanuit het Nederlandse kantoor zijn medewerkers van Tele2 inmiddels op allerlei niveaus op de hoogte gebracht van de AVG en wat dit voor hun werk betekent. “Voor alle processen binnen Tele2 is een PIA gemaakt, die heeft geleid tot een concrete actielijst per afdeling. Daarop ondersteunen en monitoren we.” Via films, nano-learnings, trainingen en workshops staat kennisontwikkeling op de agenda. “En met privacy champions zorgen we er straks voor dat de awareness op de agenda blijft. Want als er één ding duidelijk is, dan is het natuurlijk wel dat de implementatie van de AVG geen eenmalige exercitie is.”

In vier dagen de basis krijgen voor de functie van Privacy Officer die is voorbereid op de nationale én internationale uitdagingen van de AVG? Volg dan de praktijkcursus Privacy Officer 2.0.

Als ervaren privacyprofessional een stap verder zetten? Kies dan voor de opleiding Certified Data Protection Officer.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten