Print:

Corporate Privacy Officer bij DLL over zijn waardevolle werkveld

Jasper Bakker , Freelance ICT & internet-journalist

LinkedIn profiel

John Thomissen IIR‘Privacy en compliancy is iets van iedereen!’
Privacy lijkt wel het toverwoord van nu. Alleen is het zwarte of witte magie? Bij privacyschending zeker zwart, maar bij privacycompliancy is het wel wit. John Thomissen, Corporate Privacy Officer bij DLL vertelt over zijn waardevolle werkveld.

Moet elk bedrijf straks een Corporate Privacy Officer (CPO) hebben? John Thomissen, CPO bij financieel dienstverlener DLL (voorheen De Lage Landen), meent van niet. “Bepaalde bedrijven zijn het straks wel verplicht. Bij DLL echter niet, maar we hebben daar wel voor gekozen.” Thomissen vertelt dat DLL als grote organisatie actief is in zo’n zesendertig landen en dat het daarmee met veel verschillende privacyregels te maken heeft.

Combinatie met legal

Over het scheppen van zijn rol zegt hij: “We hebben de route van de Rabobank gevolgd, waar DLL onder valt. Het was een interne drive dus”. Overigens is de leasedochter van de Rabobank hier niet uniek in, voegt Thomissen gelijk toe. Hij komt wel vaker organisaties tegen waar de topfunctie van privacy-verantwoordelijk is ingericht. “Maar vaak is dat wel een combinatie”, met bijvoorbeeld juridische zaken.

Dat is overigens ook deels de achtergrond van Thomissen zelf. “Ik was voorheen adviseur privacy bij de legal afdeling”, geeft hij aan. Het voldoen aan wet- en regelgeving is bij financiële instellingen al sinds jaar en dag een operationele kwestie. Privacy is daarbij een bekend dossier. De compliance van organisaties aan nieuwe wetten en richtlijnen op privacygebied moet sterker, waarschuwt de CPO van DLL.

Hoeft niet alles zelf

Een functie zoals de zijne kan daarbij zeker helpen. “Afhankelijk van de grootte van de organisatie ‘moet’ je een privacy officer aanstellen”, adviseert hij. Overigens wil dat niet zeggen dat een grote organisatie alles op CPO-gebied zelf moet doen, nuanceert Thomissen gelijk. Een privacy officer kan ook een externe partij zijn, legt hij uit, maar de organisatie moet naleving van privacyregels wel zelf goed kunnen monitoren.

Het doordrongen zijn van privacy is hierbij cruciaal voor alle mensen in de organisatie. “Jij bepaalt de kaders binnen je eigen organisatie”, houdt hij de verantwoordelijken op dit vlak voor. “Maar het invullen van die kaders, het implementeren, is aan iedereen.” De grote horde, erkent Thomissen, is om alle mensen mee te krijgen. “Het begint aan de top: daar moet het commitment zijn.” Tegelijkertijd ben je er niet met simpelweg een top-down benadering, maant Thomissen. “Het moet een combinatie zijn.”

Privacy is van iedereen, net als security

De parallel met de Chief Security Officer (CSO) doemt op: ook een topmanager en eindverantwoordelijke die voor zijn of haar functioneren afhankelijk is van alle raders in de machine. Van systemen en processen tot mensen en organisatiecultuur. Privacy valt net als security niet simpelweg op te leggen, maar moet echt begrepen en dan constant nagestreefd worden. Thomissen vindt de vergelijking met de CSO een goede parallel, want security valt eigenlijk onder privacy, zo stelt hij. “Zonder goede security geen goede privacy. Compliance is iets van iedereen.”

Cruciaal hierbij is dat het juridische goed wordt vertaald naar het praktische. “Dat kan behoorlijk lastig zijn.” Bij DLL is daarvoor een externe partij ingehuurd, om hierbij te helpen. “Waarom zou je iets zelf slecht doen, of zelf slecht uitvinden, als die kennis en ervaring elders al is?”

Denk aan de divisies

Wat de praktische implementatie van privacyregels betreft, is de door Thomissen benadrukte combinatie niet alleen een optelsom van top-down plus bottom-up. Op het ‘middenniveau’ tussen topmanagement en de gemiddelde, gewone werknemer zit het afdeling of divisie van een organisatie. “Elke divisie bepaalt zijn eigen invulling en prioriteiten. Privacy staat daarbij lang niet altijd hoog op de agenda.” Dus is het zaak om de prioriteit wel enigszins op te leggen en om dan de invulling aan divisieniveau over te laten.

Dan nog is het een lastige zaak om privacy goed voor elkaar te krijgen in organisatie, ongeacht de grootte. Het grotere belang dat er in het algemeen aan privacy wordt gehecht, voor klanten maar bijvoorbeeld ook voor werknemers, heeft er al toe geleid dat er forse boetes staan op schending. Dat helpt wel voor het commitment aan de top, erkent Thomissen. Maar boetes alleen zijn niet voldoende.

Privacy als USP

Beter is om – naast de negatieve aansporing door dreigende boetes – te sturen op positieve drijfveren. Thomissen wijst op de motiverende vraag ‘What’s in it for me?’ voor mensen en organisaties. Staat privacy op het punt om een Unique Selling Point (USP) te worden? Iets waar bedrijven zich positief mee kunnen onderscheiden ten opzichte van minder goed privacypresterende concurrenten? “Het zou wel moeten”, zegt de Corporate Privacy Officer van DLL.

Privacy als USP is daarmee niet voor elk bedrijf – en in gelijke mate – weggelegd. “Het moet wel bij je bedrijf passen. Een bank heeft al een zorgplicht, voor de klant.” Daar past goede privacybescherming al bij, legt Thomissen uit. Het belangrijkste is wel dat organisaties duidelijk en open moeten zijn over hun privacybeleid. Naar buiten toe én naar binnen. “Als je over privacy begint in je organisatie zien mensen beren op de weg. Er zijn zeker issues, ja. Maar dat moet je uitleggen, ook hoe je dat gaat oplossen.”

Praktische tips van een Corporate Privacy Officer

Thomissen geeft enkele praktische tips voor het uitleggen van de materie, het oplossen van de issues en dan het invoeren van goede privacybescherming. Zorg eerst voor steun op het hoogste niveau van de organisatie. Dat omvat naast een mandaat ook concreet budget. Ga vervolgens níet gelijk van start. Kijk eerst: wat is er al? “Inventariseer je datastromen.”

Vorm dan daarmee een beeld en kom tot verbeterpunten. Voer die door en voel het geheel dan aan de tand. “Verzin een case, die dus niet bestaat, en ga daarmee testen.” Tussen al deze stappen door is het zaak om te blijven communiceren, te blijven uitleggen. “Denk niet als je een proces hebt, dat je er dan bent.”

Tot slot is er de belangrijke en niet te onderschatten opgave van het embedden van privacybesef bij alle mensen in de organisatie. “Maak het een way-of-thinking voor élke werknemer. Compliancy en privacy zijn van iedereen.” DLL zit nu middenin dit proces, nadat drie jaar terug een team voor privacy en privacycontrol is ingericht. Dat multidisciplinaire team omvat naast de afdeling legal en de afdeling compliance ook juist IT en HR (personeelszaken). “Elk team had zijn eigen lijst met punten.”

Neverending story

Let op dat er na de vorming van zo’n team en de destillering van privacybeleid dan niet de basale fout wordt gemaakt om dat als implementatiegebod door te geven aan de organisatie. Op divisieniveau spelen er ook behoeften en prioriteiten, die domweg opleggen in de weg kunnen staan. “Blijf communiceren! Als je niets hoort of doet, dan zakt het weg.” Is privacy een ‘neverending story’? “Ja, maar dat geldt voor elk compliancy-onderwerp.”

John Thomissen verzorgt de workshop “Hoe borgt u privacy governance?” op het Nationaal Dataprotectie & Privacycongres 2016 op 14 en 22 september as. Zie het programma.