Print:

‘Organisatievorm bepaalt de manier waarop je privacy compliance inricht’

Mr. drs. Jeroen Terstegge , Privacy Management Partners

LinkedIn profiel

Innovatie, productie, dienstverlening en technologie raken bijna altijd persoonsgegevens. Als privacy professional moet je daarom alert en bij de tijd zijn. Kennis van bedrijfskunde is daarbij zeker noodzakelijk. Want eigenlijk kan alleen daarmee op een effectieve en efficiënte manier privacy compliance worden ingericht.

Dat is in het kort de kern van het college dat mr. drs. Jeroen Terstegge geeft tijdens de zesdaagse collegereeks ‘Bedrijfskunde voor privacy professionals’ van IIR en Nyenrode Business Universiteit. Terstegge is partner van het adviesbureau Privacy Management Partners en vertegenwoordiger van de International Association of Privacy Professionals (IAPP) in Nederland. Hij geeft tijdens zijn college uitleg over onder meer de verschillende typen bedrijfsorganisaties en hoe je privacy compliance kunt inrichten volgens deze bedrijfskundige principes.

Type organisatie vertelt hoe je privacy compliance regelt

“De Algemene verordening gegevensbescherming – AVG – vertelt ons wat we aan privacygevoelige gegevens moeten beschermen”, zegt Terstegge. “Maar de wetgeving vertelt ons niet hoe we dat moeten doen. En daar komt de kennis van bedrijfskunde om de hoek kijken. Want als je privacy compliance goed wilt inrichten, moet je kijken met welke type organisatie je te maken hebt.”
Terstegge geeft aan dat er zeven verschillende basistypen organisaties zijn. Binnen deze typen zijn de compliancetaken anders verdeeld over afdelingen en medewerkers. “Dat vraagt overal om een eigen manier van het inrichten van de compliance”, stelt hij. Terstegge werkt al sinds de jaren negentig in de wereld van de privacy. Hij was als privacy officer bij Philips een van de grondleggers van het concept van de Binding Corporate Rules, dat met de inwerkingtreding van de AVG een wettelijke basis kreeg.

Privacy altijd verdeeld over bedrijfsonderdelen

Volgens Terstegge is het belangrijk om te beseffen dat de privacy compliance nooit bij één persoon kan liggen. “Vaak is er een Functionaris Gegevensbescherming – FG – benoemd, maar daarmee ben je er niet. Ik spreek dan ook liever over een privacy professional. De compliancefunctie is sowieso altijd verdeeld over meerdere functies in de organisatie. Privacy compliance ligt dus nooit bij één persoon. Welke bedrijfsfunctie uiteindelijk de belangrijkste rol moet hebben in de compliance, dat is afhankelijk van het type organisatie of zelfs van de afdeling waar je mee te maken hebt.”

De twee organisatietypen die recht tegenover elkaar staan, en daarmee een goed beeld geven van waarom bedrijfskunde zo belangrijk is bij de inrichting van de compliance, zijn de machinebureaucratie en de professionele organisatie. “Machinebureaucratische organisaties zijn gericht op een bepaalde output, waarbij een gestandaardiseerd product wordt gemaakt volgens gestandaardiseerde processen”, geeft Terstegge een voorproefje op zijn college. “Je kunt hierbij denken aan fabrieken, letterlijk het lopendebandwerk, maar ook de Belastingdienst met de belastingheffing, en verzekeringsmaatschappijen met schade-uitkeringen.”

Alles in procedures gieten

Binnen de machinebureaucratie is er volgens Terstegge alles aan gelegen om de machine zo optimaal mogelijk te laten draaien. “Veranderingen in de wetgeving of de uitleg van de AVG is als het ware een bedreiging voor die machine. Als de Autoriteit Persoonsgegevens een boete oplegt die de status quo verandert, dan moet die machine weer worden bijgesteld. Een machinebureaucratie wordt daarmee echt top-down aangestuurd en heeft alles te maken met beleid en procedures.”
En dat is volgens Terstegge precies de reden waarom je bij dit organisatietype alles rondom de AVG in procedures moet gieten, onder meer over bewaartermijnen, gegevensgebruik en -vernietiging. “Alles moet worden uitgetekend op de tekentafel. Degene die dat doet binnen een dergelijke organisatie, noemen we meestal de (chief) privacy officer.”

Duidelijke compliance procedures voorkomen schandalen

Als die (chief) privacy officer ontbreekt in een machinebureaucratische organisatie, dan kan het volgens Terstegge goed misgaan. De toeslagaffaire van de Belastingdienst is daar volgens hem een duidelijk voorbeeld van. “Er zijn illegaal gegevens verwerkt en dat heeft geleid tot etnische profilering en alles wat niet mag volgens de AVG. En dat komt doordat de Belastingdienst zich qua AVG-compliance niet heeft georganiseerd volgens een machinebureaucratische organisatie.”
Terstegge weet dat de Belastingdienst een goede FG heeft in de derde lijn, maar geen chief privacy officer in de tweede lijn. “En die moet er bij deze organisatievorm absoluut zijn. Die moet namelijk de compliance-procedures standaardiseren en daarop kan de FG toezicht houden. Er hadden bij de Belastingdienst duidelijke procedures moeten zijn waaraan men zich had moeten houden. Als die er waren geweest, dan had de hele affaire nooit kunnen gebeuren. Dan waren die gegevens die zijn gebruikt, er namelijk nooit geweest.”

Kennis en vaardigheden in professionele organisatie

Recht tegenover de machinebureaucratie bevindt zich in de bedrijfskunde de professionele organisatie. Advocatenkantoren, huisartsenpraktijken, ziekenhuizen en consultancybureaus zijn daar voorbeelden van. Professionals zijn volgens de bedrijfskunde mensen die met bepaalde competenties een complex probleem kunnen oplossen, zoals een huisarts die een patiënt helpt. “De output is bij dit type organisatie nooit hetzelfde”, aldus Terstegge. “Het gaat altijd om maatwerk.”
En daarom wordt volgens Terstegge compliance door professionals vaak gezien als een obstakel. “Standaardiseren van procedures heeft geen enkele zin. Een (chief) privacy officer heeft in een professionele organisatie niks te zoeken. Een professionele organisatie stuur je niet aan met beleid en procedures, maar met kennis en vaardigheden. Dat betekent dat professionals dus eindeloos moeten worden getraind op de risico’s van de AVG. En die moeten ze in hun eigen werk steeds herkennen. Vaak hebben veel professionals al een beroepsgeheim dat hen daarbij helpt.”

Terstegge geeft aan dat binnen professionele organisaties een FG wel een grote rol kan spelen. “Als die ziet dat niet iedereen op dezelfde manier omgaat met de AVG, dan kan de FG het management adviseren om bijvoorbeeld een training te organiseren. In bedrijfskunde noemen we dat medewerkers indoctrineren. Ze moeten doordrongen worden van het belang, zodat ze, zonder dat de baas naast hun bureau staat, de juiste dingen doen.”

Verschillen binnen organisatie

Wie denkt dat daarmee duidelijk is hoe de privacy compliance in deze twee uiterste organisatievormen moet worden ingericht, heeft het mis. “Binnen een organisatie kan het ook per afdeling verschillen waarmee je precies te maken hebt”, aldus Terstegge. “Zo kan de ene afdeling uit professionals bestaan en de andere uit medewerkers die volgens de machinebureaucratie werken. En dat betekent dat er bij het managen van de compliance per afdeling weer een andere aanpak hoort.”

Wilt u meer weten? In de collegereeks ‘Bedrijfskunde voor privacy professionals’ van IIR en Nyenrode Business Universiteit leert u alles over hoe u uw rol en positie als privacyleider kunt versterken.

Verder lezen?

Laat uw e-mail achter en ontvang de brochure Bedrijfskunde voor privacy professionals direct in uw mailbox.