Print:

Vele regels AVG voor multinationals als Heineken vaak nog lastig

Tijs Hofmans, Journalist

LinkedIn profiel

De nieuwe Europese privacywetgeving zou een algemeen privacybeleid makkelijk moeten maken voor bedrijven, maar de huidige aanpak levert veel uitdagingen voor multinationals op. Dat vertelt Anna den Hartog, hoofd van het Global Privacy Office bij Heineken, die daarover spreekt op het IIR-congres AVG Countdown op 21 & 22 februari as.

De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse vorm van de General Data Protection Regulation (GDPR) die vanaf 25 mei 2018 in werking treedt. Vanaf dat moment kan de Nederlandse Autoriteit Persoonsgegevens boetes gaan uitdelen wanneer een bedrijf slecht met (klant)data omgaat. Die boete is hoog: het kan oplopen tot wel 4% van de omzet van het bedrijf.

Praktijkproblemen

Het idee om zo’n complex vraagstuk over heel Europa gelijk te trekken is in theorie erg mooi, maar levert in de praktijk ook flink wat problemen op voor multinationals – met name door de extra regels die landen bovenop de GDPR mogen opleggen. Anna den Hartog is hoofd van het Global Privacy Office van Heineken, een bedrijf dat in vrijwel ieder EU-land actief is. Om GDPR-compliant te worden heeft Heineken de privacygovernance zowel centraal als lokaal opnieuw ingericht.

Decentraal

“Heineken is van oudsher een decentrale organisatie, dat vroeger veel lokale brouwerijen opkocht. Dat betekende dat privacyregels altijd lokaal werden geregeld, maar dat moet nu naar centraal niveau wordt getrokken.”

Om dat te doen stelde Den Hartog in alle brouwerijen ‘privacy champions’ en privacy officers aan. “We willen overal in de organisatie ogen en oren hebben. Het gaat erom dat je in alle aderen van een organisatie zit en zo overal governance hebt en je aan je accountability-principe voldoet.”

Eigen privacywetgeving

Op papier zou de Europese verordening moeten betekenen dat bedrijven overal in Europa aan dezelfde regels zouden moeten voldoen. Dat zou niet alleen veiliger voor consumenten moeten zijn, maar ook makkelijker voor bedrijven om hun beleid gelijk te trekken. “Allemaal in het kader van de Europese gedachte van een geharmoniseerde markt.”

In de praktijk is dat echter niet het geval. De GDPR laat juist ruimte voor landen om extra eisen te stellen aan hun privacywetgeving. “Dan komt het er dus op neer dat je nog steeds andere regels hebt per land waar je aan moet voldoen.” Volgens Den Hartog is dat een teleurstelling: “Grote bedrijven zoals Heineken vragen al jaren om wetgeving die over heel Europa hetzelfde is, maar de huidige situatie staat haaks op dat ideaal.”

Geen ivoren toren

Heineken laat lokale regels voornamelijk over aan plaatselijke juristen. “Zulke dingen willen we niet vanuit ons hoofdkantoor aansturen. Over de hele organisatie zorgen we wel dat de governance klopt, door een projectplan met de juiste privacy procedures op te stellen. Dat doen we met standaard processen zoals templates voor contracten, een organisatiestructuur waarbij hoger management accountable is. Maar we willen niet alle regels van bovenaf de ether inschieten, de lokale afdelingen moeten zelf de lokale richtlijnen volgen. Je moet ook oppassen dat je niet vanuit je ivoren toren een centralistisch koninkrijk bouwt.”

Verschillende interpretaties

Eén van de grootste uitdagingen voor grote multinationals zoals Heineken is dat de autoriteiten het vaak niet eens zijn over hoe bepaalde wettelijke vereisten moeten worden uitgelegd. “Dat maakt dat je bij sommige bepalingen zelf moet beslissen welke richting je op gaat, als die bepalingen nog niet duidelijk zijn. Van de autoriteiten krijg je dan namelijk niet altijd voldoende guidance.” Juristen moeten daarom vaak zelf open normen interpreteren, in beslissen wat de beste manier van handelen is.

Uiteindelijk is het erg lastig om volledig aan al die regels te voldoen. Regels worden waarschijnlijk anders geïnterpreteerd dan de bedoeling is. Volgens Den Hartog zijn er manieren om daarop te reageren. “Raak vooral niet in paniek. Ik hamer er juist op dat alle controls en alle processen kloppen, zodat je kunt aantonen dat je controle en overzicht hebt. Dan zal het daar niet aan liggen als je niet compliant blijkt te zijn.”

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten