Print:

WeTransfer: innovatie en dataprotectie hoeven elkaar niet te bijten

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Een jong techbedrijf als WeTransfer is voortdurend bezig met innovatie. Is dataprotectie dan een sta in de weg? Privacy officer Nienke Koorn vindt van niet. “We hebben héél veel privacy champions.”

“Compliancy houdt niet op nu de Algemene verordening gegevensbescherming (AVG) er is. Vooral niet bij innovatieve en snelgroeiende techbedrijven zoals WeTransfer. Tools, applicaties en systemen ontwikkelen zich binnen onze organisatie in hoog tempo: wat de ene dag in het hele bedrijf wordt gebruikt is bij wijze van spreken de volgende dag alweer achterhaald”, zegt Nienke Koorn, sinds 2017 privacy officer bij WeTransfer. Eerder was ze vice president support bij de Nederlandse down- en uploaddienst voor het versturen van grote bestanden.

Dataprotectie & Privacy congres | IIR

 

 

 

 

 

 

Koorn verzorgt tijdens het Dataprotectie & Privacy Congres 2018 een workshop over privacy governance en de rechten van betrokkenen. “In mijn visie staat de betrokkene centraal in alles wat je aan privacy governance doet. Je kunt wel investeren in een register van verwerkingsactiviteiten om de datastromen in de organisatie in beeld te brengen en inzichtelijk te houden. Maar als je de rechten van betrokkenen niet serieus neemt dan heb je alsnog de boot gemist.”

Geen privacyfrontje

“Bij alles wat WeTransfer ontwikkelt denken we over mogelijkheden om het gebruikers zo gemakkelijk mogelijk te maken en tegelijkertijd hun rechten te beschermen”, zegt Koorn over de afwegingen waarover ze als privacy officer meedenkt. “Innovatie, gebruiksgemak en dataprotectie kunnen elkaar bijten, maar als dat het geval is dan is er iets mis met het product en moet je het aanpassen. Bijvoorbeeld door te zorgen dat er minder persoonsgegevens worden verzameld, of meer data worden gepseudonimiseerd.”

Privacy by design en privacy by default waren volgens Koorn dan ook belangrijke uitgangspunten bij de implementatie van de AVG. “WeTransfer is eigenlijk een soort postbode: we brengen je data van A naar B. Dan verwacht je als gebruiker dat WeTransfer niet meekijkt met wat je verstuurt. Daarover communiceren we transparant en hebben we een privacybeleid. En voor ons geldt: wat je leest in het privacystatement is ook hoe we in de praktijk met persoonsgegevens omgaan. Alleen op die manier kan je het vertrouwen van consumenten behouden. Het is voor ons geen optie om alleen een privacyfrontje te hebben.”

Verankeren

Koorn startte in 2017 als privacy officer met de voorbereidingen op de AVG-implementatie. Ze kon daarbij voortbouwen op het privacybeleid dat WeTransfer al had ontwikkeld. “Ons privacystatement was al in 2017 AVG-compliant. Ook ons privacybeleid was al behoorlijk AVG-proof. We praktiseerden bijvoorbeeld al lean management: we proberen de dataset over gebruikers steeds zo klein mogelijk te houden en we hebben de automatische verwijdering van gegevens in het systeem ingebouwd.”

De komst van de AVG heeft het privacybeleid van WeTransfer dan ook niet zozeer inhoudelijk veranderd als wel explicieter gemaakt, zegt Koorn. “Het privacybeleid is meer verankerd geraakt in de bedrijfsvoering en nadrukkelijker gecommuniceerd. Ook heb ik ervoor gezorgd dat het voor teams makkelijker is om te zorgen dat betrokkenen hun rechten kunnen uitoefenen. Een inzageverzoek kan tot op zekere hoogte geautomatiseerd worden afgehandeld. En de afdeling support kan nu bijvoorbeeld geautomatiseerd gegevens van gebruikers anonimiseren om deze te analyseren voor het verbeteren van de dienstverlening. Voorheen waren dat handmatige processen.”

Dicht op de werkvloer

“Blijf dicht op de werkvloer en investeer niet alleen op managementniveau in aandacht voor dataprotectie”, adviseert Koorn organisaties die stappen willen zetten met AVG-compliance. “Omdat ik zelf al bij WeTransfer werkte voordat ik er privacy officer werd, begrijp ik goed wat er op de werkvloer speelt en snap ik de uitdagingen die ontstaan als je tegelijkertijd wilt zorgen voor innovatie én dataprotectie.” Rond de implementatie van de AVG organiseerde Koorn voor elk team workshops over hun manier van werken, die werden aangevuld met interviews. “Op die manier kon ik in kaart brengen welke zaken er spelen en welke acties nodig zijn om compliant te worden. Dat leidde tot een takenlijstje per team, waarvoor de medewerkers zelf verantwoordelijk zijn.”

“We zijn een techbedrijf dus ongeveer de helft van de mensen in de organisatie zijn developers. Dat zijn meestal mensen die heel goed weten hoe je data achterlaat als je online bent en hoe je dat minimaliseert. We hebben dus héél veel privacy champions”, zegt Koorn over het interne draagvlak voor het privacybeleid.

“Ik merk ook dat collega’s vaak al een gut feeling hebben als er iets niet helemaal klopt in hoe ze met persoonsgegevens omgaan. Privacy governance is soms helemaal geen rocket science. Voor mij is de uitdaging om over te schakelen van het kortetermijndenken, dat zich richtte op het nalevingsniveau op 25 mei 2018, naar een langetermijnvisie op privacy governance. Hoe zorgen we ervoor dat teams verantwoordelijkheid nemen voor dataprotectie en zelf oplossingen zoeken in plaats van daarvoor bij mij aankloppen? Misschien is mijn grootste doel wel dat ik mezelf overbodig kan maken.”

Nienke Koorn is een van de vele sprekers tijdens het tweedaagse Dataprotectie & Privacy Congres op 26 en 27 september 2018 in Amsterdam. Bekijk het volledige programma en boek tickets op de website van IIR.

Dataprotectie & Privacy Congres | IIR

 

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten