Er is een groeiende druk in de zorg- en overheidssector om zorgvuldig om te gaan met de fundamentele rechten en vrijheden van burgers, gebruikers, patiënten en andere betrokkenen. Deze druk komt enerzijds uit toenemende wet- en regelgeving, zoals de AVG, de AI Act en de NIS2, maar anderzijds groeit ook de maatschappelijke aandacht voor deze onderwerpen. We zien dat organisaties deze uitdagingen vaak benaderen vanuit een complianceperspectief: ze richten zich op naleving van wet- en regelgeving en stellen juridische medewerkers aan om deze naleving te borgen. Hoewel we begrijpen dat deze neiging bij organisaties ontstaat, zien wij de bescherming van rechten en vrijheden als veel meer dan enkel een juridische kwestie.
Als voorbeeld kijken we in dit blog naar privacy. Er zijn verschillende wetten die als middel worden ingezet om de privacy van betrokkenen te waarborgen, waarbij de Algemene Verordening Gegevensbescherming (AVG) de belangrijkste is. Als organisaties focussen op de juridische naleving van de AVG, in plaats van de daadwerkelijke bescherming van privacy, is er een risico dat de wet het doel wordt in plaats van het middel.
We zien dat organisaties privacytaken vaak beleggen bij de juridische afdeling, waardoor er een natuurlijke focus op compliance ontstaat. Dit leidt vaak tot blokkerend gedrag en een vinkjescultuur, waarbij alleen wordt gekeken naar of er iets ‘mag’ van de wet, en niet naar hoe er daadwerkelijke waarde geleverd kan worden aan betrokkenen. Privacy draait immers niet om wetten, maar om mensen. De kernvraag is niet: wat mag wel en niet van de wet? De kernvraag zou moeten zijn: hoe leveren we de meeste waarde aan onze betrokkenen, terwijl we voldoen aan de wet?
Privacy gaat in essentie over informatiestromen en de systemen die deze informatiestromen ondersteunen. Het is daarom belangrijk dat professionals die aan privacy werken niet alleen kennis hebben van de wet, maar ook van bedrijfsprocessen, IT-systemen en organisatieverandering. Privacy is dus geen juridisch vraagstuk maar een informatievraagstuk. Door privacy op deze manier te benaderen, kan de privacy officer het continu lerend vermogen van de organisatie centraal stellen. Hierdoor ontstaat er een sterkere privacyorganisatie, die zich onder andere kenmerkt door een goed werkend managementsysteem: risico’s worden geïdentificeerd en maatregelen worden geformuleerd, uitgevoerd en geëvalueerd. Zeker wanneer organisaties principes als privacy by design breder gaan toepassen, is de multidisciplinaire insteek van de privacy officer noodzakelijk. Een organisatie moet zichzelf vragen kunnen stellen als: waarom doen we dit? Hoe behartigen we de belangen van de betrokkenen? En hoe mitigeren we de risico’s die de betrokkene loopt? Zo ontstaat er een continu verbeterproces.
Wanneer een dergelijke mindset aangenomen wordt, blijkt dat privacy geen horde hoeft te zijn die je moet nemen. In plaats daarvan wordt het een waardepropositie en een enabler van veilige digitale transformatie, waarmee de organisatie extra waarde kan creëren en zich kan onderscheiden. Het maakt de transformatie mogelijk door richting en duidelijkheid te geven over hoe dit veilig en verantwoord kan gebeuren, in plaats van te blokkeren.
In de praktijk zien we dat het complianceperspectief en de juridische focus op privacy een groot effect hebben op de invulling van de privacyorganisatie. Aan de functie van de privacy officer worden vaak sterke juridische eisen gesteld, bijvoorbeeld in de vorm van certificeringen en een rechtenstudieachtergrond, terwijl er weinig kennis van bedrijfsvoering, processen, informatiesystemen en verandermanagement wordt vereist. Maar dat een stuk wetgeving iets zegt over privacy, maakt het nog niet een juridische aangelegenheid.
Als een organisatie van compliance naar waardecreatie wil bewegen, vraagt dat dus om verandering, zowel van de manier waarop men naar de functie van de privacy officer kijkt, als de wijze waarop de organisatie met privacy omgaat. Hieronder geven we een schets van welke elementen deze verandering behelst.
Een privacyvriendelijke organisatie zet de betrokkene centraal. Dit betekent dat de focus niet ligt op ‘wat moet van de wet’, maar op hoe de belangen van betrokkenen zo goed mogelijk worden behartigd. Dit is een doorlopend gesprek dat niet bij één persoon kan of mag liggen, maar dat breed binnen de organisatie gevoerd moet worden. Managers en bestuurders spelen hierin een belangrijke rol: zij geven het goede voorbeeld door te laten zien wat het betekent als échte privacy vooropstaat, in plaats van compliance. Door te kiezen voor een pragmatische en risicogerichte benadering, waarbij niet alleen beleid op papier telt, maar vooral de realiteit, wordt de organisatie daadwerkelijk veiliger. Privacy is daarbij slechts één onderdeel van het bredere plaatje van een veilige en goed functionerende organisatie, naast bijvoorbeeld financiële stabiliteit en kwaliteit van dienstverlening. Het is niet mogelijk om de organisatie 100% volledige compliance te krijgen, vanwege uiteenlopende en soms conflicterende belangen. Daarom is het essentieel om continu de dialoog te voeren: hoe zorgen we ervoor dat de belangen van betrokkenen écht centraal staan?
Een dergelijke organisatie heeft meer nodig dan een pure jurist als privacy officer. Kennis van de wet is belangrijk, maar die juridische kennis is secundair en staat in dienst van een bredere strategische aanpak. Een stevige informatieachtergrond is hierin onmisbaar. De privacy officer opereert op het snijvlak van mens, machine en organisatie, en dient mee te kunnen praten in de complexe, multidisciplinaire, digitale context, op alle lagen in de organisatie.
Een kenmerk van de privacy officer in een dergelijke organisatie is dat deze kan bewegen tussen verschillende disciplines en een gesprekspartner is voor zowel IT als het management. Daarom is het belangrijk dat deze rol goed gepositioneerd wordt binnen de organisatie. Nog té vaak zien we dat de privacy officer wordt ondergebracht bij het ICT-team of bij juridische zaken. Hierbij dreigt privacy een ‘feestje van ICT’ of ‘een compliance-feestje’ te worden. Wij adviseren om de privacy officer te positioneren bij de security office, dicht tegen informatiemanagement en informatiebeveiliging aan, of rechtstreeks onder de CIO. Daardoor wordt de integrale aanpak van privacy direct duidelijk en worden de lijntjes voor de privacy officer binnen de organisatie korter.
De komende jaren komt er veel wet- en regelgeving af op overheids- en zorgorganisaties, vaak met bijbehorende verantwoordings- en toetsingsmechanismen. Bij de introductie van elk nieuw kader loopt een organisatie het risico dat dit leidt tot een sterke focus op compliance. Omdat deze compliance echter nooit 100% haalbaar is, zal er nooit echt rust zijn in de organisatie. Door een cultuurverandering in gang te zetten waarbij de betrokkene centraal staat, kunnen organisaties belangen echt behartigen en de wet gebruiken zoals deze bedoeld is: als een middel, niet als een doel.
Compliance is het minimum. Waarde creëren is het doel. Lukt het u om waarde centraal te stellen in een tijd van grootschalige nieuwe wet- en regelgeving? Neem gerust contact met ons op om van gedachten te wisselen!
Hoe ziet het privacy- en informatiebeveiligingsteam van lokale overheidsorganisaties eruit? Hoe kunnen we, door groei in formatie, doorgroeien in volwassenheid? Hoe verhoudt onze formatie zich ten opzichte van andere overheidsorganisaties?
Lees verderMet één jaar, drie klussen en vier interne opdrachten achter de rug, doorliep ik een zeer leerzaam traject bij het Informatiebeveiliging & Privacy Traineeship van M&I/Partners. Gedurende deze periode deed ik niet alleen kennis op over de nieuwste technologieën en beste praktijken, maar verwierf ik ook waardevolle ervaringen die mij hebben gevormd tot een professional in dit boeiende vakgebied. Dit moment grijp ik aan om enkele hoogtepunten van mijn reis te bespreken en te delen wat ik onderweg heb geleerd.
Lees verder
