Privacy & IT Security

 

De visie van de advocaat en de General Counsel

LEES MEER

Bij de Bedrijfsjuristen Monitor 2017 kwam het onderwerp privacy als belangrijkste ‘wakkerligpunt’ naar voren. Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Op grond van deze verordening kunnen substantiële boetes worden opgelegd ter hoogte van 4% van de wereldwijde jaaromzet van een onderneming. De strengere verplichtingen voor gebruik van persoonsgegevens, met betrekking tot het beveiligen van persoonsgegevens en de noodzaak tot het tijdig melden van een ernstige datalek, vraagt een grotere betrokkenheid van bestuurders en General Counsel.

Thomas de Weerd in gesprek met Houthoff Alumnus Wiebe de Haan.

Sinds januari 2018 is Wiebe General Counsel, Compliance Officer & Data Protection Officer bij MediaMarkt Nederland.

Thomas is partner bij Houthoff, gespecialiseerd in IT, privacy, outsourcing en intellectueel eigendom.

Hoe kijk je aan tegen de nieuwe privacywetgeving die binnenkort van kracht wordt en wat is de relevantie daarvan voor jouw organisatie?

 

Wiebe“”Privacy is een zeer belangrijk onderwerp voor MediaMarkt. Uiteraard willen wij aan de nieuwe regelgeving voldoen, maar ook los daarvan heeft het op de juiste wijze verwerken van persoonsgegevens en de beveiliging daarvan onze volle aandacht. Daarnaast is de relatie met onze klanten zeer belangrijk. Klanten moeten erop kunnen vertrouwen dat wij op de juiste wijze met klantgegevens omgaan. Het is een onderwerp dat je goed moet regelen, maar vooral ook goed moet kunnen uitleggen; niet alleen richting de toezichthouder maar ook – via onze eigen communicatiekanalen en via de media – richting onze klanten.

Omdat dit onderwerp veel onderdelen van MediaMarkt raakt, werkt mijn team – dat naast mijzelf bestaat uit nog drie juristen – nauw samen met andere afdelingen en met onze 49 Nederlandse vestigingen. Ook schakel ik regelmatig met de data protection specialisten op ons hoofdkantoor in Ingolstadt en met de legal teams in onze andere 14 “MediaMarkt landen”. Op die manier wisselen we kennis en ervaring uit. Daarnaast loop ik geregeld binnen bij de IT-afdeling die toevallig op dezelfde verdieping zit en die bij de implementatie van de nieuwe regels uiteraard een zeer belangrijke rol speelt.”

Thomas: “Voor al onze cliënten zijn privacy en informatiebeveiliging hot topics, maar voor B-to-C bedrijven leveren incidenten met beveiliging van persoonsgegevens potentieel een groot reputationeel risico op. Zo’n incident kan schadelijk zijn voor het consumentenvertrouwen. Naast het voldoen aan de nieuwe regelgeving en het voorkomen van boetes hebben onze ondernemingen dan ook een groot commercieel belang bij deze onderwerpen.”

Leeft het onderwerp ook bij consumenten? En hoe kijkt de afdeling Sales & Marketing aan tegen de extra regelgeving?

Wiebe“Nieuwsberichten verspreiden zich tegenwoordig, vooral door social media, heel erg snel. Daardoor merk je dat steeds meer consumenten reageren als een bepaald onderwerp aandacht krijgt in de media. Laat ik als voorbeeld het recht om vergeten te worden noemen. Dat betekent dat we straks de mogelijkheid aan onze klanten moeten bieden om hun gegevens te laten verwijderen. We merken nu al dat als daarover iets in de media verschijnt, er direct klanten zijn die dergelijke verzoeken bij ons neerleggen. Overigens hoeven gegevens niet in alle gevallen (volledig) te worden verwijderd, maar dat soort nuances komen in de media niet altijd ter sprake.

We realiseren ons terdege dat we elke klantvraag goed en snel moeten beantwoorden. Vertrouwen van klanten en klanttevredenheid is met name met betrekking tot dit onderwerp zeer belangrijk. Als klanten vertrouwen verliezen in de wijze waarop MediaMarkt met klantgegevens omgaat, heeft dat zeer nadelige gevolgen voor het bedrijf. Dit leidt er ook toe dat de commerciële afdelingen zelf ook inzien hoe belangrijk het is om de nieuwe regels goed te implementeren en daar actief mee bezig te zijn.”

Thomas: “Sommige organisaties hebben minder nadrukkelijk te maken met consumenten die steeds hogere eisen stellen aan transparantie en integriteit, maar elke organisatie wordt in de een of andere vorm geraakt door de AVG. Soms gaat het daarbij meer om gegevens over werknemers dan over consumenten. In alle gevallen is het noodzakelijk om de persoonsgegevens die een onderneming verzamelt en de doelen waarvoor deze gegevens worden gebruikt goed in kaart te brengen.  

 

Vertrouwen van klanten en klanttevredenheid is in het licht van de AVG zeer belangrijk
MediaMarkt Nederland maakt deel uit van een internationale organisatie met een hoofdkantoor in Duitsland. Maakt dat het extra ingewikkeld? Of wordt het juist makkelijker?

Een internationaal hoofdkantoor biedt zowel lusten als lasten bij de implementatie van privacy regelgeving

Wiebe: “MediaMarkt is actief in 14 landen met in totaal zo’n 1.000 winkels. Veel van onze lokale gegevens worden ook verwerkt via internationale onderdelen van onze IT infrastructuur. Om die reden en omdat sprake is van een Europese verordening wordt de implementatie van de nieuwe regels gecoördineerd door een projectgroep vanuit ons hoofdkantoor in Ingolstadt. De projectgroep bestaat grotendeels uit juristen, maar bijvoorbeeld ook uit IT-specialisten. Er blijft echter meer dan genoeg te doen op Nederlands niveau. Mijn team is daarom ook uitgebreid met een Data Protection Officer die toezicht houdt op de toepassing en naleving van de privacyregels binnen MediaMarkt Nederland.”

Thomas: “Met de AVG wordt de regelgeving op Europees niveau gelijkgeschakeld en gelden voor alle lidstaten van de EU dezelfde privacy-regels. Hoewel de huidige privacyregelgeving ook is gebaseerd op Europese regelgeving bestonden er per EU-lidstaat verschillen, deze zullen nu kleiner worden. Vanuit Nederlands perspectief biedt een internationaal hoofdkantoor zowel lusten als lasten bij de implementatie van de privacy regelgeving. Wij zien daarbij een grote variëteit in verantwoordelijkheidsverdeling tussen centrale en lokale organisatie bij onze internationale cliënten. Een internationaal hoofdkantoor vergt in ieder geval wel veel meer afstemming. Daar moet je goed rekening mee houden bij het inrichten van een project.”

Werken jullie met Privacy by Design?

 

Wiebe: “Onze totale jaaromzet bedraagt zo’n 22 miljard euro en we hebben wereldwijd circa 65.000 medewerkers. In veel landen zijn we marktleider op het gebied van consumentenelektronica. Een onderneming met een dergelijke omvang heeft uiteraard zeer veel – grotendeels met elkaar verbonden – systemen en processen. Die kunnen we niet zomaar allemaal in één keer opnieuw inrichten. In eerste instantie passen we onze bestaande systemen aan de aangescherpte eisen aan. We werken uiteraard continu aan het verbeteren en vernieuwen van bestaande processen. Ook zal een zogeheten Privacy Impact Assessment in de toekomst een verplicht onderdeel worden bij het inrichten van processen en activiteiten waarbij data worden verwerkt.”

Thomas“Bijna al onze cliënten hebben te maken met een groot aantal bestaande applicaties, die op sommige punten moeten worden aangepast om AVG-compliant te worden. Die installed base maakt het complex, zeker omdat cliënten vaak afhankelijk zijn van externe softwareleveranciers. Voor nieuwe projecten zien we dat het Privacy by Design concept langzaamaan wordt toegepast, doordat er bij het ontwerpen van nieuwe applicaties al vooraf rekening wordt gehouden bij de verzameling en verwerking van persoonsgegevens.” 

In het artikel ‘Privacy by Design: u kunt er niet omheen’ voor Computable gaan Jan Brölmann (Senior Associate, Houthoff) en Jurre Reus (Associate, Houthoff) in op één noviteit van de AVG: de eis van ‘gegevensbescherming door ontwerp’, kortweg ‘privacy by design’. U leest het artikel hier.

Bijzonder complex is de beveiliging van de IT infrastructuur. 100% zekerheid bestaat niet. Zelfs organisaties die zich maximaal inspannen om hun IT op orde te hebben kunnen het slachtoffer worden van hackers. Hoever moet een bedrijfsjurist gaan in het doorgronden van de onderliggende IT infrastructuur? Moet een bedrijfsjurist zelf ethical hackers inhuren of blijft dat het domein van de IT directeur?

Wiebe:  “”Om in dit soort situaties goede ondersteuning te kunnen bieden, moet het legal team uiteraard goed begrijpen wat op IT-gebied het mogelijke issue is en waar risico’s zitten. Wij blijven echter juristen en zijn geen IT-ers. Daarom zorgen we ervoor dat bij dit soort projecten IT-specialisten worden aangehaakt die ons de technische details kunnen uitleggen. Zo kunnen we snel schakelen.”

Thomas“Bij de Bedrijfsjuristen Monitor zagen we een verdeeld beeld. 20% van de bedrijfsjuristen vindt wel dat hij of zij meer van IT moet weten. De rest geeft aan te vertrouwen op hun collega’s van IT.” 

Wat spreekt je aan in je nieuwe rol?

Wiebe: “Ik heb het bij MediaMarkt erg naar mijn zin. In april 2017 heb ik na meer dan tien jaar bij Houthoff de overstap gemaakt. In eerste instantie werkte ik in een puur commerciële rol als Head of Financial Services. Afgelopen januari ben ik gevraagd om de rol van General Counsel op te pakken en het legal team verder vorm te geven.

Een aantal ontwikkelingen zorgt ervoor dat het juridische aspect binnen MediaMarkt steeds belangrijker wordt. Ten eerste heeft MediaMarkt zich ontwikkeld van een pure elektronica retailer naar een onderneming die een veelheid aan diensten aanbiedt, zoals installatie- en bezorgdiensten, content, energie, verzekeringen en financieringen. Ook vindt een groot deel van onze business tegenwoordig online plaats. Daarnaast timmeren we hard aan de weg met onze MediaMarkt Club, die inmiddels zo’n 1,8 miljoen leden telt. Daardoor is onze bedrijfsvoering, ook vanuit juridisch perspectief, veel complexer geworden. Ook is de regelgeving steeds ingewikkelder geworden en worden de mogelijke boetes bij niet-naleving van regelgeving steeds hoger. De AVG is daar een goed voorbeeld van.”

Mis je de advocatuur?

Wiebe: “Ik weet niet of het voor alle advocatenkantoren geldt, maar wat me bij Houthoff altijd zeer heeft aangesproken was het feit dat je te maken hebt met een platte organisatie waardoor je qua persoonlijke ontwikkeling veel vrijheid hebt en snel beslissingen worden genomen. Ik werkte bijvoorbeeld in het team van Berry van Wijk en wilde op een gegeven moment mijn focus verleggen naar de retail- en automotive sectoren. Na één gesprek met Berry en Walter van Overbeek was het eigenlijk geregeld en kon ik direct mijn praktijk in die sectoren uitbouwen. Ook hier in mijn nieuwe rol voel ik me ondernemer, maar omdat je onderdeel bent van een groot geheel met verschillende stakeholders – zoals allerlei verschillende afdelingen, de vestigingen en de aandeelhouder – is vaker afstemming nodig voordat een besluit kan worden genomen. Overigens maakt dat het werk juist ook weer uitdagend.

Ook heb je als advocaat meer tijd om langer met één dossier of met een bepaald specialisme bezig te zijn. In mijn huidige rol ontvang ik de hele dag door allerlei soort vragen vanuit de organisatie – de hoeveelheid e-mails is ook veel groter dan toen ik nog advocaat was en ben ik vaak intensief bij de business betrokken. Mijn dagen bestaan daarom meestal grotendeels uit meetings op de Nederlandse holding, in een van onze vestigingen of bij een van onze partners. Ook reis ik regelmatig naar ons moederbedrijf in Ingolstadt, waar een team van zo’n 30 juristen zit. Anders dan bij Houthoff komt het dan ook zelden voor dat ik ongestoord een paar uur achter mijn beeldscherm zit. Aan de andere kant is mijn huidige functie daardoor ontzettend afwisselend en vind ik juist de veelheid aan verschillende onderwerpen en de combinatie van juridische en commerciële aspecten erg leuk en uitdagend. De dagen vliegen voorbij!”

Video
Delen

Uw naam

E-mail

Naam ontvanger

E-mail adres ontvanger

Uw bericht

Verstuur

Share

E-mail

Facebook

Twitter

Google+

LinkedIn

Contact

Verstuur