7 minuten leestijd 1 jun 2019
Een jaar na dato is de AVG niet langer voer voor juristen alleen

Een jaar na dato is de AVG niet langer voer voor juristen alleen

Door

EY Nederland

Multidisciplinaire organisatie voor zakelijke diensten

7 minuten leestijd 1 jun 2019

Hoe staan organisaties er een jaar na de invoering van de AVG voor? 

Veel organisaties hielden in het voorjaar van 2018 een race tegen de klok om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Hoe staan zij er een jaar later voor? De conclusie van de round table over dit thema: financiële instellingen praten eigenlijk nauwelijks meer over de AVG maar maken wel meer dan ooit zorgvuldige afwegingen over een verantwoorde omgang met (persoonlijke) data. Een gesprek met Jeffrey Bholasing (Global Head Data Quality & Data Protection bij ING), Duco Tuinenburg (Head General Legal Affairs & Oversight bij NN Group) en Saskia Vermeer-de Jongh (Advocaat en partner bij HVG Law) onder leiding van Rudo Gischler (EY).

Gischler: 25 mei 2018. Bij veel betrokkenen staat deze datum nog in het geheugen gegrift als de harde deadline waarop de AVG van kracht werd. De mensen aan tafel waren er alle drie in verschillende rollen nauw bij betrokken. Hoe kijken zij erop terug?

Tuinenburg: “Het was hard werken, maar het leverde ook een momentum. Om een groot internationaal bedrijf als Nationale-Nederlanden in beweging te krijgen is veel inspanning nodig, maar daar staat tegenover: als die beweging eenmaal op gang is dan is die beweging ook niet meer te stoppen en wil iedereen binnen Nationale-Nederlanden dit goed en zorgvuldig doen. Toen het besef over het belang van het thema in 2016 breed begon te leven, kwam er veel op gang.”

Bholasing: “AVG was bij ING onderdeel van een beweging die sowieso al in gang was gezet. Data protection was al geruime tijd een belangrijk punt.”

Vermeer: “Klinkt goed. Ik heb destijds ook voorbeelden gezien waar dat heel anders was. Dat we in maart/april nog werden gebeld of we mensen beschikbaar hadden om te helpen hun organisatie AVG-compliant te maken. Organisaties die zich zo kort tevoren pas gingen voorbereiden ontkwamen soms niet aan houtje touwtje oplossingen. Wat overigens een rol speelde bij die last minute benaderingen is dat er ook met de deadline in zicht weinig guidance van de toezichthouders was over wat organisaties precies moesten doen.”

We gebruiken drie simpele criteria. Kunnen we het? Mogen we het? En willen we het?

Gischler: Het risico van een harde deadline is dat er daarna ‘AVG-moeheid’ optreedt. Dat iedereen blij is dat de deadline is gehaald en dat de aandacht wegebt. Hoe ervaren jullie dat?

Vermeer: “Mijn ervaring is dat veel partijen na de implementatiedatum de juiste vragen gingen stellen, juist omdat de druk van de ‘deadline’ eraf was. Ze gingen nadenken over wat de AVG nu echt betekent voor hun organisatie. Er wordt inmiddels eigenlijk nauwelijks meer gepraat over AVG, maar wel heel veel over data governance. Tegelijkertijd zie ik ook dat er (nog) weinig handhaving is, en dat daardoor een prikkel ontbreekt voor partijen die deze prikkel misschien nog wel nodig hebben.”

Bholasing: “Data privacy is bij ING van meet af aan meer dan een juridisch onderwerp en is gaandeweg steeds meer multidisciplinair ingestoken. Er is binnen ING een breed gedragen besef dat data privacy voor onze klanten en werknemers essentieel is, we geen incidenten willen en dat het vooral geen ’legal only’ onderwerp is. Die multidisciplinaire aanpak borgen we binnen ING onder andere met een Data Protection Sounding Board, een interdisciplinair overleg op hoofdkantoorniveau waar operationele stappen worden besproken en uitgewerkt.”

Tuinenburg: “Die multidisciplinaire aanpak is heel herkenbaar en ook nodig om privacy ook echt by design in je systemen te krijgen. Ik denk dat vooral IT en Information Risk een steeds grotere rol zijn gaan spelen in dit dossier. En het mooie is: zij vinden het ook erg leuk om dat te doen.”

 Saskia Vermeer 
 Advocaat en Partner bij HVG Law 

Ethiek van datagebruik wordt steeds meer een issue

Gischler: De lastige juridische vragen zijn inmiddels wel beantwoord. Zijn er nog domeinen waar dilemma’s spelen?

Tuinenburg: “Die zijn er zeker, alleen zijn ze minder van strikt juridische aard. Als voorbeeld: er is Nationale-Nederlanden veel aan gelegen om nauwgezet met data en persoonsgegevens om te gaan. Omdat onze klanten dat verdienen en omdat we als beursgenoteerd bedrijf zorgvuldig omgaan met onze reputatie. Maar ‘zorgvuldigmet data en persoonsgegevens omgaan’ hoeft niet gelijk te staan aan het ‘sec’ voldoen aan wet- en regelgeving, het gaat verder dan dat.”

Gischler: Handelen binnen de letter van de wet zonder te kijken en na te denken over de ethics rondom data. Daarmee komen we op dit punt niet meer weg?

Tuinenburg: “Zeker niet. Als wij plannen ontwikkelen waar het gebruik van data een rol speelt gebruiken we drie simpele criteria. Kunnen we het? Mogen we het? En willen we het?”

Bholasing: “Die laatste vraag is heel relevant en niet altijd gemakkelijk te beantwoorden. We kiezen bij twijfel voor de veilige weg, in de wetenschap dat we verassingen voor onze klanten willen voorkomen. Er zijn tal van businesscases te bedenken waar je met de koppeling van externe en interne databronnen proposities kunt maken, die toegevoegde waarde voor onze klanten kunnen hebben. Maar bij al die opties vragen we ons steeds weer af of onze klant dat ook wil en in hoeverre keuzevrijheid geborgd is.”

Tuinenburg: “Technologie trekt zich niets aan van wetgeving en ontwikkelt zich in een rap tempo door. Wetgeving hobbelt daar per definitie achteraan. Daardoor ontstaan vraagstukken waar de wet soms geen antwoord op geeft. Je hebt dan eigenlijk een maatschappelijke norm nodig. Maar die is er niet.”

Vermeer: “Ethiek van datagebruik wordt steeds meer een issue. Het is inderdaad zoeken naar de norm. Zowel ten aanzien van de maatschappelijke opinie als ten aanzien van de invulling van de wettelijke eisen. Je ziet partijen ook hoopvol kijken naar de toezichthouder op dit vlak, maar die geeft nog weinig handvatten. In zekere zin zou het helpen als er een paar cases voor de rechter komen. Maar geen enkele financiële instelling wil daar natuurlijk de vingers aan branden en dus lijkt iedereen de veilige route te bewandelen.”

Tuinenburg: “We willen als financiële instelling onze bijdrage leveren om de norm te bepalen. We kijken daarvoor ook naar de politiek en partijen zoals bijvoorbeeld VNO/NCW of het Verbond van Verzekeraars om daar een rol in te spelen.”

Bholasing: “Overigens gaat het bij de dilemma’s op dit punt niet altijd om aantasting van privacy, maar ook om andere aspecten. Vanuit de wetenschap is bijvoorbeeld het vraagstuk bekend om met data-analyse de risico’s van hypothecaire leningen  in te schatten.  Dat kan interessante inzichten opleveren. Het risico van discriminatie moeten we nog wel mitigeren.”

 Duco Tuinenburg 
 Head General Legal Affairs & Oversight bij NN Group 

Wetgeving hobbelt per definitie achter de techniek aan

Gischler: Alles overziend. Kiezen financiële instellingen dan nu niet een wat erg veilige benadering?

Bholasing: “Onze eigen medewerkers zijn een goed kompas om op te varen als het gaat om de ethiek van wat we doen. Want zij zijn vaak ook onze klanten. Wat in het licht van data privacy ook een rol speelt is PSD2. Deze richtlijn maakt het mogelijk dat nieuwe partijen na toestemming van de klant toegang krijgen tot de betaaldata van die klant in de systemen van de bank. Het wordt interessant om te zien hoe partijen hier invulling aan gaan geven en waar klanten een voorkeur voor hebben. Bijvoorbeeld of zij bereid zijn om gegevens te delen in ruil voor een commercieel aanbod.”

Tuinenburg: “We willen het gewoon goed doen. Maar het punt is: het valt niet op als je het goed voor elkaar hebt, alleen maar als je steken laat vallen. Neem bijvoorbeeld de mogelijkheid tot het doen van een zogenaamd inzageverzoek, het recht op inzage in je persoonsgegevens, zoals voorgeschreven in de AVG. We hebben dat bij Nationale-Nederlanden echt mooi ingericht en onze klanten kunnen met een druk op de knop al inzicht krijgen in hun persoonsgegevens en contacten met ons. Daar is veel aandacht aan besteed. Maar voor zaken die gewoon goed geregeld zijn is er minder aandacht.”

Vermeer: “Ten aanzien van bijvoorbeeld het onderwerp profiling – waarmee je bepaalde voorkeuren van mensen in kaart brengt - leven er veel vragen en zit iedereen een beetje naar elkaar te kijken wat er wel en niet mag. In algemene zin denk ik dat we daar soms overdreven voorzichtig in de wedstrijd zitten. Als je heel feitelijk kijkt naar wat er in de AVG staat mag er meer dan je wellicht denkt.”

 Jeffrey Bholasing 
 Global Head Data Quality & Data Protection bij ING 

Deelnemers

Saskia Vermeer
Advocaat en Partner bij HVG Law

Duco Tuinenburg
Head General Legal Affairs & Oversight bij NN Group

Jeffrey Bholasing
Global Head Data Quality & Data Protection bij ING

Samenvatting

Veel organisaties hielden in het voorjaar van 2018 een race tegen de klok om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Hoe staan zij er een jaar later voor? De conclusie van de round table over dit thema: financiële instellingen praten eigenlijk nauwelijks meer over de AVG maar maken wel meer dan ooit zorgvuldige afwegingen over een verantwoorde omgang met (persoonlijke) data.

Over dit artikel

Door

EY Nederland

Multidisciplinaire organisatie voor zakelijke diensten