De job van… Data Protection Officer

“Vertrouwen is cruciaal in onze business”, steekt David Stevens van wal. “Als marktonderzoeksbureaus meten we wat mensen bekijken, beluisteren en kopen via TV, radio en internet en rapporteren daarover aan onze klanten. We moeten er niet alleen op toezien dat de rapportering juist en accuraat is, maar ook dat de privacy van alle betrokkenen wordt gerespecteerd. Dat laatste is vooral de taak van het privacyteam.”

En de rol van David Stevens dan, als onderdeel van het privacyteam? “Als Data Protection Officer moet ik er vooral voor zorgen dat wij gegevens verwerken in overeenstemming met de geldende wetgeving” klinkt het. “GDPR vormt daarin uiteraard een belangrijke brok, maar er is ook andere Europese of nationale wetgeving. Door de contacten met de toezichthouders en beleidsmakers proberen wij ook een stem te hebben in het debat rond eventuele nieuwe wet- of regelgeving. Denk bijvoorbeeld aan de plannen rond “e-Privacy” of artificiële intelligentie op Europees niveau.”

Niet binnen het juridisch team

Stevens is sinds november 2017 aan de slag bij Nielsen, niet toevallig op het moment dat GDPR bij heel wat bedrijven hoog op de agenda kwam. Dat wil echter niet zeggen dat hij als enige instaat voor de opvolging van de regelgeving. “Naast mezelf - als Data Protection Officer voor Europa - zijn er nog een tiental andere collega’s die samen het privacy team vormen. Daarnaast kunnen we ook beroep doen op collega’s in de verschillende regio’s of landen. Naast juristen zijn dat vaak ook mensen uit de business.”  

Het is trouwens een misverstand dat de DPO automatisch deel uitmaakt van het juridisch team. Stevens: “Hoewel ik uiteraard heel vaak met de collega’s van het juridische departement samenwerk, maak ik organisatorisch gezien deel uit van het “public affairs” team van Nielsen. Dat heeft veel te maken met het feit dat de DPO in staat moet zijn om het werk van het juridische en privacy team te overschouwen en bij te sturen waar nodig. Ik ben er vast van overtuigd dat de ‘juiste’ organisatie van de rol van de DPO moeilijk in vaste regels te gieten is, maar eerder afhangt van de organisatie en cultuur van de onderneming. De DPO kan volgens mij succesvol zijn binnen het juridische team (al moet hij/zij toch wel een iets ruimere kijk op de zaken aan de dag kunnen leggen), maar even goed binnen andere departement (zoals ik bij Nielsen), of in een eerder op risk-management of compliance gefocuste rol. Er zijn dus heel veel verschillende invullingen van die functie mogelijk. Zolang hij/zij maar voldoende hefbomen heeft om zaken echt bij te sturen, lijkt me aan de GDPR vereiste van ‘onafhankelijkheid’ voldaan.”

Pre en post 25 mei

We zeiden het al in de intro: voor 25 mei zat elke DPO tot over z’n oren in het werk. Even luisteren wat dat bij David Stevens allemaal inhield… “Al bij al is de aandacht voor privacy relatief recent. De regels bestonden daarvoor ook al, maar eigenlijk “leefden” die niet echt in de onderneming. Privacy was vaak bijna uitsluitend de verantwoordelijkheid van het juridische departement. Als er uitschuivers (of klachten van de toezichthouder) waren, mochten zij de brandjes komen blussen. Dat is toch wel veranderd en ik heb de indruk dat nu wel voor iedereen duidelijk is dat een juiste verwerking van persoonsgegevens een verantwoordelijkheid is voor iedereen in de onderneming. Gezamenlijk en elk apart. Een beetje zoals veiligheid op het werk dat ook is. Dat besef doen groeien, lijkt me in een vroege fase één van de belangrijkste taken van de DPO. Dat doe je door met de mensen op het terrein samen te werken en hun oplossingen aan te reiken. Niet steeds het vermanende vingertje, al moet je ook wel het lef hebben om  - wanneer nodig -  een rode kaart te trekken. Aan dat samenwerken met de business, of de analyse van de producten heb ik dus het meeste tijd gespendeerd, omdat je twee vliegen in één klap slaat: je kan de producten bijsturen op vlak van privacy, maar je zet privacy ook op de kaart als een partner en creëert zo goodwill rond beter omgaan met persoonlijke gegevens.”

En nu, mission accomplished? Of toch niet? “We hebben enorm veel gedaan en het is er de laatste maanden wat chaotisch aan toe gegaan”, is David Stevens duidelijk. “Niet dat het werk af is, maar er moet nu toch ook een periode van consolidatie komen. Vele analyses die we gemaakt hebben (bijvoorbeeld: wat is de juridische grondslag waarop wij ons baseren voor onze Nielsen TV-panels?) moeten nu verzameld en gedocumenteerd worden. Nu processen, producten, privacybeleid en kennisgevingen enz bijgewerkt zijn, willen we ook meer nadruk leggen op training. Zo willen we een sneeuwbal aan het rollen brengen die hopelijk niet snel zal stilvallen...”

Spelverdeler

We hebben over GDPR de afgelopen maanden heel wat gehoord en gelezen. Soms tegenstrijdige berichten. Voor een leek was het niet evident door de bomen het bos te zien. Maar hoe kijkt een specialist daarnaar? Wat is de grootste onzin die David Stevens de laatste maanden over GDPR gehoord hebt? “In eerste instantie denk ik aan de vele e-mails die we allemaal ontvangen hebben met vraag om opnieuw toe te stemmen in direct marketing”, blijkt zijn antwoord toch niet zo veraf te staan van het gevoel van de gemiddelde consument. “Je moet weten dat de GDPR letterlijk zegt dat niet voor alle direct marketing een (afzonderlijke) toestemming is vereist. Wanneer je dan ziet dat zelf internationale instanties of advocatenkantoren (!) die toestemming toch vragen, begrijp je hoe weinig kennis er is. Maar hetzelfde gebrek aan kennis zie je ook op andere domeinen. Zo kregen wij in de laatste week voor de GDPR een vraag van een bedrijf om een overeenkomst als gegevensverwerker te ondertekenen, aangezien wij van mensen van hun bedrijf bedrijfskaartjes hadden gekregen. Soms vraag ik me af wie die onzin allemaal verzint.”

Over GDPR zelf is David Stevens zeer lovend: “Persoonlijk vind ik de grootste verdienste van de GDPR dat het echt niet meer lukt om de verantwoordelijkheid voor privacy uitsluitend bij het juridische departement te leggen. Als je als onderneming er niet in slaagt om dit zowel intern als extern met een veel ruimere set aan stakeholders te bekijken, zal je volgens mij nooit echt compliant kunnen zijn. Denk bijvoorbeeld aan de gegevensbeschermingseffectbeoordeling (in het Engels gelukkig vier woorden: “Data Protection Impact Assessment”). Om die tot een goed einde te brengen moet je  - veel meer dan vroeger -  reiken naar de business. Je moet precies weten hoe de producten in elkaar zitten om dan samen met de juristen te bekijken hoe je dat juridisch gaat organiseren.”

En de DPO, die is duidelijk de spelverdeler bij deze oefeningen…

Over "De job van..."

In de rubriek “De job van….” wil BAM graag de marketing community kennis laten maken met de brede waaier aan functies die er binnen marketing zijn. Hiervoor zoeken we leden die ons hun verhaal doen van de mens achter de (soms ronkende) functietitel.