Handen ineen voor AVG compliance-uitdaging

donderdag 07 juli – 2022

Ik zocht een bureau dat de bigger picture weet te doorgronden en ook met lange termijn uitdagingen binnen verschillende domeinen mee kan denken.

Helemaal gerust was Jasper Aansorgh (Country Manager Hero Benelux) er nog niet op. Met de aanscherping van de privacywetgeving (AVG) in 2018, maar ook met het oog op de morele verplichting om persoonsgegevens te waarborgen, rijst twee jaar geleden bij Aansorgh de vraag: hoe compliant zijn we nu precies bij Hero? En hoe krijgen we hier gedegen inzicht in?

Natuurlijk, we kennen Hero van de jam en Cassis. Hele generaties zijn ermee opgegroeid. Maar Hero is meer dan jam en Cassis. Wist je dat Between ook van Hero is en dat er ook babyvoeding van het merk Organix in de schappen ligt? “Ook de allerjongste generaties van nu groeien weer met ons op.” zegt Aansorgh.

Als foodproducent zijn ze bij het Bredase bedrijf echt wel wat gewend als het gaat om veiligheid, maar anno 2022 heeft dat begrip volgens Aansorgh wel een ruimere betekenis gekregen. “Naast de vanzelfsprekende voedselveiligheid, hebben we in de afgelopen jaren steeds meer te maken met het vraagstuk rondom privacybescherming. Hero mag dan al even bestaan; de digitale transformatie is zeker niet aan ons voorbijgegaan. Zo hebben we een E-commerce afdeling opgericht en proberen we onze dienstverlening en klantenbinding te blijven optimaliseren. Dat betekent wel meteen de verantwoordelijkheid voor miljoenen persoonsgegevens én zoals bij alle digitale diensten: meer kwetsbaarheid. En wat te denken van het vertrouwen dat onze consumenten in ons hebben? Bij de aanschaf van babyvoeding delen klanten die in verwachting zijn zelfs hun uitgerekende datum en later de naam van het kindje met ons, dat zijn zogeheten bijzondere persoonsgegevens. Zo kunnen ze met een puntensysteem voor acties sparen. Dat vertrouwen wil je natuurlijk voor geen prijs in gevaar brengen.”

Joint effort

Omdat Hero simpelweg niet de noodzakelijke expertise in huis had om de privacy- vraagstukken zelf te adresseren, klopt Aansorgh aan bij Fellowfield uit Den Bosch, nu twee jaar geleden. Hij kent Tim Eerhart – registeraccountant en één van de oprichters van Fellowfield- via enkele seminars en gemeenschappelijke zakelijke relaties. Aansorgh: “Ik zocht een bureau dat de bigger picture weet te doorgronden en ook met lange termijn uitdagingen binnen verschillende domeinen mee kan denken. Niet van je: actie – transactie en klaar is Kees.”

Eerhart gaat direct aan de slag om de uitdaging naar een concrete aanpak te vertalen. Eerste prioriteit? Het aantrekken van een goede privacy consultant. Daarop schakelt Eerhart Margreet Löwik (eigenaar Rulogic) in; een doorgewinterde interim compliance & privacy professional die met haar slagvaardigheid en analytische werkwijze ook nog eens uitstekend binnen de Hero gemeenschap past. Löwik is al eerder door Fellowfield op enkele opdrachten bemiddeld en pakte tijdens haar werkzaamheden voor Hero via hen nóg een klus op: “wat me zo aanspreekt aan Fellowfield is het persoonlijke gezicht, het pragmatische karakter en de uitvoerige vakinhoudelijke kennis van de club”.

Wat me zo aanspreekt aan Fellowfield is het persoonlijke gezicht, het pragmatische karakter en de uitvoerige vakinhoudelijke kennis van de club.

Stand van - en orde op zaken

Samen met Löwik stelt Eerhart een offerte en plan op, waarmee ze de omvang van de uitdaging scherpstellen.

“Het eerste dat moest gebeuren was het net ophalen”, zegt Löwik kordaat. “Wat ik bij Hero merkte, zie ik eigenlijk bij elke organisatie die ik binnenstap: men onderneemt van alles om AVG compliant te zijn, alleen ontbreekt het overzicht. Vaak hebben ze wel privacyverklaringen en verwerkingsovereenkomsten, maar maakt dat je dan meteen volledig compliant? Dat is dan nog maar de vraag.”

Inzicht & Actie

De kunst is dus om eerst de mate waarin de organisatie aan de AVG verplichtingen voldoet letterlijk in kaart te brengen. Deze nulmeting zoals Löwik het noemt maakt de risico´s en pijnpunten binnen de organisatie inzichtelijk. Met de nulmeting maak je dus helder op welke terreinen actie moet worden ondernomen. Maar over wat voor acties spreken we eigenlijk? Löwik: “denk bijvoorbeeld aan verwerkingsovereenkomsten, intern privacybeleid en datalek-procedures. Overal waar je als organisatie kwetsbaar kunt zijn dus. Per bevinding hebben we Hero meegenomen en Jasper geadviseerd hoe zaken het beste ingeregeld konden worden. Op zijn verzoek hebben we hier ook beleid op gemaakt. Zo kan de Hero Privacy Werkgroep, waar Jasper en ikzelf plaats in hebben, anticiperen en bijsturen waar nodig. Deze groep heeft een multidisciplinaire samenstelling, waardoor Hero over de hele breedte betrokken is.”. “En dat is fijn”, zegt Löwik. “Dat maakt de implementatie van nieuwe acties makkelijker”.

En nu? Hoe staan de zaken ervoor? Als Löwik de roadmap van twee jaar geleden vergelijkt met die van vandaag, is het verschil in één oogopslag zichtbaar. En dat stemt tot tevredenheid bij alle betrokkenen. “Dit was echt een joint effort”, zegt Löwik. “Tim Eerhart is de afgelopen twee jaar over de hele linie van het project actief en inhoudelijk betrokken geweest en stond met Jasper maandelijks, en ook met mij regelmatig in contact. Het resultaat is dat we nu voor het grootste deel complaint zijn”, zegt Löwik. “De boel is inzichtelijk gemaakt en stevig neergezet, maar nieuwe initiatieven moeten getoetst blijven worden. Omdat Hero met bijzondere persoonsgegevens werkt, vervul ik nu bovendien parttime de functie van Functionaris Gegevensbescherming. Zo blijf ik voorlopig nog actief in een adviserende en toezichthoudende rol.”

“Jasper heeft zich in de afgelopen twee jaar erg betrokken opgesteld, maar hij kan nu weer wat meer ontspannen ademhalen.”. Achteroverleunen is er echter niet bij volgens Löwik, die nu nog zo’n vier tot acht uur per week voor Hero actief is. “AVG compliant blijven is een kwestie van voortdurende inspanning”.