Als privacy professionals werken we hard om onze vakbekwaamheid en kennis op peil te houden en te verbeteren. Maar alleen inhoud en kennis is niet voldoende om het onderwerp op de agenda bij medewerkers en directie/management te krijgen. Daarvoor is ook een goede positionering van het team nodig. Met een duidelijke visie op haar eigen rol kan het privacyteam een aantrekkelijke partner zijn voor de rest van de organisatie.
Veel privacy teams worstelen nog met de vraag. Hoe krijgen we privacy op de agenda. Bij mijn eigen zoektocht kwam ik uit op een oud management concept van David Maister dat daarbij kan helpen.
De verschillende privacy rollen
Privacy heeft zich sinds de introductie van de AVG snel ontwikkeld. Naast de FG hebben veel organisaties inmiddels ook nieuwe functies die niet in de AVG beschreven staan. De privacy officer (PO), de eerste lijn in het privacyteam, en de privacyjurist, het aanspreekpunt voor specialistisch privacy issues, zagen de afgelopen jaren het licht.
Voor veel organisaties begon de implementatie van de AVG met de rol van Functionaris Gegevensbescherming (FG). Deze rol is verankerd in de AVG: art. 38 geeft een aantal richtlijnen voor de positie van de FG. Zo schrijft dat artikel voor dat hij ‘naar behoren en tijdig moet worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens’, hij mag geen instructies ontvangen en heeft een zekere mate van ontslagbescherming en moet rapporteren aan het hoogste leidinggevende niveau.
Mooie bepalingen die de FG echter niet helpen bij de positionering in de organisatie.
Ook PO en privacyjurist zijn nog bezig met de vraag: Hoe krijg ik privacy op de agenda? Het concept ‘trusted advisor’ kan daarbij behulpzaam zijn.
Maister en de trusted advisor
David Maister is voormalig hoogleraar aan de Harvard Business School en expert op het gebied van management van professionele service organisaties. In 2000 introduceerde hij het begrip ‘trusted advisor’.
Direct vertaald is de trusted advisor de vertrouwde adviseur. Maar het concept behelsd meer dan alleen vertrouwen. Een trusted advisor is niet alleen iemand die vertrouwd wordt, maar is ook een gewaardeerd sparringpartner, een innovatief denker en een stabiele steunpilaar met invloed.
Hoe krijgen we privacy op de agenda? Het begint dus met het kweken van vertrouwen?Maister definieerde vertrouwen als volgt:
Geloofwaardigheid is de basis voor vertrouwen. Je bent als privacy professional geloofwaardig door de kennis en ervaring die je meebrengt. Maar kennis is niet voldoende. Naast geloofwaardigheid moet je als trusted advisor betrouwbaar zijn. Doen wat je zegt, afspraken nakomen en deadlines halen. De derde factor om vertrouwen te kweken is Intimiteit. In de huidige tijd met #Metoo is dit wellicht een wat meer beladen begrip dan 20 jaar geleden. Maar Maister bedoelt hiermee dat je “nabij” bent. Het gevoel van nabijheid creëer je door je eerlijk en kwetsbaar op te stellen. Hoe meer je van jezelf laat zien, hoe beter de relatie wordt.
Een laatste factor om vertrouwen te kweken in de organisatie is wat Maister noemt ‘een lage mate van zelf oriëntatie”. Je bent niet met je zelf bezig maar primair met de ander. Het belang en de vragen van de ander staan echt voorop.
Maister zet de trusted advisor tegenover ‘betweterige’ expert. De trusted advisor heeft geen oordelende houding. Roept niet ‘dat mag niet van de AVG’. Een privacyteam team met trusted advisors staat de organisatie waardevol bij met de privacyvraagstukken die er voor hen echt toedoen.
Het model in 3 concrete rollen
Maister heeft zijn model geconcretiseerd in een aantal rollen die de trusted advisor zou moeten hebben.
Allereerst heeft hij de rol van vriend. Als vriend luistert hij naar het probleem, geeft aandacht, stelt vragen en toont begrip. Zonder vooringenomenheid stel je vragen over de verwerking, de context, de noodzaak. Je luistert, vat samen en toont begrip. Realiseer je daarbij dat de verplichtingen uit de AVG voor medewerkers ook nog eens boven op alle andere werkzaamheden komen.
Ten tweede ben je trainer. Je helpt met jouw ervaring en kennis bij de privacy issues. Je leert de organisatie zaken over de bescherming van persoonsgegevens die nog niet bekend zijn. Je helpt begrijpen waarom het noodzakelijk is iets te doen of juist iets op een andere manier te doen. Je leert hoe een verwerking georganiseerd moet worden om compliant aan de AVG te zijn. Welke verplichtingen uit de AVG zijn en welke privacy risico’s er zijn .
Naast vriend en trainer ben je ook nog eens coach voor de organisatie. Dat betekent dat je de organisatie een spiegel voorhoudt. Je reflecteert zonder te oordelen en doet niet anders dan de gevolgen van bepaalde keuzen laten zien. De organisatie maakt afwegingen, vaak op basis van vooroordelen. Wat gebeurt er als ik niet voldoe aan de AVG? Welk risico loop ik bij een verwerking die niet AVG compliant is? Hoeveel tijd kosten de maatregelen? Door de organisatie op deze gebieden een spiegel voor te houden kun je helpen om tot een goede afweging en beslissing te komen.
Hoe krijgen we privacy op de agenda? Door het team te positioneren als trusted advisor, als steun en toeverlaat van de organisatie als het om privacy gaat. Wil je meer lezen over Maister’s concept: klik dan hier.
Hulp nodig bij het in positie brengen van het privacyteam? Neem contact met ons op we helpen je graag verder!