Privacy en AI-compliance: voor veel bedrijven voelt het als een juridisch moeras, een verplichte kostenpost. Maar wat als deze verplichting in werkelijkheid een commerciële kans is? Wat als een slimme aanpak niet alleen risico’s verkleint, maar ook je imago versterkt? Het komt aan de orde op 2 oktober, bij het event Privacy Inside van Lefebvre Sdu. Dagvoorzitter Reny Stark geeft alvast enkele adviezen.
Het is helaas geen uniek verschijnsel. Een bedrijf wordt gehackt, en plotseling liggen alle systemen plat. Geen planningen, geen klantgegevens, geen salarisadministratie. Is dat op zich al een reden voor paniek – er komt er nog een bij. “Vaak is dat het moment waarop vastgesteld wordt dat een organisatie niet compliant is”, zegt Reny Stark. “Want jarenlang heeft het allerlei data – personeelsgegevens, klantdata en bedrijfsinformatie – zonder beleid opgeslagen. Die gegevens liggen nu opeens op straat, en wordt het duidelijk dat de organisatie niet weet hoe met een data-incident om te gaan. Op zo’n moment schiet het management helemaal in de stress en wordt de organisatie genoodzaakt te handelen onder hoge tijdsdruk.”
Stark, partner bij TeekensKarstens advocaten notarissen, is als advocaat in privacyzaken gespecialiseerd. En inderdaad, nieuwe cliënten zoeken meestal contact na een data-incident. Qua timing jammer, vindt ze, want zelf geeft ze de voorkeur aan preventie. “Vroeg of laat wordt ook jouw organisatie gehackt. Als je daar niet op bent voorbereid, loop je achter de feiten aan. Je moet financieel investeren in veel negativiteit zoals herstelkosten en schadebeperkende maatregelen adviseurs, én je organisatie lijdt reputatieschade. Het is meer kosten efficiënt om te investeren in compliance en cybersecurity.”
Bovendien biedt compliance volgens Stark nog meer voordelen. “Privacy wordt vaak gezien als een verplichting, niet als een kans. Toch kan het juist een unique selling point zijn. Als advocaat dwing ik mijzelf te verplaatsen in de ondernemer of bestuurder, zodat ik een compliance-traject commercieel en met oog voor de business benader. Zo ontdekte ik bijvoorbeeld voor een franchiseformule hoe zij met een kleine aanpassing in het privacybeleid commercieel sterker werden en aantrekkelijker voor franchisenemers. Ook kan het interessant zijn vanuit het perspectief van goed werkgeverschap en de strijd om talent. Privacy-compliance levert niet alleen veiligheid op, maar kan ook je businessmodel en je imago versterken.”
In kaart brengen
Maar hoe word je compliant? Het probleem is dat veel organisaties geen idee hebben welke data op welke plek zijn terug te vinden. “Er wordt gewoon heel veel data verzameld”, zegt Stark. “Bijvoorbeeld bij sollicitatieprocedures. Als er verschillende gespreksrondes zijn gehouden met meerdere kandidaten, mogen sollicitatiegegevens alleen bewaard worden met expliciete toestemming van de sollicitant, en dan maximaal een jaar. In de praktijk wordt die toestemming niet gevraagd. Een ander struikelblok vormen de personeelsdossiers. Hiervoor gelden verschillende bewaartermijnen, maar veel organisaties bewaren alles minimaal 7 jaar of zelfs voor onbepaalde duur bewaren. Ten slotte zijn er backupsystemen waar verouderde data in blijven opgeslagen. IT-afdelingen focussen zich op nieuwe systemen en vergeten vaak oude data op te ruimen. Daar gaat het dus om in een compliance-traject: die data in kaart brengen en vervolgens opschonen.”
Volgens Stark leidt die opschoning vaak tot verrassende inzichten. “Wat ik vaak tegenkom, is dat autorisaties na functiewisselingen nooit zijn aangepast. Mede daardoor hebben mensen toegang tot systemen waar ze niets te zoeken hebben. Het blijkt bijvoorbeeld dat iedereen bij de klantportfolio’s kan, of dat een secretaresse onnodig inzage heeft in personeelsdossiers van andere afdelingen. Dat heeft soms grote gevolgen. Neem een ontevreden werknemer die data kan misbruiken in geval van een exit. Ook komt het voor dat werknemers een klacht indienen bij de Autoriteit Persoonsgegevens – niet uit bezorgdheid om privacy, maar als wraakactie tijdens arbeidsgeschillen. Wat ik ook tegenkom: werknemers nemen bewust gegevens mee bij ontslag of lekken vertrouwelijke informatie om de werkgever te schaden. Dat kun je allemaal voorkomen door de toegang goed te regelen, niet alleen ten aanzien van persoonsgegevens maar ten aanzien van alle data.”
Voorwaarden
Goed regelen dus – maar hoe doe je dat? Voor Stark begint een succesvol compliance-traject niet op de werkvloer, maar in de boardroom. “Zonder 100% steun van het bestuur is een project kansloos. De reden is eenvoudig: privacy-compliance is onlosmakelijk verbonden met investeringen in cybersecurity. Verder is het de top die processen aan kan passen, want dat vereist budget en mandaat. Die commitment regelen is dus stap 1. Vervolgens formeren we een multidisciplinair projectteam, met medewerkers van cruciale afdelingen zoals IT, HR, Marketing en Finance. Dit heeft een dubbel doel. Ten eerste is het essentieel voor een complete inventarisatie: niemand weet in zijn eentje waar alle data wordt verwerkt en wat de behoefte is vanuit de business, dus je hebt elkaar nodig. Ten tweede creëert het direct draagvlak binnen de hele organisatie. Het team vormt de groep medestanders die het nieuwe beleid niet alleen helpen opstellen, maar het later ook zullen uitdragen en naleven.”
Starks laatste advies: betaal niet dubbel voor privacy- en AI-compliance. “De kans is groot dat je al volop AI gebruikt, misschien zonder dat je het weet, want het zit in je HR-software, je marketingtools en allerlei andere applicaties. Daarom hoort AI compliance een vast onderdeel te zijn van privacy compliance. Toch zijn er adviseurs die ‘AI-compliance’ verkopen als een separaat compliance traject. Trap er niet in en laat AI en privacy compliance zoveel mogelijk gelijktijdig doorvoeren.”
Congres Privacy Inside
Stark organiseert samen met Lefebvre Sdu Privacy Inside, hét event voor AI en Privacy compliance, op 2 oktober 2025 in Breukelen. Volgens Stark is de opzet uniek. “Als mijn cliënten te maken hebben gehad de Autoriteit Persoonsgegevens, willen ze dat op geen enkele wijze naar buiten brengen. Zelfs niet als ze zo’n zaak succesvol hebben afgesloten. Zelfs anoniem delen van lessons learned is vaak al een brug te ver. Het congres brengt hier verandering in: privacy-verantwoordelijken van vooraanstaande bedrijven, waaronder Uber, Marktplaats en WeTransfer, nemen plaats op het podium. Daar vertellen ze openhartig over hun eigen privacy-uitdagingen en de oplossingen die zij vonden. Dat is voor zover ik weet nog niet eerder in zo’n setting gebeurd.
