Luister de aflevering via:
https://www.complianceadviseert.nl/marc-elshof-privacy-in-de-financiele-sector
Welkom bij Compliance Adviseert, met experts, adviseurs, bestuurders en de business bespreken we Risk & Compliance binnen de financiële wereld en alle uitdagingen en dilemma’s die daarbij horen, want voor het juiste en rechte pad bestaat geen navigatiesysteem. Deze podcast wordt mede mogelijk gemaakt door Hyarchis, Partner in Compliance en Deloitte. Je host is Jeroen Broekema.
Jeroen: Welkom, luisteraars, bij een nieuwe aflevering van Compliance Adviseert. Deze week gaat de aflevering over privacy en daar komt heel veel bij kijken, maar we hebben de aflevering privacy genoemd als algemene term. Ik spreek met Marc Elshof, partner bij Dentons Advocaten. Welkom, Marc!
Marc: Dankjewel, leuk om hier te zijn!
Jeroen: Absoluut! Leuk om jou tegenover mij te hebben. We gaan het over heel veel verschillende onderwerpen hebben rondom dat begrip privacy en wat er allemaal bij komt kijken. Specifiek natuurlijk in de financiële sector. Maar voordat we dat doen, vind ik het heel leuk om te weten met wie ik eigenlijk aan tafel zit. Marc, het zou leuk zijn als jij jezelf wil introduceren en iets te vertellen over wat je doet, misschien nog wel iets over jezelf. Maar steek van wal!
Marc: Dankjewel! Nogmaals, het is leuk om hier te zijn. Ik ben Marc Elshof, ik ben inmiddels vijftien jaar advocaat. Ik hou me bezig met technologie, privacy in allerlei sectoren, maar ook veel in de financiële sector. Ik adviseer mijn cliënten bij technologiecontracten, maar met name ook bij al hun privacy uitdagingen. Ik ben enorm privacy enthousiast, dus ik word vrolijk van alle complexe vragen die ze op me afsturen.
Jeroen: Wat maakt jou privacy enthousiast? Daar ben ik wel nieuwsgierig naar.
Marc: Het is een onderwerp dat de laatste 5-6 jaren een enorme vlucht genomen heeft. Daarvoor was het een wat obscuur gebied, waar mensen altijd een beetje meewarig keken als je je daarmee bezig hield. Maar het is iets dat meer en meer ons iedere dag raakt, iedere dag bezig houdt en als je de krant openslaat, kun je niet anders dan erover lezen. Of er weer eens een ransomware aanval is, of een datalek, of nieuwe wetgeving, of klachten over hoe bedrijven omgaan met persoonsgegevens. Dus het is een enorm dynamisch gebied waar heel veel nieuwe wetgeving uitkomt. Daar gaan we over praten, denk ik, in dit gesprek. Dus het is iets heel dynamisch en heel praktisch in de zin dat iedereen er iedere dag mee te maken heeft.
Jeroen: Ja, dat snap ik. Maar jij was er al mee bezig nog voordat het zoveel aandacht kreeg, toch? Dus je vond het al interessant zonder dat iedereen er elke dag mee te maken kreeg?
Marc: Ja, klopt. Hoewel ik er ook wel een beetje – zoals dat wel voor veel privacy juristen geldt – bij toeval ben ingerold. Dit is totaal anders, ik ben toen hier ingerold en het is ook wel een gebied, hoe meer je er over weet en hoe meer je ermee bezig bent, des te interessanter het wordt, des te leuker het wordt. Ook omdat het zoveel raakvlakken heeft met andere gebieden. Het gaat heel erg in op allerlei gebieden. Het is ook wel een gebied, als je er langer mee bezig bent, het ook echt leuker wordt.
Jeroen: Je weet dat ik veel in de financiële sector werk, dus ik kom geregeld ook op de zuidas, waar toch een significant deel van onze financiële sector zit. Dan zie ik altijd dat Dentons daar staat en allemaal Chinese tekens daarachter, wat betekent dat? Ook Dentons in het Chinees? Wat is het eigenlijk?
Marc: Het betekent niet Dentons in het Chinees. Het is wel een aardige vraag, en misschien ook het moment om uit de wereld te helpen dat Dentons een Chinees kantoor is. Dat zijn we niet. We zijn een polycentrisch kantoor, we hebben geen hoofdkantoor, geen dominante cultuur of dominante vlag. Maar die tekens staan inderdaad voor de naam Dentons en dat heeft ook te maken met twee dingen. We waren destijds de eerste grote oost-west fusie van advocatenkantoren en we vonden dat zo belangrijk dat we hebben besloten om de naam ook op te nemen in het dagelijks gebruik. Daarnaast geldt ook dat de Chinese wetgeving vereist dat, als een buitenlands kantoor praktijken uitoefent in China, dus de naam van het Chinees kantoor ook in de naam opgenomen is.
Jeroen: Dus het is een andere naam? Hoe spreek je het uit? Weet je dat?
Marc: Daar ga ik me niet aan wagen!
Jeroen: Dat zullen we nog een keer doen. Denk je dat het ook andersom zal zijn, dat in China bijvoorbeeld het woord ‘Dentons’ er weer achter staat? Of weet je dat niet?
Marc: Ja, dat is zo. We hebben gewoon wereldwijde brand guidelines.
Jeroen: Een prachtig woord, trouwens, een polycentrische aanpak daar. Privacy, het is een begrip wat natuurlijk constant gebruikt wordt. Je zei het zelf ook al. Je kan geen krant opendoen of het gaat erover. Maar zullen we dat eens even gaan ontleden en even begrijpen, even enigszins definiëren van waar we het eigenlijk over hebben, als het over privacy gaat? Kan jij allereerst zeggen waar het begrip vandaan komt en waar het gebruikt wordt? Hoe wordt het verkeerd gebruikt?
Marc: Iedereen heeft het over privacy, dat is in het spraakgebruik prima en dat is inderdaad wat er gebeurt. Maar strikt genomen, juridisch moet je twee dingen onderscheiden: privacy en de bescherming van persoonsgegevens. Het zijn allebei grondrechten, maar het zijn twee aparte grondrechten die natuurlijk veel met elkaar samenhangen. Maar privacy is meer, privacy is niet alleen maar de persoonsgegevens zoals je naam en je e-mailadres. Maar het is ook dat je thuis thuis bent en dat de overheid niet zonder meer je huis binnen mag komen. Dat jouw brieven niet mogen worden geopend, dat je e-mail niet mag mogen gelezen door de overheid, bijvoorbeeld, of door andere bedrijven. Dat is privacy en dat is dus breder dan enkel de bescherming van persoonsgegevens. En het zijn allebei grondrechten, ze staan beide in het handvest van de grondrechten van de Europese Unie. Daarnaast, en dan gaan we het specifiek hebben over het beschermen van persoonsgegevens, is er een set wetgeving die dat reguleert. De meeste luisteraars zullen bekend zijn met de AVG, de Algemene Verordening Gegevensbescherming, of heel vaak ook GDPR genoemd, ook in Nederland. Dus de General Data Protection Regulation. Dat is het belangrijkste stuk wetgeving binnen de Europese Unie. Maar dat is niet het begin. Voor de AVG was er al de privacy richtlijn die in de verschillende lidstaten was geïmplementeerd. Dat is ook weer gebaseerd op internationale verdragen. Je hebt bijvoorbeeld de Convention 108 van de Council of Europe, waarin eigenlijk alle beginselen van wetgeving, ook bescherming van persoonsgegevens, staan opgenomen en die ook buiten de Europese Unie heel veel invloed heeft op hoe wereldwijd wetgeving op dit gebied wordt gemaakt.
Jeroen: Als je die privacy en die bescherming persoonsgegevens hebt, en je hebt het over GDPR, gaat die dan alleen maar over één van de twee?
Marc: Ja, dat klopt. Dus de GDPR gaat alleen maar over de bescherming van persoonsgegevens.
Jeroen: Helder.
Marc: Je hebt dus die Convention 108, daarnaast heb je ook van de OECD richtlijnen over hoe overheden moeten omgaan met wetgeving rondom data doorgiftes tussen landen. Daar staan de beginselen in en die worden gebruikt door wetgevers over de hele wereld om hun wetgeving te maken. Je ziet overigens ook dat meer en meer landen wetgeving invoeren op dit gebied en daar heel vaak ook AVG als basis voor nemen. Je ziet dat de Europese Unie echt een gidsland is op dat gebied.
Jeroen: Dat is interessant, dus Europa is echt leidend in de wereld? Of is er ook een vergelijkbare wetgeving eerder in de VS geweest, bijvoorbeeld?
Marc: Nee, zeker niet. Je ziet dus inderdaad dat heel veel landen, bijvoorbeeld op het Afrikaanse continent, wetgeving op het gebied van bescherming van persoonsgegevens invoeren. Dat zijn vaak bijna kopieën van de AVG, wat weer tot allerlei eigen problemen leidt omdat de AVG natuurlijk ingebed is in een bepaalde historie in Europa. Het heeft een bepaalde achtergrond met de grondrechten waar het ontstaan is. Die historie is er niet in zo’n land dat de AVG kopieert. Dus je ziet dat het weer tot allerlei uitvoeringsproblemen leidt. Om even terug te gaan naar Nederland, naar de Europese Unie, je hebt daarnaast specifiek voor Nederland de uitvoeringswet AVG. De AVG is uiteindelijk een politiek compromis, “Laat op punten ruimte voor lidstaten om beperkte aanpassingen te doen of invullingen te doen van open normen in de AVG.” Dat doet de UAVG, daar wordt ook de Autoriteit Persoonsgegevens in opgericht. Er is een toezichthouder. Daar staan ook deels de bevoegdheden in van de toezichthouder. Dus dat heb je, en daarnaast heb je – dat is heel belangrijk – rechtsspraak van het Europese Hof van Justitie, dat de AVG is zoals zoveel wetgevingen, het zijn open normen. Die moeten worden ingevuld, rechters zijn daar heel belangrijk bij. Dat gaat om een Europese verordening die binnen de hele EU geldt. Je ziet dat het Europese Hof daar ook een functie heeft om verschillen tussen lidstaten te beperken. En je hebt daarnaast ook nog de richtlijnen van de toezichthouders. Je hebt een koepel van toezichthouders, the European Data Protection Board. Die board bestaat uit afgevaardigden van de nationale toezichthouders. De board, EDPB vaak genoemd, geeft richtlijnen uit waarin zij normuitleg geven over hoe zij vinden dat bepaalde aspecten van de AVG moeten worden uitgelegd. Dat is van een toezichthouder, dus dat is niet een rechter, dat is niet de wetgever. Dus je moet dat altijd kritisch bekijken, maar het geeft wel veel gewicht, ook omdat het de basis is voor de handhaving.
Jeroen: Je geeft een aantal routes waar ik even in wil. Eerst die open normen, zijn die open normen nou ook dan nog afwijkend per land? Worden die afwijkend ingevuld? Want de rechterlijke invulling gebeurt wel Europees. Maar je zegt eigenlijk met zoveel woorden – even mijn eigen woorden – dat er best nog wat ruimte zit per land.
Marc: Ja en nee. De AVG is voor 98% een Europese verordening waar open normen in staan en waar op zich geen ruimte is voor lidstaten voor af te wijken. Maar waar je wel ziet dat toezichthouders de accenten anders leggen. Daar kunnen we misschien zo meteen over doorspreken. Daarnaast heb je dus de punten waarin de AVG zelf zegt, “Lidstaten, u kunt hier een keuze maken uit het keuzemenu of u kunt daarvan afwijken in uw lokale wetgeving.” En daar zie je het verschil, dat zag je bijvoorbeeld sterk naar voren komen in de afgelopen paar jaar met alle covid-maatregelen. Heel veel werkgevers wilden bijvoorbeeld de temperatuur meten van hun werknemers of andere medische gegevens verzamelen van hun werknemers, “Heeft u covid, ja of nee?” Eén van de mogelijkheden die in de AVG bestaat is dat in de nationale wetgeving kan worden opgenomen dat het mogelijk is om gegevens rond gezondheid te verwerken in dit soort situaties. Niet in Nederland. Dus de Nederlandse wetgeving heeft ervoor gekozen om dat niet te doen, maar andere lidstaten wel. Dus daar zag je een verschil ontstaan, in land A mocht het wel en in land B niet omdat zij dus de AVG op een andere manier hadden geïmplementeerd in hun lokale wetgeving.
Jeroen: Dat wil je natuurlijk niet, vanuit Europees opzicht bekeken. Want het is natuurlijk een verordening, dus het is gewoon een wet en het is geen EU-directive waar veel meer – dat hebben we natuurlijk altijd gezien bij die directives waar heel veel verschillende implementaties plaatsvinden in de lokale of nationale wetgeving, dus dat wil je niet.
Dit is Compliance Adviseert.
Jeroen: Wat ik interessant vind is die reikwijdte. Je zei, “Het is echt een Europees project wat drijvend is in de wereld. Het eerste wat op zo’n grote schaal dit uitrolt en daardoor ook andere landen gaan volgen.” Je gaf Afrika als voorbeeld. Maar betekent het net zoals in Amerikaanse wetgeving, waar het heel vaak extraterritorial reach heeft, dat het voor de GDPR ook geldt?
Marc: Zeker, ja. Dat is overigens niet nieuw, ook de voorloper, de privacy richtlijn, kende al een zekere extraterritoriale reikwijdte. Maar dat is in de AVG wel veranderd en wat breder geworden. De AVG is uiteraard van toepassing als een bedrijf in een Europese lidstaat is gevestigd en daar persoonsgegevens verwerkt. Maar de AVG is ook van toepassing als je als bedrijf van buiten de Europese Unie je diensten of producten op consumenten (betrokkenen in AVG-termen) richt. Dus het is niet voldoende dat ik bij een Amerikaanse e-commerce winkel iets kan kopen. Daarmee is niet per se de AVG van toepassing. Maar als zo’n Amerikaans bedrijf reclame maakt gericht op Nederlanders, en misschien hun helpdesk heeft in het Nederlands, of je kan in euro’s betalen, dat zijn allemaal aanwijzingen die zeggen, “Je richt je op de Europese markt en het moet een level playing field zijn, dan moet je ook voldoen aan de Europese wetgeving.” En de derde mogelijkheid is als je als bedrijf de gegevens van mensen in de unie monitort. Bijvoorbeeld cookies, maar ook als ik een fitness device heb dat mijn bewegingen terwijl ik hier ben volgt.
Jeroen: Helder. En als je dat even toepast op de financiële wereld, als je financiële producten aanbiedt in Nederland, zit je dan per definitie onder deze wetgeving of kan dat ook nog zonder marketing betekenen dat je er niet onder valt?
Marc: Lastig, omdat je vaak een vergunning nodig hebt. Dus je zult toch iets moeten hebben van een aanwezigheid in Nederland. Dus ik denk dat je al vrij snel je ook gaat richten op de Nederlandse markt, anders ga je geen vergunning aanvragen.
Jeroen: Ik denk vooral ook aan al die crypto-aanbieders, die toch wel vrij veel in het nieuws zijn de laatste tijd.
Marc: Dat ligt er dus een beetje aan. Dat is niet helemaal mijn gebied, maar als zij niet onder een vergunning zouden vallen en ze zitten gewoon buiten de Europese Unie en ze richten zich niet specifiek op de Europese Unie, dan zou het kunnen. Maar ik denk dat je al vrij snel moet zeggen dat je reclame maakt gericht op mensen in de Europese Unie, en dan val je onder AVG.
Jeroen: Kan je een assessment maken van de impact van de AVG tot nu toe? Hoeveel jaar is die nu officieel?
Marc: Bijna vijf jaar.
Jeroen: Heb je daar een beeld bij hoeveel impact die heeft? Misschien kun je het structureren, zijn er veel boetes geweest? Dat is gewoon een hele praktische, meetbare kant. Tot aan: het heeft misschien niet meteen boetes, maar het heeft indirect heel veel gevolgen?
Marc: Beide. Je zag in de eerste paar jaar dat toezichthouders zich vooral richtten op uitleg, normuitleg en bedrijven nog een beetje de kans gaven om te voldoen. De AVG geldt vanaf mei 2018, maar twee jaar daarvoor is die gepubliceerd, dus bedrijven hadden twee jaar om hun processen aan te passen. Zoals het altijd gaat met deadlines kreeg je op 24 mei 2018 nog allerlei belletjes met, “Help, we willen compliant zijn.” Dus je zag ook wel dat toezichthouders die eerste twee jaar daar door de bank genomen wat coulanter mee omgingen. Ook omdat onderzoek veel tijd kost, het moet zorgvuldig gebeuren, dus het kost gerust één of twee jaar om een goed onderzoek te doen. Maar de laatste paar jaar zie je toch wel echt dat er fors meer boetes worden uitgedeeld. Zeker wekelijks hoor je of lees je wel iets over een forse boete.
Jeroen: Die worden allemaal gepubliceerd?
Marc: De meeste wel, al dan niet geanonimiseerd, maar de meeste boetes worden gepubliceerd. In de Europese Unie is er bijna wekelijks wel een noemenswaardige boete.
Jeroen: In de financiële sector?
Marc: Ook, niet meer of minder dan andere sectoren. Met name de tech sector ligt natuurlijk onder het vergrootglas. De usual suspects. De financiële sector verwerkt natuurlijk vaak veel gevoelige gegevens van hun consumenten, daarmee lig je wat meer onder het vergrootglas. Compliance is dus belangrijk, maar van de statistieken die ik heb gezien is het niet zo dat het er met kop en schouders bovenuit steekt.
Jeroen: Wanneer word jij er meestal bijgehaald?
Marc: Dat verschilt heel erg. Ik hoop altijd zo vroeg mogelijk. Dat zie je ook meer en meer. Je ziet ook meer en meer dat bedrijven volwassen worden, dat dit een volwassener onderdeel wordt van een brede compliance strategie binnen een onderneming. Dus ik word vaak betrokken bij, “We willen een nieuw product ontwikkelen” of “We willen überhaupt ons compliance framework tegen het licht houden.” Dat is vaak in de voorfase, meer adviserend. Ook wel in onderhandelingen, zeker bij grote contracten met IT-leveranciers bijvoorbeeld. Dan zit er ook een heel groot data aspect aan. Dus in die rol word ik vaak betrokken, en ook wel als het misgaat.
Jeroen: Bijvoorbeeld bij een datalek?
Marc: Een datalek, een onderzoek van de toezichthouder.
Jeroen: We zullen het straks nog even over die toezichthouders hebben, nog even over jouw rol. Word jij dan meestal ingehuurd door de legal afdelingen, of word je ook wel bijvoorbeeld door head of compliance gevraagd om dit te doen?
Marc: Beide. Dat ligt heel erg aan de structuur van een bedrijf. Bij het ene bedrijf zit privacy in legal, bij een ander in compliance, of het is echt een separate afdeling. Ik word ook wel door de business zelf gevraagd, “Kun je meedenken?” Maar het is eigenlijk meestal legal of compliance.
Jeroen: Ik ben benieuwd of je op deze vraag antwoord gaat geven: Als je naar de financiële sector in Nederland kijkt, heeft die het een beetje op orde, op privacy en AVG-gebied?
Marc: Voor zover ik kan zien, in het algemeen wel. Financiële instellingen zijn over het algemeen natuurlijk bedrijven die zich heel erg bewust zijn van hun rol in de samenleving. Waarvoor compliance al jarenlang een belangrijk aspect is. Ze zijn ook van de vergunningen, DNB-toezicht, AFM-toezicht. Dus over het algemeen hebben die het behoorlijk op orde.
Jeroen: Je hebt ze al een paar keer benoemd, de toezichthouders. Kan je nog even schetsen, de Autoriteit Persoonsgegevens is natuurlijk heel belangrijk, maar wat is de rol van de andere toezichthouders?
Marc: Als het gaat om handhaving van de AVG is de AP de enige toezichthouder. Die is bevoegd om de AVG te handhaven. Maar je ziet dat er wel samenwerking is. Toezichthouders kunnen onderling tips uitwisselen, ze kunnen samenwerken. Je ziet ook dat de financiële toezichthouders ook meer aandacht voor data hebben. Dan niet zozeer vanuit de AVG, maar wel over wat het betekent voor het financiële systeem. Dan heb ik het over outsourcing, wat betekent het voor de continuïteit van het financiële systeem als een grote bank of verzekeraar een belangrijk proces uitbesteedt? Hoe zit het dan met toegang tot data, de beveiliging van de data? Dus daar zie je dat zeker DNB ook bijvoorbeeld guidelines daarover heeft uitgebracht.
Jeroen: Als je naar die toezichthouders kijkt, dan zijn er aan de privacy ook conflicterende belangen, neem ik aan? Het onderwerp waar wij veel mee doen is natuurlijk de hele witwasproblematiek. Daar hoor ik in ieder geval altijd dat er veel strijd is tussen aan de ene kant de Wwft en bijvoorbeeld de AVG. Wat mogen toezichthouders, maar ook de hele strafrechtketen, met elkaar delen? Dat voorbeeld komt jou waarschijnlijk bekend voor, maar zijn er veel van dat soort botsende belangen rondom de AVG?
Marc: Je hebt inderdaad de Wwft, de hele witwasproblematiek is natuurlijk heel actueel. Met de transactiemonitoring-wetsvoorstel waar je ziet dat de AVG, maar overigens ook de Raad van Staten, heel kritisch waren over dat wetsvoorstel. Ik weet niet of dat nou per se een conflicterend belang is met een andere toezichthouder, maar je ziet daar wel dat de AP heel erg kijkt vanuit de AVG en zegt, “Overheid, wat u hier wil doen, daar moeten we nog eens goed over nadenken of dit nou wel zo proportioneel is en of we hier niet een te zwaar middel op het probleem neer laten dalen.”
Jeroen: Ja, maar ik kan me voorstellen dat er toch ook wel meer plekken zijn waarbij misschien de AFM of DNB bepaalde dingen wel wil toestaan als het gaat om innovatie met fintech, maar dat de AP zegt, “Dat kan helemaal niet.” Of valt dat mee?
Marc: Dat valt wel mee. De AP adviseert over wetgeving en daar zie je dat ze vaak kritisch zijn over wat de wetgever wil ten aanzien van persoonsgegevens die ze daarvoor willen verwerken. Maar verder kijken ze er toch heel erg per geval naar en kijken ze naar het bedrijf dat gegevens verwerkt. Daar kunnen ze kritisch zijn, maar ik zie dat niet heel erg als een conflict met andere toezichthouders.
Jeroen: Ze geven natuurlijk ook boetes aan overheidsinstellingen.
Marc: Ja, zeker. De belastingdienst heeft een aantal boetes gekregen.
Jeroen: Zouden ze theoretisch ook een boete kunnen geven aan een andere toezichthouder? Kunnen ze een boete geven aan DNB of AFM?
Marc: Ja, dat kan.
Jeroen: Dat is nog niet gebeurd, geloof ik?
Marc: Nee, dat is niet gebeurd.
Jeroen: Niet heel waarschijnlijk, maar who knows?
Je luistert naar Compliance Adviseert.
Jeroen: We hebben het gehad over de hele AVG, waar het tot problemen kan leiden, risico’s en boetes en dat soort dingen. Maar biedt het ook kansen voor financiële instellingen?
Marc: Ja, ik denk het wel. Dat is ook iets wat ik meer en meer merk bij bedrijven, dat ze ook die kansen zien, kansen opzoeken. Als je privacy – of bescherming persoonsgegevens, laten we het gewoon privacy noemen, dat is makkelijker – alleen als compliance ziet, dat is een kostenpost. Dan is het, “We moeten weer dit en we moeten weer dat. Het mag niet van de AVG.” Maar als je het als kans ziet, dan heb je in ieder geval drie elementen die heel erg positief zijn voor bedrijven. Het is meer grip op gegevens die je hebt, betere controle. Wat ook voor financiële instellingen heel belangrijk is.
Jeroen: Heb je daar een voorbeeld van, wat je daarmee precies bedoelt?
Marc: Bijvoorbeeld als jij beter weet wat voor gegevens je hebt, dan kun je ook beter analyses daarop loslaten. Dus als jouw database up to date is, weet je beter wat je hebt en kun je beter plannen maken over welke producten misschien interessant zijn voor klanten. Daarnaast kun je je ook onderscheiden van je concurrenten. Er zijn natuurlijk voorbeelden, met name in de technologiesector van bedrijven die zich proberen te onderscheiden door te zeggen, “Wij zijn de privacy-vriendelijke concurrent. Wij zijn een alternatief voor andere bedrijven.” Apple heeft daar sterk op ingezet. Daar kun je van alles van vinden, maar ze leveren hoe ze het presenteren. Qua browser bijvoorbeeld DuckDuckGo, “Wij zijn het privacy-vriendelijke alternatief voor Google.”
Jeroen: Dat is zelfs hun cruciale USP, daar zetten ze helemaal op in?
Marc: Klopt, ja. Dat zie je aan die tech-sector. Ik heb het nog niet zo sterk gezien in de financiële sector. Ook misschien omdat het bij alle bedrijven wel– Ze vinden het wel belangrijk, natuurlijk. Het gaat om vertrouwen. De financiële sector draait om vertrouwen. Maar goed, dat is in zijn algemeenheid dus wel iets waar je je kan onderscheiden van concurrenten door te zeggen, “Waar de ander dat misschien minder belangrijk vindt, is het voor ons echt de kern van ons aanbod.”
Jeroen: Je had nog een derde? Grip was één.
Marc: Het tweede was inderdaad die betere data, betere analyses. En de derde, je kunt je onderscheiden van anderen in de markt.
Jeroen: Ik heb het inderdaad ook nog niet echt in de financiële sector gezien. Het wordt gezien door veel mensen als een soort hygiëne factor, dat heb je gewoon sowieso. Terwijl het misschien, als klanten nog meer geïnformeerd zouden zijn, weleens meer een issue zou zijn als ze denken.
Marc: Ja, ik denk ook dat je een onderscheid moet maken tussen de traditionele financiële instellingen, de incumbents versus technologiebedrijven die zich in de financiële sector gaan begeven. Fintechs die vaak nog voortkomen uit financiële instellingen, maar je kunt je natuurlijk ook voorstellen dat het juist technologiebedrijven zijn die deze sector interessant vinden en de overstap wagen.
Jeroen: We hadden in de financiële sector een aantal jaar geleden – misschien is het al langer geleden – ik kan me nog herinneren dat de ING data wilde gaan inzetten. Ik weet niet meer precies waar het over ging, ze wilden heel veel data gaan gebruiken van klanten en dat verrijken. Er zijn zelfs partijen die zeggen, “Als je mij de data geeft, krijg je daar misschien zelfs een financiële kickback op, als je dat met mij deelt.” Maar dat is iets waar daarna zich niet veel financiële partijen aan gewaagd hebben.
Marc: Ik denk dat het iets te gevoelig ligt in de markt op dit moment.
Jeroen: Kan je dat concreet maken? Wat bedoel je daar precies mee?
Marc: Ik denk dat consumenten zich niet prettig voelen bij het idee dat een bank – en je kunt niet zonder een bank; je moet een bankrekening hebben – voor hun gevoel al hun betalingen gaat doorspitten om te kijken, “Waar kan ik je een mooie aanbieding doen?”, en dat dat in de praktijk niet iets is waar iemand dat doet, omdat het allemaal softwarematig is. Dat is niet zo relevant voor het gevoel dat mensen daarbij hebben.
Jeroen: Want je deelt met je bank ongekend veel informatie. Ik opende laatst een heel rechttoe rechtaan Bv’tje, en ik moet al zeventien documenten opleveren van statuten tot KVK tot mijn ID-bewijs, zo kan ik doorgaan. Ik geloof dat het er zeventien waren. Dat zijn heel veel documenten. Dus die banken zitten op ongekend veel informatie.
Marc: Zeker. Wat je nu beschrijft, dat heeft dus ook te maken met dat anti-witwassen. De grootste set data zijn onze dagelijkse betalingen.
Jeroen: Absoluut.
Marc: Je noemde net al eventjes de AP en ook de Raad van Staten die kritiek heeft op dat wetsvoorstel transactiemonitoring. Dat zit precies hier op, dat alle betalingen boven de 100 € worden gemonitord. Het is dus echt niet zo dat daar iemand overheen aan het klikken is, maar het gevaar dat wordt gesignaleerd is dat het kan leiden tot onterechte signaleringen, dat hebben we allemaal gezien met de toeslagenaffaire, wat er dan mis kan gaan. Maar dat is dus het risico en dat is de grootste dataset die banken hebben.
Jeroen: Wat ik ook heel interessant vind, dat is zeker een hele grote dataset, en dan combineer je dat nog bijvoorbeeld met een hypotheekaanvraag, dan moet je waarschijnlijk nog meer documenten aanleveren. Ik denk dat een gemiddelde bank waar ik iets doe dermate veel van mij weet dat zij bijvoorbeeld ook heel goed kunnen inschatten wat het risico is op bijvoorbeeld een lening. Maar ook – en dat vind ik nog veel interessanter/enger – of ik wel of niet een hoge verzekeringspremie moet gaan betalen voor welke vorm van verzekeren dan ook. Dus data moet ook binnen die bank, die vaak ook verzekeringsbedrijven daaraan vast hebben zitten of gecombineerd, gescheiden blijven, of niet?
Marc: Dan kom je terug bij de beginselen van AVG, dat is één van de kernbeginselen van doelbinding. Als ik gegevens voor doel A verzamel, dan mag ik die gegevens niet zonder meer gaan gebruiken voor doel B. Ik moet de betrokkene, de consument, degene van wie de gegevens zijn of over wie de gegevens gaan informeren waarvoor ik die gegevens wil gaan gebruiken. Dan moet ik transparant doen. Hoe gevoeliger die gegevens, hoe gevoeliger het gebruik ervan, des te zwaarder die transparantieplicht is, des te meer eisen eraan worden gesteld.
Jeroen: Als het bijvoorbeeld medisch wordt, bijvoorbeeld een overlijdensrisicoverzekering.
Marc: Bijvoorbeeld, maar bijvoorbeeld ook financiële gegevens. Het zijn in AVG-termen reguliere persoonsgegevens, maar ik denk dat jij en ik het allebei als wat gevoeliger zien dan onze naam of ons e-mailadres of onze geboortedatum. Dat kan ook heel gevoelig liggen, maar financiële gegevens voelen mensen over het algemeen als heel erg persoonlijk.
Jeroen: Mag je dat nou bijvoorbeeld als bank wel weer geaggregeerd gebruiken?
Marc: Dat is niet zo zwart-wit te zeggen. Persoonsgegevens zijn gegevens die gaan over een persoon die is geïdentificeerd of kan worden geïdentificeerd. Zodra gegevens anoniem zijn, dus niet meer te herleiden tot de persoon, valt het niet meer onder AVG en mag je ze dus gebruiken. Alleen ligt die drempel heel erg hoog.
Jeroen: Maar bijvoorbeeld, ik zit nu hardop te denken, ik heb als bank in een bepaald postcodegebied 2000 klanten en ik weet dus als de kans op default in dat postcodegebied veel hoger of veel lager is dan een ander postcodegebied, mag ik dat gebruiken, denk je?
Marc: Dat ligt eraan waar je het voor gaat gebruiken.
Jeroen: Bijvoorbeeld ik ga uitlenen, hoeveel rente ik ga vragen voor leningen in dat gebied als één datapunt.
Marc: Ik denk dat het gebeurt, bij autoverzekeringen bijvoorbeeld. Dat is per postcode afhankelijk wat je premie is.
Jeroen: Dat is natuurlijk heel boeiend, zeker in die wereld. Je zit op zoveel data, als je dat nog combineert met allerlei publieke data die je kan vinden of semipublieke data vanuit social media, bijvoorbeeld. Mijn LinkedIn-gedrag kan ook best wel veel zeggen over hoe groot de kans is dat ik ga defaulten op een lening of dat ik een verzekering ga misbruiken of anderszins.
Marc: Ja, ik denk als je die kant opgaat, dat je al vrij snel aan toestemming zit. Dus de AVG vereist dat je altijd iedere verwerking om een bepaalde grondslag brengt. Eén van die grondslagen is toestemming. Nu is het zeker niet zo dat alles op basis van toestemming moet, in tegendeel zou ik haast willen zeggen. Maar zodra het gaat over, “Ik ga heel veel verschillende databronnen van jou combineren en daar ga ik een profiel van maken van jou”, dan kom je al vrij snel in de richting van, “Dan moet je het daar wel actief mee eens zijn, actief mee hebben ingestemd.”
Jeroen: We hebben de afgelopen tien jaar ook in Nederland heel veel fintech gezien, je had veel disruptieve fintech, nu heb je veel meer enabling fintech. Die worden vaak ook door de bestaande partijen, verzekeraars, banken en anderen ingezet om stukjes van die keten voor hen te doen, als enabling fintech. Is dat nou een hoek waar veel toestemming voor nodig is? Bijvoorbeeld ik doe een hypotheekaanvraag bij een bank en aan de achterkant worden bepaalde dingen verwerkt door een hele andere partij. Je hebt Quion en Stater, en dat soort partijen, dat is misschien niet echt fintech, maar wat meer incumbent. Maar ook fintechs doen weer bepaalde scores voor banken, hoe zitten we daar qua privacy?
Marc: Nee, ik denk niet dat daar per se toestemming voor nodig is in zijn algemeenheid. Binnen de AVG heb je twee hoofdrollen. Je hebt de verwerkingsverantwoordelijke en je hebt de verwerker. De verwerkingsverantwoordelijke is de partij die in AVG-termen het doel en de middelen vaststelt. Dat is de partij die bepaalt waarom bepaalde gegevens worden verwerkt en hoe dat gebeurt. Dan heb je de verwerker, dat is een partij die buiten de verantwoordelijke staat en die in opdracht en op instructie van die verantwoordelijke een deel van de verwerking op zich neemt. Een standaard voorbeeld is het bedrijf dat voor een werkgever de salarisstrookjes maakt en berekent hoeveel belasting moet worden betaald bij een werknemer. Maar bijvoorbeeld ook de cloud opslag provider, dus Google, Amazon, Microsoft, die dus cloud opslag aanbieden. Dat zijn verwerkers voor bedrijven die de serverruimte inhuren. Dat zie je in die keten veel gebeuren, dat er dus sprake is van verwerkers die in opdracht van een bank of een verzekeraar een deeltje van die verwerking op zich nemen zonder de gegevens voor hun eigen doeleinden te gebruiken.
Dit is Compliance Adviseert.
Jeroen: Als ik hoofd compliance zou zijn van bijvoorbeeld een bank wederom, dan zou ik toch best wel zenuwachtig worden van data die extern gaat. Ik noem maar wat, alle data die in CRM-systemen worden gezet waar je een eenmalige subscription hebt als bank om de software te gebruiken van die partij. Daar zou ik best zenuwachtig van worden.
Marc: Dat is misschien wel goed. Het kan risicovol zijn. Ik noemde het eerder al, dat DNB daar dus ook kritisch op is. DNB heeft richtlijnen voor uitbesteding en wat je allemaal moet regelen in zo’n contract, maar ook dat je een due diligence moet doen op je uitbestedingspartners en hoe je omgaat met exits, je business continuity planning, wat gebeurt er als een bedrijf omvalt?
Jeroen: Doe maar eens een due diligence op Amazon Web Services’ succes.
Marc: En dan is het ook nog vaak dat een bank of een verzekeraar niet rechtstreeks met AWS contracteert, maar een software product afneemt waarbij die provider verder in de keten AWS als voorbeeld gebruikt. Dat betekent dus dat grip op outsourcing heel erg belangrijk is. Niet alleen uit AVG, maar ook vanuit financiële wetgeving bezien. Dus je ziet ook dat banken en verzekeraars en pensioenfondsen daar enorm mee bezig zijn en daar heel veel aandacht aan besteden om te zorgen dat die contracten kloppen en dat ze de juiste controles hebben om ervoor te zorgen dat hun dienstverlening door kan gaan.
Jeroen: En gewoon het opslaan van je data, je haalde het net al even aan, gewoon de clouddiensten, de grootste partijen zitten volgens mij – zover ik weet – nog steeds in Amerika. In ieder geval voor ons deel van de wereld. Is dat iets waar je je zorgen over moet maken? Hoe kijken de toezichthouders daarnaar? Vorige week aan de telefoon en in ons voorgesprek zei je, “Daar kan ik wel een paar dagen over praten”, maar ik ben toch wel even nieuwsgierig om dat samen te vatten in een paar minuten.
Marc: Het is misschien goed om even een stap terug te doen naar de AVG. AVG heeft twee hoofddoelen, ten eerste een hoog niveau van bescherming van persoonsgegevens en ten tweede, een even belangrijk doel, is het stimuleren van een vrij verkeer van persoonsgegevens binnen de Europese Unie. Dus de Europese Unie is een veilige haven en binnen de landen van de EU mag je als bedrijf vrijelijk persoonsgegevens doorgeven en landen mogen ook geen drempels opwerpen. Daarbuiten is het anders. Ik zeg vaak in het Engels dat het een ‘world garden’ is en als jij buiten de Europese Unie gegevens wil opslaan of wil delen met een partij buiten de Europese Unie, dan moet je aanvullende waarborgen treffen. Daar is de afgelopen paar jaar heel veel over te doen geweest, ingegeven door een rechtszaak van meneer Schrems. Er was een privacy shield, er was een manier waarop Amerikaanse bedrijven konden aantonen dat ze een voldoende waarborg boden en dan mocht je als Europees bedrijf zonder aanvullende garanties die gegevens delen met dat bedrijf. In een rechtszaak die meneer Schrems heeft aangespannen…
Jeroen: Was dat die Oostenrijker? Was het dat verhaal?
Marc: Een Oostenrijker, ja. Toen heeft het Europese Hof gezegd, “Dat halen we onderuit.” Er zijn nog andere manieren om gegevens door te geven, bijvoorbeeld op basis van de standard contractual clauses. Dat zijn standaard contracten door de Europese Commissie opgesteld en als je die als data exporter en data importer tekent, mag je ook gegevens doorgeven. Het Europese Hof zei, “Die mogen blijven bestaan, die zijn op zich geldig. Maar de data exporteur moet per doorgifte bekijken of het land waar de gegevens heengaan voldoende waarborgen biedt.” Wat tot een heel circus leidde, want je moest een local law assessment gaan doen, kijken wat de risico’s zijn en je zag dat dat debat steeds verder polariseerde tot het niveau dat in verschillende landen in de Europese Unie de privacy toezichthouders zeiden, “Überhaupt iedere gegevensdoorgifte naar de VS mag niet.” Dat is wat mij betreft niet wat het Europese Hof gezegd heeft, dat is ook niet zoals de AVG wat mij betreft werkt, want je moet kijken naar de risico’s verbonden aan die specifieke doorgifte. En de aanname van die toezichthouders is dat de Amerikaanse inlichtingendiensten alle gegevens van Europese burgers bekijken. Net zoals de Europese diensten, terwijl dat helemaal niet zo is, denk ik. Daar hebben ze helemaal niet de capaciteit voor. Maar in bepaalde gevallen zeker.
Jeroen: Maar waar slaan ze dan toch een beetje door?
Marc: Dat is een goede vraag. Misschien moet ik even mijn gedachten afmaken. Als het gaat om werknemersgegevens, Amerikaanse diensten, net als de AIVD’s, zitten helemaal niet te wachten om dat soort gegevens te gaan bekijken. Er is helemaal geen aanleiding voor om dat structureel te doen. Dat is ook wat ik begrijp van mijn collega’s in Amerika, dat is helemaal niet waar de NSA mee bezig is. Ik kan mij niet aan de indruk onttrekken dat er ook een zekere politieke motivering achter zit. Er is natuurlijk heel veel sprake van, “We willen tegengewicht bieden aan big tech, we willen een Europese cloud en we willen ook dat er een volwaardig alternatief komt in de Europese Unie voor de grote tech bedrijven.” Dat zeggen ze natuurlijk niet, maar het gevoel leeft wel dat dat zeker een rol speelt.
Jeroen: Waar staan we nu precies op dit moment? Nog steeds daar of zijn we een stap verder?
Marc: We zijn zeker een stap verder. De Amerikanen en de Europeanen hebben een nieuw EU/US data privacy framework uit onderhandeld, waar er dus ook door de Amerikanen aanvullende waarborgen worden geïmplementeerd. De Europese Commissie heeft nu een draft adequacy decision uitgebracht. Dat is ook goed om te zeggen, één van de manieren om gegevens buiten de Europese Unie te kunnen brengen is als de Europese Commissie zegt, “Dat land biedt een adequaat niveau van gegevensbescherming.” Wat nu dus de Europese Commissie zegt in een conceptbesluit is, “Voor bedrijven die zich certificeren voor dat EU/US privacy framework geldt Amerika als adequaat.” En het gaat nog verder: Die wetgeving geldt ongeacht of een bedrijf is gecertificeerd. Dus de diensten zullen zich er altijd aan houden, het kan ook bijdragen bij de beoordeling als je bijvoorbeeld de standard contractual clauses gebruikt bij jouw beoordeling of je mag doorgeven of niet. Daar staan we nu. Dus dat concept is uitgebracht, er moeten nu allerlei partijen hun mening daarover geven en de verwachting is dat in het tweede kwartaal van dit jaar dat besluit definitief zal worden genomen. Dus wat mij betreft is dat goed nieuws. Ik denk dat een gezonde dosis realisme in dit debat belangrijk is. Ik denk dat de zorgen aan beide kanten reëel zijn. Aan de ene kant wil je voorkomen dat buitenlandse overheden of überhaupt overheden te grote toegang hebben tot gegevens van burgers. Dat is een hele reële en belangrijke waarborg. Aan de andere kant zijn er ook allerlei bedrijven die gewoon zaken willen doen en die internationaal opereren, die misschien een hoofdkantoor hebben in de VS. Ik sprak een jurist van een grote bank in Nederland en zij zei, “Als wij stoppen met doorgifte naar de VS, loopt het financiële systeem in Nederland gevaar.” Er zijn ook allerlei belangen die je moet meewegen. Dus mijn hoop is dat dit jaar dat debat wat minder gepolariseerd wordt en dat we naar een oplossing toewerken. Of dat gebeurt is de vraag, meneer Schrems heeft al aangekondigd om het nieuwe besluit van de Europese Commissie aan te vechten. Dus we gaan het zien. Maar voor nu lijkt er wat lucht te komen.
Jeroen: Weer ondersteuning van jouw eerste punt helemaal aan het begin, dat het een veld is waar constant verandering in is en constant weer nieuwe dingen spelen. En ook wel een bijna filosofische kant, natuurlijk. Dat je er altijd achter zit, “Wat vind ik oké dat er van mijn data gedeeld wordt en wat niet?” Ik ben compliance officer binnen een financiële instelling, als ik dit allemaal zo hoor, denk ik heel veel dingen, “Risico hier, risico daar. Dit kan een probleem voor ons betekenen.” Of, positiever gezegd, “Ik zie ook alweer kansen voor ons bedrijf of onze organisatie.” Maar waar moet ik me nou echt druk over maken en wat zijn nou de dingen waarvan ik zeg, “Dat is belangrijk, maar niet het allerbelangrijkste”?
Marc: Er zijn drie dingen waar je je echt druk om moet maken. Daar hebben we het nog helemaal niet over gehad, maar dat is cyber security. Dagelijks lees je over datalekken, over ransomware aanvallen. Eén van de voorbeelden is natuurlijk de universiteit in Maastricht, die heeft twee weken platgelegen vanwege een ransomware aanval. Ik zie het in mijn eigen praktijk ook veel gebeuren. Gecoördineerde aanvallen van hele professionele hackers die heel slim te werk gaan. Dat is heel belangrijk en dat is echt een boardroom taak, cyber.
Jeroen: We gaan het zo over die andere punten hebben, maar cyber is inderdaad een belangrijk en interessant onderwerp waar je natuurlijk ook heel lang over kan spreken in deze context. Daar moet je alle aandacht voor hebben, maar wat ik wel begrepen heb, als ik met heel veel mensen in die financiële sector en rondom de financiële sector spreek over dit onderwerp, dat juist deze sector het relatief goed voor elkaar heeft, ten opzichte van heel veel andere industrieën.
Marc: Dat denk ik ook. Ik denk ook dat dat komt omdat het wederom om vertrouwen gaat. Beveiliging is altijd al inherent geweest aan wat banken en verzekeraars doen. Maar ik denk dat je niet op je lauweren kunt rusten en je zult continu moeten blijven investeren daarin. Je zult je mensen goed moeten blijven trainen, want dat is vaak waar het misgaat. Een ransomware aanval of een succesvolle hack is vaak omdat een werknemer per ongeluk op een linkje klikt.
Jeroen: Word jij er dan ook vaak bijgehaald? Ik neem aan dat er tech teams worden bijgehaald, maar word jij er ook bijgehaald om bijvoorbeeld te kijken, “Hoe rapporteren we dit aan de AP?”
Marc: Ja, we worden in twee fases betrokken. Ten eerste aan de voorkant, bij de training. We doen ook wel veel tabletop exercises, dat we gewoon een datalek simuleren. Dat is heel professioneel en dat gaat heel ver, waar we echt doen alsof er een datalek is met de communicatie-afdeling erbij, met de board erbij. Dus dat is één. En ten tweede inderdaad als het misgegaan is. Dan worden we ingeschakeld met de vraag, “Waar moeten we rapporteren, wat moeten we rapporteren? Kunnen jullie samenwerken met onze IT-partij om te onderzoeken wat er gebeurd is? Welke risico’s lopen we qua schade claims? Kunnen we ergens onze eigen schade claim neerleggen?”
Jeroen: “Hebben we onze eigen privacy policies en algemene voorwaarden goed op orde?”
Marc: Bijvoorbeeld, ja.
Jeroen: En je zei dat dat één onderwerp is waar je je absoluut druk over maakt. Je had er nog twee, geloof ik?
Marc: Ja. Het tweede is een algemeen beginsel in de AVG, in goed Nederland Accountability, je verantwoordingsplicht. AVG zegt, “Je moet als verwerkingsverantwoordelijke kunnen aantonen dat en hoe je aan de AVG voldoet.” Ik merk dat daar bij toezichthouders heel veel aandacht voor is.
Jeroen: Wat betekent dat nou precies concreet?
Marc: Dat betekent bijvoorbeeld dat als je een nieuw product uitrolt of een nieuw softwaresysteem gaat gebruiken, dat je heel duidelijk vastlegt dat je hebt gekeken of die partij die je inschakelt inderdaad netjes met je gegevens omgaat, dat die gegevens goed beveiligd zijn. Of als je een nieuw product ontwikkelt, dat je onderzoekt, “Wat is nou de impact hiervan op de bescherming van de persoonsgegevens, de privacy van mijn klanten? Kan ik hetzelfde doel misschien met wat minder gegevens bereiken?”, dat je die afweging vastlegt. Dat is die accountability. Dus dat je alle keuzes die je maakt duidelijk vastlegt.
Jeroen: Het is eigenlijk dat je een soort impact analyse maakt van dat product of dienst of whatever voordat je het daadwerkelijk doet en ook nog kijkt waar je bepaalde dingen kan mitigeren of niet doet?
Marc: Zeker.
Jeroen: En daar zitten toezichthouders bovenop?
Marc: Ja.
Jeroen: Oké. Dus cyber hebben we, dit is een hele goede, dus de accountability kant. En de derde?
Marc: Internationale ontwikkelingen. Dus niet alleen ten aanzien van je doorgiftes waar heel veel gebeurt, maar ook wat ik al zei, meer en meer landen maken hun eigen wetgeving op dit gebied. Als jij als bedrijf over de grenzen opereert, wat al vrij snel zo is, dan kun je niet meer zonder meer volstaan met, “Ik voldoe aan de AVG, dat is voldoende.” China heeft nu een nieuwe wetgeving die op de AVG geënt is, maar op een punt echt veel verder gaat. In Amerika is er een wetgeving in de maak. India heeft een nieuwe wet in de maak. Brazilië heeft een belangrijke wet, in Australië zie je nu ontwikkelingen. Dus in heel veel landen komt nieuwe wetgeving. Dichter bij huis zie je dat in het Verenigd Koninkrijk, waar ze de AVG nog steeds toepassen na de Brexit, zie je ook dat ze nadenken over deregulering. Dus daar worden ze misschien juist minder streng, dat is ook goed om te weten. Kan ik daar misschien met wat minder toe? Dus dat zijn wat mij betreft de drie belangrijkste elementen om aan te denken.
Jeroen: Die laatste is ook wel heel vermoeiend. Want om internationaal zaken te doen, dat is als privacy advocaat heel interessant, denk ik. Er is heel veel te doen en het is boeiend om te volgen. Maar het voelt bij mij ook een beetje als, “Bij de ene is het 220 volt en bij de andere 230 en het kabeltje daar sluit daar niet aan.”
Marc: Ja, dat is ook zo. Dat is ook waar ik in mijn dagelijkse werk veel in bezig ben, “Hoe kun je nou zorgen dat een bedrijf dat in vijf of tien of dertig of tachtig landen opereert dat nog een beetje behapbaar houdt?” Want je kunt niet tot aan de letter voldoen aan tachtig op elkaar lijkende, maar net verschillende wetten. Dus je zult ergens de risicoafweging moeten maken. Dat kan aan de ene kant zijn, “Dit is een land waar ik veel doe, waar ik groot ben. Daar wil ik heel erg sterk compliant zijn, ik wil sterk voldoen aan de wet.” Of het is een land met een hele actieve toezichthouder. Er zijn ook landen waar dat misschien wat minder geldt, dan zul je als bedrijf de risicoafweging moeten maken om nog te kunnen werken.
Jeroen: Zoals altijd met risicomanagement, je kan niet elk risico uitsluiten. Dat is onmogelijk.
Marc: Precies.
Jeroen: Marc, dit is super interessant. Ik zou er nog uren over kunnen doorpraten, maar dat doen we niet. We willen de podcast ook nog een beetje behapbaar houden om naar te luisteren. Maar voordat ik ga afronden, heb je nog iets waarvan je zegt, “Jeroen, dat is wel een heel belangrijk onderwerp wat je gemist hebt in deze context”?
Marc: Nee, we hebben de meeste wel gehad, denk ik. Misschien nog even één punt over compliance. Je kunt voldoen aan de AVG zien als, “Ik wil aan de wet voldoen.” AVG heeft open normen, je kunt heel veel betogen dat het binnen de wet valt. Maar op allerlei gebieden zie je dat dat niet meer voldoende is. Ik vraag klanten ook vaak, “Laten we de FD-test doen. Als dit nou morgen op de voorpagina van het FD staat, ben je dan gelukkig? Voel je je daar dan prettig bij? Als het antwoord ‘nee’ is, moet je er misschien nog even over nadenken.”
Jeroen: Dat is mooi! Ik denk dat het antwoord in de meeste gevallen ‘nee’ is, behalve als het een heel mooi nieuws is. Mooi einde! Heel veel dank, Marc, voor zowel op al deze verschillende onderwerpen mij van antwoord te voorzien als zijnde ook een deel minicollege in dit hele verhaal. Voor mij ontzettend interessant, want je merkt het aan mij, ik weet er heel weinig van. Maar ik weet er nu toch weer net even wat meer van, dus dat is hartstikke leuk. Na de aflevering heb ik een cadeautje voor jou, een boek dat ik jou wil geven. Heel veel dank voor je tijd!
Marc: Dankjewel, hartstikke leuk!
Je luisterde naar Compliance Adviseert. Deze podcast werd mede mogelijk gemaakt door Hyarchis, Partner in Compliance en Deloitte. Meer weten of een reactie achterlaten? Dat kan op onze LinkedIn. Als je ons daar volgt, ben je bovendien altijd op de hoogte van nieuwe afleveringen. Natuurlijk zijn we je zeer dankbaar als je een review achterlaat en meer mensen vertelt over deze podcast. Vergeet ook niet te kijken naar de andere podcasts op ons kanaal. Er zit vast iets tussen dat je aanspreekt. Bedankt voor het luisteren!