PRIVACY &
LOGISTIEK

‘Het risico
zit ’m in de menselijke factor’

Een grote logistieke dienstverlener is ver met het voorsorteren op de GDPR. ‘Als wij ook maar één fout maken, zijn we out of business. Het kost ons een enorme boete. Maar het ergste is de mogelijke reputatieschade.’

In de logistieke sector kan zelfs práten over privacy heel privacygevoelig zijn. Dat blijkt als we een van de grote internationale logistieke dienstverleners vragen hoe zij zich hebben voorbereid op de komst van GDPR. ‘Ik wil graag meewerken, want het onderwerp is van levensbelang’, aldus de senior business controller van een bedrijf dat duizenden pakketjes en stukken vracht per dag bezorgt. ‘Maar alleen anoniem: het is bij ons beleid om onze verdedigingslinies maximaal op orde te willen hebben, maar daarmee niet te koop te lopen.’


Wat vindt u van de invoering van de GDPR?

‘Daar sta ik zeker achter. De GDPR past in onze westerse levensstandaard en in onze opvatting over het belang van privacy voor burgers en bedrijven. Vergelijk onze situatie in Nederland maar eens met die in China. Daar filmen ze alles van burgers. Als je een paar lichte verkeersovertredingen hebt begaan, val je direct buiten een aantal sociale vangnetten. Profiling, de mate waarin klantprofielen worden opgebouwd rond klanten en prospects, loopt daar echt de spuitgaten uit. Dan ga je wel met andere ogen naar onze relatieve vrijheid kijken. De GDPR is een waarborg dat die situatie binnen Europa zo blijft c.q. wordt verbeterd. Prima dus.’


U vervoert goederen van afzenders naar afnemers. Dat zorgt voor een stroom aan in principe privacygevoelige data. Hoe gaat uw organisatie daarmee om?

‘Daar hebben we interessante discussies over met onze klanten. Sommige van hen willen met ons een “controller-processor-agreement” afsluiten, een soort bewerkersovereenkomst. Daarbij ziet de klant zich als verwerkingsverantwoordelijke en ons als verwerker. Maar wij verwerken geen data, we gebruiken persoonsgegevens alleen maar voor het bezorgen zelf. Daarna vernietigen we de data weer zo snel mogelijk. Wij zien ons eerder zelf als controller van de data, en dus als verwerkersverantwoordelijke. We gaan er wel uitkomen met onze klanten, nu is het vooral voer voor juristen.’


Wat is voor uw organisatie het grootste privacyrisico?

‘In het ontwerp van zowel onze hard- als onze software hebben we alles zoveel mogelijk beveiligd. Dus daar kan vrijwel niets meer misgaan. Het risico zit ‘m in de menselijke factor. Mensen maken fouten, altijd en overal. Hoe goed je ze ook traint. Onze chauffeurs werken veel met handscanners, dat kan een kwetsbaar punt vormen. Ze weten dat ze daar heel zorgvuldig mee moeten omgaan, er geen gekke dingen mee moeten doen. We trainen ze met een vaste regelmaat op dit punt. En nieuwe medewerkers krijgen bij hun indiensttreding onder meer een aparte module op het gebied van privacy en information security. Het gaat erom dat ze goed beseffen waar ze mee bezig zijn. Zoals we ook goed opletten met het koppelen van databestanden. En geen marketingcampagne opzetten waarbij we zonder toestemming vooraf data van klanten gebruiken.’


Is jullie organisatie nu helemaal GDPR-compliant?

‘Onze organisatie groeit hard, we hebben niet de capaciteit om hier heel veel mensen voor vrij te maken. Zo kost de GDPR mij zo’n 30 tot 40% van mijn werktijd. Daarom hebben we een paar externe specialisten ingehuurd. Zowel voor advies als voor het opstellen van verwerkingsregisters. Dat zijn er best veel, omdat we een nogal divers IT-landschap hebben, met binnen onze internationale divisie alleen al zo’n vijftig verschillende applicaties die lokaal draaien. We zijn ook veel tijd kwijt met het concept rond het verwijderen van klantdata; in het kader van de GDPR moet dat zodra data niet meer relevant zijn. Dat kan overigens conflicteren met bestaande wetgeving die ons voorschrijft dat we bepaalde data juist moeten registreren. Laatst vertelde een collega mij van een klant die hem vroeg of hij uit onze databestanden kon worden verwijderd. Vlak voordat we dat wilden doen, bleek dat hij nog een forse rekening had openstaan. Dat feest ging dus niet door.’


Hoe organiseert u de implementatie van GDPR?

‘Voor verreweg het grootste deel wel. Wellicht dat we met een aantal zaken de deadline van de GDPR net niet helemaal halen. Ik denk niet dat je direct een boete krijgt. Voor toezichthouders zal met name tellen dat je kunt aantonen dat je een duidelijk GDPR-beleid hebt. En hoe je dataprotectie en privacy hebt ingericht.’