NS behoort tot het selectieve gezelschap van organisaties waar iedere Nederland een mening over heeft. Zeker als de weersgoden de dienstplanning overhoop gooien. Maar als bezitter en verwerker van een grote hoeveelheid persoonsgegevens wordt de NS ook nauwlettend gevolgd op privacyvlak. Aan Chief Privacy Officer Udo Oelen de taak om te zorgen dat de spoorvervoerder compliant is met wet- en regelgeving zoals de Algemene Verordening Gegevensbescherming (AVG) en de Wet Politie- en Justitiegegevens.
Zijn team van bestaande uit vijf privacy officers, waaronder advocaten en paralegals, adviseert de organisatie op tal van vlakken. Van de omgang met marketingmails tot Wifi-tracking op de treinstations en het behandelen van datalekken. Naast zijn positie als CPO heeft Oelen ook een formele rol als functionaris voor gegevensbescherming. ‘In die rol ben ik een interne toezichthouder. Als ik beoordeel dat iets niet in overeenstemming is met de privacyregelgeving en ik kom er met de bedrifsonderdelen niet uit om het op te lossen, moet ik dat aankaarten bij de Raad van Bestuur. Gelukkig is dat nog niet voorgekomen’, zegt Oelen.
Hij kwam in maart 2018 over van de Autoriteit Persoonsgegevens waar hij Hoofd Toezicht Private Sector was.
Wat was de opgave waarmee je aan boord bent gekomen bij de NS?
‘Ten eerste was dat de implementatie van de AVG in de hele organisatie, maar dat is nu afgerond. Ten tweede dienden de privacy officers beter gepositioneerd worden in de organisatie. Ze moesten aligned zijn met de organisatie en zelfverzekerd de business kunnen adviseren. Er was veel onzekerheid in de organisatie’. De NS wil nul risico lopen op het gebied van compliance, maar je wil ook niet te voorzichtig zijn. Dat vraagt om privacy officers die gezag hebben.’
Hoe zorg je voor die verbinding tussen privacy officers en de rest van de organisatie?
‘Periodiek gaan we met alle interne stakeholders om tafel. Dit betekent dat we bij het managementteam aanschuiven. We zorgen ervoor dat we vroegtijdig bij nieuwe projecten en initiatieven worden betrokken. En we zitten periodiek op locatie bij de bedrijfsonderdelen. Daarnaast zijn er tachtig zogeheten privacy champions in de organisatie. Zij zijn de ogen en oren voor de privacy officer. Als er in hun bedrijfsonderdeel iets speelt op het gebied van privacy dan kloppen ze bij ons aan. Daarnaast stuur ik iedere twee weken een e-mailupdate, onder meer over geconstateerde datalekken.’
Waarom wil je niet te voorzichtig zijn als het gaat om privacy?
‘Privacy is geen absoluut grondrecht. De wet biedt speelruimte en die wil je als organisatie ook toepassen. Zo staat het onderwerp wifi-tracking (het opvangen van signalen van mobiele telefoons, red.) hoog op de agenda van de Autoriteit Persoonsgegevens. NS gebruikt wifi tracking vooral voor het verbeteren van de veiligheid van haar reizigers op complexe stations zoals Amsterdam Centraal, Utrecht Centraal en Amsterdam Zuid. Toen de Autoriteit Persoonsgegevens eind vorig jaar nadere guidance uitbracht over wifi tracking kwam wel de vraag vanuit de organisatie of we het uit moesten zetten. Na het goed bestudeerd te hebben denken wij een goed verhaal te hebben. Dankzij het gebruik van wifi-tracking kunnen we op Amsterdam Zuid nu mensen inzetten die crowd control kunnen toepassen door reizigers een bepaalde kant op te sturen om te voorkomen dat perrons tot de rand vol raken terwijl een Intercity op hoge snelheid binnenrijdt.’
In een vacature voor privacy officer zag ik dat wifi-tracking ook mogelijk voor een zitplaatszoeker ingezet kan worden. De vacaturetekst noemt de vragen kan dit, mag dit en onder welke voorwaarden? Het eerste gedeelte van de vraag klinkt niet juridisch. Welke rol speelt ethiek op jullie afdeling?
‘Veel initiatieven, zoals de zitplaatszoeker, komen vanuit de business. Vervolgens moeten wij kijken wat er mogelijk is. Privacyregelgeving is nooit zwart-wit. We zoeken vanuit onze expertise uit of iets rechtmatig is. Er is een aantal grondslagen, waaronder gegevensverwerking mogelijk is. Als privacy officer toets je onder andere of de beoogde gegevensverwerking onder een van die grondslagen mogelijk is. Er zijn daarbij bepaalde ‘no go areas: dat je bijvoorbeeld geen geloof registreert zijn we het allemaal over eens. Maar wat doe je met een check-out-service? Zelf reis ik elke dag van Utrecht naar Den Haag. Stel dat ik vergeet uit te checken. Op basis van mijn reishistorie krijg ik als service aangeboden dat ik een bericht krijg met de vraag of ik vergeten ben uit te checken. We compenseren zelfs automatisch. De vraag is of je dit wilt aanbieden als organisatie, hieraan is wel wat vooraf gegaan. De NS doet dat wel, maar alleen als de klant het zelf wil en NS daarvoor toestemming geeft. We zien dat in het privacydomein, mede door grote schandalen bij techbedrijven, de ethische component steeds belangrijker wordt.’
Wat vind jij het belangrijkste in leiderschap?
‘Dat je er altijd bent voor je eigen medewerkers en elke dag blijft leren. Dat laatste geldt overigens voor iedereen. Ik probeer dit voor mijn medewerkers te stimuleren door interne kennissessies te organiseren en hen buiten de NS-muren te laten kijken.’
Je hebt een opleiding Wijsheid in Leiderschap gevolgd: wat is dat en welke leiderschapsles heb je geleerd?
‘Dat is een Comeniusprogramma, een executiveprogramma verbonden aan de Rijksuniversiteit Groningen. In de opleiding wordt leiderschap vanuit verschillende disciplines, zoals filosofie, wis- en sterrenkunde, benaderd. Het belangrijkste doel is om jezelf te vragen: waar sta ik? Wat heeft mij succesvol gemaakt? Wat is voor jou een belemmering geweest? Het heeft mij geholpen om meer rust te vinden. Ik was succesvol omdat ik redelijk rood ben, resultaatgericht en ongeduldig. Nu weet ik dat je soms de boel even moet laten rusten en je momenten moet kiezen om te handelen. Als je niet overal bovenop zit, komt het vaak ook goed.’
Dit artikel werd oorspronkelijk in juli 2019 gepubliceerd