"Gegevensbescherming is ieders verantwoordelijkheid"

Facebooks moederbedrijf Meta heeft een boete gekregen van 390 miljoen euro voor overtredingen op het gebied van gegevensbescherming. Dat is een krantenkop die geen enkel bedrijf over zichzelf wil lezen. Hoe zit het met de gegevensbescherming bij Digitec Galaxus? Zijn de gegevens van onze klanten veilig? Zijn jullie bang voor boetes?
Gelukkig is ons bedrijfsmodel heel anders dan dat van Meta. Wij verkopen producten, geen gegevens. Vanuit dat oogpunt maak ik me geen zorgen over enorme boetes. Bovendien is het vertrouwen dat mensen in Galaxus en Digitec hebben een kostbaar goed. Gegevensverlies zou een ramp zijn, vooral omdat we onze diensten nog maar net hebben gelanceerd in landen als Oostenrijk, Frankrijk of Italië. We doen alles wat technisch mogelijk is om gegevens te beschermen. Maar spreken van 100 procent veiligheid zou een leugen zijn. Er is altijd behoefte aan optimalisatie en er is nooit een garantie.

Wat kunnen klanten doen om ervoor te zorgen dat hun gegevens veilig zijn?
De ervaring leert dat verrassend veel mensen slechts één wachtwoord gebruiken voor meerdere platforms. Het loont de moeite om voor elk platform een nieuw wachtwoord te kiezen. Bovendien moeten wachtwoorden ingewikkeld zijn en verschillende schrijfwijzen, cijfers en speciale tekens gebruiken. Er zijn wachtwoordbeheerprogramma's die het werken met wachtwoorden vereenvoudigen. Natuurlijk kunnen deze tools in theorie ook gehackt worden. Maar het risico hierop is veel groter als hetzelfde wachtwoord meerdere keren wordt gebruikt. Twee-factor authenticatie, d.w.z. inloggen met een extra beveiligingselement, is ook de moeite waard om te activeren. Het biedt een betere bescherming van gebruikersaccounts. Galaxus biedt deze optie. Hier lees je hoe je authenticatie met twee factoren activeert.

Hoe ben je functionaris gegevensbescherming geworden bij Galaxus?
Het is misschien makkelijker om te zeggen wat ik niet heb gedaan om hier te komen: Ik ben geen jurist. Ik heb bij de Zwitserse Spoorwegen (SBB) in de marketing gewerkt en daarna in het IT-projectmanagement. Gegevensbescherming is al heel lang belangrijk in marketing en IT. In 2018, toen de General Data Protection Regulation (GDPR) van kracht werd in de EU, waren veel Zwitserse bedrijven slecht voorbereid. De kwestie was bekend, maar niemand hield zich ermee bezig. Zo ben ik er in terecht gekomen - en uiteindelijk heb ik besloten om op dit gebied te blijven. Ik denk dat ik heel onbedoeld een niche heb gevonden - kennis van de juridische kant van gegevensbescherming en inzicht in de zakelijke kant. Het is trouwens ook een spannende tijd in Zwitserland, want dit jaar wordt er een nieuwe wet op de gegevensbescherming ingevoerd.

Dus, is een marketing- of IT-achtergrond een must als je functionaris gegevensbescherming wilt worden?
Nee, helemaal niet. Maar ik denk dat het onderwerp makkelijker te behandelen is als je ervaring hebt met de zakelijke kant van de zaak. Bovendien kan het snel heel technisch worden als je met gegevensbescherming te maken hebt. De juridische aspecten kunnen complex zijn, maar het is mogelijk om ze te begrijpen, zelfs als je geen jurist bent. Gegevensbescherming raakt ons tenslotte allemaal in ons dagelijks leven, dus we zullen er zo nu en dan tegenaan lopen.

Je bent ongeveer een jaar geleden bij ons komen werken. Hoe bewust zijn de medewerkers van Digitec Galaxus zich van gegevensbescherming? Zijn mensen blij als je binnenkomt of rollen ze met hun ogen en denken ze "Oh nee, daar heb je die privacyman weer..."?
Ik heb gemerkt dat de mensen en de cultuur heel open zijn. Er is veel belangstelling voor het onderwerp, wat niet vanzelfsprekend is. Ik weet zeker dat sommige werknemers blij waren dat het bedrijf investeerde in gegevensbeveiliging.

Hoe hebben de teams op je gereageerd?
Nou, sommige afdelingen hebben er meer last van dan andere. Marketing, klantenservice of HR bijvoorbeeld. Maar onze afdeling Productontwikkeling moet ook rekening houden met gegevensbescherming wanneer ze nieuwe functies voor onze winkels bouwen. Er zijn weinig verschillen in de reacties van de afdelingen. Ik zou zeggen dat vooral de teams die er meer mee te maken hebben, bereid zijn om samen te werken. Natuurlijk zijn er ook af en toe discussies. Voldoen aan de regelgeving kan immers extra werk betekenen. Dit kan een uitdaging zijn, vooral als teams proberen om dingen snel voor elkaar te krijgen.

Hoe ervaar je de werkcultuur bij Digitec Galaxus?
De waarden van het bedrijf zijn online beschikbaar en de medewerkers houden zich er ook echt aan. Alle bedrijven praten over waarden, maar bij Digitec Galaxus leven de mensen er ook echt naar. Het is fascinerend dat men een startende onderneming is gebleven, ook al heeft het bedrijf meer dan 2.500 werknemers.

Op dit moment bent u een eenzame strijder op het gebied van gegevensbescherming. Kan dat zo blijven?
Ik mag dan wel de enige zijn met deze functietitel, maar er zijn op alle afdelingen gegevensbeschermingsvertegenwoordigers en ik werk nauw samen met ons IT-beveiligingsteam. Gegevensbescherming is ieders verantwoordelijkheid. Zo moeten bijvoorbeeld alle medewerkers van de klantenservice de basisbeginselen op hun gebied kennen. Daarom geven we op maat gemaakte trainingen voor alle afdelingen.

Ik heb een vraag over gegevensbescherming.Ik heb gehoord dat werknemers zelf boetes moeten betalen als ze een overtreding begaan op het gebied van gegevensbescherming. Klopt dat? In de EU zijn niet de werknemers maar de bedrijven aansprakelijk - en de boetes kunnen hoog zijn. Dit is een groot verschil met de nieuwe gegevensbeschermingswet in Zwitserland, waar particulieren daadwerkelijk een boete kunnen krijgen - en een boete kan oplopen tot 250.000 Zwitserse frank. Maar er moet iets ernstigs gebeuren om zo'n hoge boete te krijgen. Werknemers die de basis kennen en zich eraan houden, hebben niets te vrezen.Bedankt voor het interview!Foto's: Christian Walker