Als national security officer bij Microsoft Nederland wordt Martin Vliem veelvuldig het hemd van het lijf gevraagd over de GDPR. “Ik ben blij dat-ie van kracht wordt. In plaats van beperkingen, zie ik juist veel kansen.” Het is een heet hangijzer, maar Martin Vliem vertelt ook graag over andere thema’s die hem bezighouden – als het even kan zonder ‘Wij van Wc-eend’-boodschap.
Wat houdt jouw rol bij Microsoft in?
“National security officer is eigenlijk een soort ambassadeursrol. Ik ga veel de dialoog aan met klanten, industriepartners, belangenverenigingen en autoriteiten op de domeinen informatiebeveiliging, privacy en compliance.”
Waarom is dat nodig?
“We hebben een heel brede missie statement vanuit Microsoft: we proberen iedereen te helpen om meer te bereiken. Daarin speelt technologie wat ons betreft een belangrijke rol: het kan bedrijven steeds meer helpen om te innoveren, om klanten beter bedienen, om hun eigen operatie te verbeteren, noem maar op. In de markt wordt erkend dat er veel potentiële waarde zit in wat met een modewoord ‘digitale transformatie’ wordt genoemd. Eén essentieel punt: als er überhaupt geen vertrouwen is in die technologie – waarvan bedrijven afhankelijker worden – gaat het niet gebeuren. Microsoft kan geen vertrouwen verkopen, dat moeten we verdienen.”
Uit welke ingrediënten bestaat dat vertrouwen en hoe spring je daarmee om?
“De drie thema’s waarmee ik me bezighoud – informatiebeveiliging, privacy, compliance en de balans daartussen – zijn heel vaak onderliggend aan de vetrouwensdialoog. Intern probeer ik ervoor te zorgen dat onze mensen daarover kunnen praten. Extern begeleid ik klantentrajecten, maar heb ik ook heel erg een luisterfunctie. Als Microsoft iets met technologie doet, zijn er heel veel organisaties en instanties die daar wat van vinden, en waar we graag van leren. Dus voer ik gesprekken met autoriteiten, toezichthouders: wat wij hier doen, past dat binnen de huidige kaders, of moeten wij misschien dingen veranderen? Het is echt tweerichtingsverkeer.”
Ook klanten zijn bij jou aan het juiste adres. Waarvoor kunnen ze bij de national security officer terecht?
“Klanten willen heel graag, maar zien naast de voordelen van digitale transformatie ook een heleboel beren op de weg. Ze overwegen hun intellectuele eigendom met ons te delen, ze gaan informatie in een Microsoft-omgeving verwerken of halen onze technologie in huis. Wat als er iets misgaat, wat als er een lek is, wat als data niet op de juiste manier beveiligd wordt, hoe zit het met de wet- en regelgeving rondom privacy? Er zijn veel onderwerpen die klanten zorgen baren. Ik of mijn collega’s worden betrokken in trajecten om aan te geven wat Microsoft doet, maar wat ook we níet doen en om te vragen wat ze wíllen: transparantie is ontzettend belangrijk.”
Het ís toch ook best spannend om data uit handen te geven?
“Ja, het leeuwendeel van de reacties heeft te maken met de angst om controle te verliezen, want als je het uit handen geeft, word je ook afhankelijk. Wellicht geruststellend: alles wat wij doen, wordt getoetst door derden. De rapportages en certificeringen die daaruit voortkomen, zijn toegankelijk voor onze klanten. Dat is een heel belangrijke basis. Wij kunnen onszelf wel op de borst kloppen en zeggen dat we het goed voor elkaar hebben, maar dan wordt het een beetje ‘Wij van Wc-eend adviseren Wc-eend.’ Veel van de vragen die we krijgen zijn emotioneel getint. Niet verbazingwekkend: je hoeft maar ‘Donald Trump’ in te typen en je krijgt zorgwekkende berichten bovenaan je zoekresultaten. Dat speelt. Wat is er waar van het backdoors-verhaal: achterdeurtjes in technologie waardoor overheden er zomaar bij kunnen? Als emoties hoog oplopen, voeren wij het terug naar een rationele discussie en dan is het prettig dat we bewijslast kunnen overleggen. Onafhankelijke verklaringen over hoe wij dingen doen en hoe onze processen lopen. Het verlies aan controle proberen we te compenseren met transparantie.”
In het kader van 25 mei 2018: kun je data protection officers hulpmiddelen bieden vanuit IT?
“Ontzettend veel. En ik wil organisaties, groot en klein, ook echt op het hart drukken om met de GDPR aan de slag te gaan. Maak een stappenplannetje en start met het in kaart brengen in welke scenario’s en waar je persoonsgegevens verwerkt. Als je eenmaal weet wat je hebt, probeer je dat onder controle te brengen. Vervolgens komt de informatiebeveiliging om de hoek kijken. En tot slot moet je laten zien dat je in controle bent over wat je hebt gedaan. Dus één: identificeren, twee: beheren, drie: beschermen en vier: rapporteren. Bij die vier stappen spelen data protection officers een belangrijke rol. Er zijn partijen die zeggen ‘Koop dit of je loopt het risico op torenhoge boetes’. Dat vind ik iets te kort door de bocht.”
Maar jullie willen toch ook gewoon producten verkopen?
“Natuurlijk heeft Microsoft producten die kunnen helpen; er is volop tooling beschikbaar voor alle vier die stadia, maar de waarde van de technologie die we verkopen, zit ‘m in andere dingen dan puur alleen informatiebeveiliging. We zijn een breed huis, leveren veel technologie die kan helpen bij allerlei vormen van digitale transformatie en daarin is vertrouwen een voorwaarde. Dus willen we ook informatiebeveiliging en alle mogelijkheden daartoe inbedden in dat platform en daar niet per definitie los heel veel geld aan verdienen. Het is onderdeel van een totaalpakket.”
Hoe kijkt Microsoft eigenlijk tegen de nieuwe wetgeving aan?
“We geloven dat technologie waarde kan bieden. Tegelijkertijd zien we dat heel veel organisaties een worsteling hebben. Of je nou kaartjes verkoopt aan reizigers of een loyaliteitsprogramma aanbiedt waarbij klanten punten kunnen sparen voor kortingen, in bijna elk scenario heb je te maken met de verwerking van persoonsgegevens. De uitgangspunten vanuit wet- en regelgeving zijn oud en achterhaald, dus dat kraakt en weerhoudt. De GDPR is up-to-date, bijgewerkt naar de stand van de tijd en dat schept een kader waarvan wij denken dat het innovatie zelfs mogelijk maakt. Ook wij vinden dat je persoonsgegevens goed moet beveiligen, dat je transparant moet zijn over waarvoor je ze verwerkt. Juist omdat je er heel mooie dingen mee kunt doen. De GPDR is complex, maar wij staan er eigenlijk achter. Natuurlijk, je móet voldoen, maar misschien wíl je wel voldoen. Het kan heel positieve elementen met zich meebrengen.”
Waarom zijn jullie zo in de wolken met de Cloud?
“Dit is een beetje ‘Wc-eend’, maar ik geloof echt dat het zo is: het kan de digitale transformatie enorm helpen. Als klant ga je op een GDPR-compliant Cloud zitten. Dat betekent nog niet dat je alle regels naleeft, maar heel veel van de maatregelen die nodig zijn, worden dan al door Microsoft – of een andere cloudleverancier – ingevuld. Je haalt een solide basis in huis. Datzelfde geldt voor security. Er zijn zoveel zaken waarop je als organisatie moet letten, dat ik denk dat het slim is om dat stuk uit handen te geven. Het is niet zo dat daardoor veel werkplekken verdwijnen, integendeel. Je kunt banen wel beter inrichten: je hebt tijd over voor de dingen waarmee je echt het verschil kunt maken.”
Microsoft ontslaat bedrijven niet van hun eindverantwoordelijkheid?
“Zelfs als heel veel bij ons is ondergebracht, blijven klanten verantwoordelijk om te voldoen aan wetgeving die op hen van toepassing is. Of aan eigen informatiebeveiligingsbeleid of continuïteitseisen vanuit de organisatie. Op basis van wat wij al doen, moeten ze extra maatregelen treffen. InSpark bijvoorbeeld speelt daarin een heel belangrijke rol. Als hun klanten iets met Cloud overwegen, hebben zij alle kennis in huis voor openstaande vragen over de inrichting, voorlichting naar medewerkers en eventuele additionele investeringen in technologie of proceskeuzes. Ons partnernetwerk is in dat opzicht van onschatbare waarde.”
