Bij digitale transformatie speelt de bestuurskamer een beslissende rol. “Het is heel belangrijk dat de bedrijfstop het proces niet alleen ondersteunt, maar het geloof erin ook uitdraagt”, zegt Hans Borgman, hoogleraar Information Systems & Digital Business. Daarnaast is het bestuur verantwoordelijk voor het naleven van de privacyregels die gepaard gaan met de transformatie.

Proactief

De impact van digitale transformatie op een bedrijf is groot, zowel vanwege de wijzigingen in de procesinrichting als het businessmodel. Digitale transformatie brengt radicale veranderingen teweeg, waardoor niet alleen de relatie met klanten, toeleveranciers en concurrenten verandert, maar ook het businessmodel, legt Borgman uit.

Als een bedrijf die veranderingen niet zelf aanstuurt, maar afwacht wat er gebeurt, kan dat het einde betekenen. Bedrijven moeten er dus proactief mee bezig zijn. Dat maakt digitale transformatie volgens hem tot een onderwerp waarover in de bestuurskamer besloten moet worden.

Toch wordt het belang nog zeker niet in elke bestuurskamer gevoeld en is lang niet ieder bedrijf klaar om het proces aan te gaan. “Sommige bedrijven hebben de mogelijkheid tot digitale transformatie al in hun DNA zitten. Andere worden wakker, merken dat ze achterlopen en gaan er met volle kracht tegenaan om een inhaalslag te maken.”

Organisatiebrede (h)erkenning

Hoe werkt dat eigenlijk, succesvol digitaal transformeren? Er zijn talloze boeken geschreven over het onderwerp, en ook op internet is er veel informatie over te vinden. De aard van deze adviezen loopt uiteen. Er wordt onder meer gewezen op het belang van het gestructureerd verzamelen en verwerken van kwalitatief goede data, op manieren voor het implementeren van de benodigde IT-systemen, op de kracht van samenwerking binnen een bedrijf en op de noodzaak van goed opgeleide medewerkers.

In elk van deze lijsten is één constante terug te vinden: voor een succesvolle digitale transformatie is steun vanuit de bestuurskamer een vereiste. Niet alleen kan de bedrijfstop een klimaat scheppen waarin digitale transformatie tot bloei kan komen, ook is het goed als het belang ervan wordt uitgedragen in de missie en visie. De steun van bovenin de organisatie alleen is echter niet genoeg.

De noodzaak moet ook binnen het bedrijf zelf worden gevoeld, licht Borgman toe. “Bij grote wijzigingen binnen organisaties is het niet genoeg als van bovenaan wordt geroepen welke kant het bedrijf op moet. Ook binnen de organisatie zijn mensen nodig die overtuigd zijn van het belang van digitale transformatie en die ermee aan de slag gaan.” Het initiatief voor verandering hoeft volgens hem zeker niet altijd uit de bestuurskamer te komen.

Enthousiaste medewerkers binnen een organisatie kunnen eveneens de aanzet geven. Binnen het bedrijf dient dan wel een cultuur te heersen waarin de noodzaak tot digitale transformatie wordt herkend en erkend, en waarin de benodigde middelen beschikbaar worden gesteld. Bij het creëren van de juiste digitale mindset speelt verandermanagement een belangrijke rol, geeft Borgman aan.

Ook hier is het de combinatie van bovenaf en binnenuit die tot succes leidt. Het bestuur moet eens in de zoveel tijd kritisch kijken naar de projecten binnen het bedrijf waar wordt gewerkt aan digitale transformatie. Bepaalde projecten zullen worden gestopt, andere worden bijgestuurd of samengevoegd, en soms worden er nieuwe gestart.

Reputatiemanagement

Bij digitale transformatie moet ook aandacht zijn voor privacy, benadrukt Gerrit-Jan Zwenne, hoogleraar Recht en de informatiemaatschappij. “Als van een op papier georganiseerde bedrijfsvoering wordt overgegaan op een digitale bedrijfsvoering, impliceert dat dat er veel meer persoonsgegevens digitaal worden verwerkt.”

Niet alleen wordt alles wat eerst op papier stond beschreven nu in de computer ingevoerd, ook leidt digitalisering zelf tot het vastleggen van meer gegevens over mensen. Daarop is de privacywetgeving van toepassing, wat inhoudt dat bedrijven in geïntensiveerde mate te maken krijgen met uiteenlopende voorschriften. Zo zullen ze onder andere protocollen en privacy statements moeten opstellen, evenals een document aan de hand waarvan kan worden bepaald wanneer er wordt voldaan aan inzage-, verwijder-, of vergeetverzoeken.

Daarnaast moeten ze kunnen aantonen dat ze zich houden aan de wet. Hiervoor moeten ze documenteren waar de data zijn vastgelegd, waar de servers staan, wat ermee gebeurt en aan wie ze worden verstrekt. Het digitaliseren van deze data is niet zonder risico, vertelt Zwenne. “Er bestaat een gevaar van datalekken, waarbij gegevens op straat belanden of onbevoegden er kennis van nemen.

In een digitale omgeving is dus meer behoefte aan instrumenten die vertrouwen kunnen waarborgen.” Tegenwoordig verlangt de privacywetgeving dat een datalek wordt gemeld aan de toezichthouder en in sommige gevallen ook aan de datasubjecten: burgers, klanten, werknemers of patiënten. Dat kan vervolgens leiden tot schadeclaims en reputatieschade, die vaak lastig te herstellen is. Reputatiemanagement wordt dus belangrijker, maar tegelijkertijd ook moeilijker.

Externe dataopslag

Hier komt nog bij dat de verantwoordelijkheid van bedrijven steeds breder wordt. Het gaat namelijk in toenemende mate om gegevens die ze niet meer zelf beheren, maar die bijvoorbeeld extern op cloud servers staan opgeslagen, zegt Borgman.

“Organisaties worden door hun klanten echter nog steeds verantwoordelijk gehouden voor het beheer van deze data. Als er iets misgaat in de cloud, is het bedrijf dat de data daar heeft laten opslaan aansprakelijk.” Zwenne beaamt dit.

Hij wijst op het feit dat klanten vaak niet eens weten dat er een externe partij bij betrokken is. De partij die de gegevens beheert heeft uiteraard een zelfstandige verantwoordelijkheid en loopt het risico het getroffen bedrijf als klant kwijt te raken. Toch zullen klanten bij een datalek het bedrijf aansprakelijk stellen. De reputatieschade treft dan ook voornamelijk het bedrijf, en niet de externe partij die de gegevens niet goed heeft beschermd.

Functionaris Gegevensbescherming

Het waarborgen van privacy wordt des te belangrijker omdat op 25 mei 2018 de Europese privacyverordening Algemene Verordening Gegevensbescherming (AVG) van kracht wordt. De AVG verplicht alle overheden, gegevens-intensieve bedrijven en instanties die gevoelige data beheren, zoals gezondheids- of strafrechtelijke gegevens, om te werken met een Functionaris Gegevensbescherming (FG).

Dit is een interne of externe persoon die zich bezighoudt met accountability: aantonen dat wordt voldaan aan de regels. “Hij of zij zal met een grote mate van deskundigheid en onafhankelijkheid uitspraken doen over de beveiliging en toezicht houden op de naleving van de privacywetgeving”, legt Zwenne uit.

De FG moet een onafhankelijk persoon zijn en kan dus niet in het bestuur van een bedrijf zitten, maar dient wel op gelijk niveau met de bestuursleden te kunnen praten over zaken als datalekken en het informeren van klanten.

Op dit moment is nog niet in elk bedrijf voldoende draagvlak om met privacyregels aan de slag te gaan. De bestuurskamer moet de risico’s inschatten en daarop inspelen, vindt Borgman. “Aan de ene kant kan privacy een rem zijn op een goed initiatief. Aan andere kant is het noodzakelijk om ervoor te zorgen dat het vertrouwen van de mensen die gegevens verstrekken niet wordt beschaamd.”

Zwenne verwacht dat het draagvlak onder bedrijven steeds verder zal toenemen zodra serieuze boetes worden opgelegd voor overtredingen van de privacywetgeving. Dit is iets wat in de nabije toekomst waarschijnlijk gaat gebeuren. Hij erkent dat bewustwording van het belang van privacy beter kan voortkomen uit de oprechte wens om gegevens te beschermen dan uit angst voor boetes, maar ziet de vooruitzichten toch positief in.

Zo beschouwt hij het als een goed teken dat er steeds meer ondernemingen komen die bedrijven adviseren over hoe het beste om te gaan met privacy. “Die markt loopt goed. Kennelijk is er, al dan niet onder invloed van de digitalisering, in de bestuurskamer wel degelijk behoefte aan advies over privacybescherming.”