Recente publicaties tonen het groeiend belang van een formele datastrategie voor ondernemingen. De next generation digitale technologieën en kunstmatige intelligentie bieden volop kansen om data optimaal te benutten voor het behalen van strategische doelstellingen. Bij het uitstippelen van de datastrategie speelt ook de general counsel een belangrijke rol. Het belang van een juridisch solide datastrategie is in veel boardrooms echter nog niet doorgedrongen.

In het afgelopen jaar hebben onder meer de Harvard Business Review en Gartner Research geschreven over het groeiende belang van een formele datastrategie voor ondernemingen. Een datastrategie biedt organisaties een road map die aangeeft hoe zij gegevens verzamelen, opslaan, beheren, delen en gebruiken. Formele datastrategie is realiteit bij grote en wereldwijd opererende (tech-)bedrijven, maar voor het overgrote deel van de ondernemingen lijkt het nog verre toekomstmuziek. In veel organisaties is het ook onduidelijk wie er verantwoordelijk zouden zijn voor de ontwikkeling en uitvoering van een datastrategie.

Implicaties en risico’s
Feitelijk heeft iedere onderneming een soort datastrategie. Bewust of onbewust, maar er ís een strategie. Bijvoorbeeld voor het samenstellen van (management)rapportages en gebruik van (klant)gegevens voor marketingdoeleinden. Ongeacht de vorm of inhoud: in alle gevallen is er sprake van juridische implicaties. Tot op heden ligt vanuit juridisch perspectief de focus op thema’s als bescherming van persoonsgegevens en e-privacy. Maar dat zijn slechts deelonderwerpen. Gezien de significante impact van strategische keuzes op het gebied van data is het opmerkelijk dat daar niet dezelfde aandacht voor is als voor intellectueel eigendom en vastgoed. De juridische risico’s van het verwaarlozen van een datastrategie zijn immers aanzienlijk. Zo heeft onzorgvuldig databeheer wezenlijke invloed op de waardering van een onderneming.

Europese ambities
Het Europees wettelijk kader op het gebied van data(beheer) vraagt wel degelijk van organisaties dat zij zorgvuldig invulling geven aan het onderwerp. De ambities van de Europese Commissie liegen er niet om. Europa moet de meest aantrekkelijke, veilige en data-agile economie ter wereld worden. Eén van de voorstellen van de Commissie is om het delen van data onder omstandigheden verplicht te stellen voor ondernemingen. Het uitgangspunt is dat ‘datapooling’ kan bijdragen aan de concurrentiepositie van (bedrijven in de) Europese Unie en bovendien het algemeen belang kan dienen. Denk aan gegevensuitwisseling in het kader van de bestrijding van COVID-19. Het is evident dat de juridische implicaties van (verplichte) datapooling voor ondernemingen aanzienlijk zijn.

Jurist aan tafel
De complexiteit van wetgeving, marktbewegingen en technologische ontwikkelingen maken dat ondernemingen er goed aan doen de General Counsel te laten aanschuiven wanneer een datastrategie wordt ontwikkeld, geïmplementeerd en geëvalueerd. Daarbij zijn vier aspecten essentieel:

  • Due diligence – allereerst moet inzichtelijk gemaakt worden welke data verzameld en verwerkt (kunnen en dienen te) worden, welke data bijzondere waarde vertegenwoordigen, wie er binnen de organisatie betrokken (dienen te) zijn en wat de strategische doelen van de onderneming zijn.
  • Data innovatie en commercialisatie – het legal team speelt een belangrijke rol bij de afweging hoe data kunnen worden ingezet voor commerciële doeleinden. Denk aan het lanceren van data-driven diensten en het identificeren van business opportunities op basis van data(analyse).
  • Verantwoordelijkheid en compliance – het legal team helpt te begrijpen wat juridische verantwoordelijkheden en compliance verplichtingen met betrekking tot data zijn, bijvoorbeeld op het gebied van security, privacy en ethiek.
  • Governance: de onderneming dient een governancestructuur te hebben die implementatie van een datastrategie mogelijk maakt op een wijze die compliant is met wet- en regelgeving.

Tot slot
Het zorgvuldig uitstippelen van een juridisch solide datastrategie is een joint effort, waarbij de General Counsel nauw samenwerkt met onder meer dataexperts van binnen – en als nodig buiten – de organisatie. Zo’n datastrategie is voor ondernemingen een randvoorwaarde om doelstellingen te realiseren en compliant te zijn. Het zou dan ook de hoogste prioriteit moeten hebben.

Over de auteur:

Kennedy van der Laan | Hester de Vries

Hester de Vries is Partner Privacy bij Kennedy Van der Laan. Zij adviseert bedrijven over de vele aspecten van gegevensbeschermingsrecht, privacy en technologie. Ze ondersteunt zowel Nederlandse als internationale ondernemingen en overheidsorganen bij kwesties rondom de (EU-)privacyregelgeving. Ze adviseert ook over de impact van privacy bij grote bestuurlijke projecten en over de complete implementatie van privacy compliance in bedrijven en organisaties. Daarnaast ondersteunt ze bij onderzoeken en handhavingstrajecten van de toezichthouders, de Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument & Markt (ACM).