• Agile programma-aanpak bij ABN AMRO

ABN AMRO onderneemt al sinds begin 2017 stappen om straks klaar te zijn voor de nieuwe privacywet GDPR. Via een bankbreed Agile programma wordt complexe materie vertaald naar concrete handvatten, het bewustzijn over privacy gestimuleerd en afdelingen ondersteund bij de implementatie. Met een bijzondere programma-aanpak bereikt een klein team van experts zo’n 70 business areas.

Door Danielle Gruijs, november 2017

Vanaf 25 mei 2018 krijgen alle organisaties die actief zijn in de EU te maken met een nieuwe privacywetgeving: de General Data Protection Regulation (GDPR). Organisaties die persoonsgegevens verwerken krijgen dan meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Dat vergt een gedegen voorbereiding.

“Een mooie middenweg tussen volledig agile opereren en als groot bedrijf een nieuwe wet bedrijfsbreed implementeren.

“De GDPR is al sinds 25 mei 2016 van kracht. Bedrijven hebben twee jaar de tijd gekregen om de wet te implementeren,” vertelt Marcel van Eijk van ABN AMRO. “De nieuwe wet is op een aantal gebieden een aanscherping van de Wet Bescherming Persoonsgegevens. Wat met name verandert is het accountability-principe; je moet de opslag van data helder en transparant kunnen uitleggen aan klanten en de toezichthouder.”

MEER DAN ALLEEN WETGEVING 

Binnen de bank is er veel aandacht voor de implementatie van de GDPR. Marcel: “Het primaire doel is voldoen aan de wetgeving, maar daarbij hoort ook het vertrouwd omgaan met geld en persoonsgegevens. Als je dat niet doet, loop je kans op reputatieschade en forse boetes.”

Vanessa Rouw (Finext) en Marcel van Eijk (ABN AMRO)

Marcel ziet het programma breder dan het invoeren van een nieuwe wet. “We hebben geprobeerd om niet alleen een wetgevingsprogramma te zijn. Privacy is een recht van ieder mens, dus ook van onze klanten. Het is zelfs één van onze grondbeginselen; mensen brengen ons hun geld, en gaan ervan uit dat we daar vertrouwelijk mee omgaan. Wij vinden dat het normaal is dat we ook goed met de persoonsgegevens omgaan. Eigenlijk vinden we dat dat in ons DNA moet zitten.” De nieuwe wetgeving is ‘principle based’, wat vraagt om een vertaalslag naar concrete stappen. “In de wet staat bijvoorbeeld dat je persoonsgegevens niet langer mag bewaren dan nodig is voor het doel waarvoor je ze hebt gekregen. Er staat dus geen harde tijdslimiet in,” legt Marcel uit. “Het is aan het programma om ‘niet langer dan nodig’ te vertalen naar situaties binnen ABN AMRO.”

COMBINATIE VAN MSP EN AGILE

Voor het programma wordt een bijzondere aanpak gekozen. “We hebben de methodiek van Managing Succesful Programmes (MSP) gecombineerd met Agile,” legt Vanessa Rouw van Finext uit. “Daarbij hebben we de basis neergezet vanuit MSP, waarna we Agile te werk zijn gegaan. Zo hebben we het programma vooraf ingedeeld in vier fases; de gapanalyse, het opstellen van het privacy framework, het dichten van de gaps en de borging. Vervolgens hebben we per fase de doelstellingen bepaald, waar we in sprints van twee weken mee aan de slag zijn gegaan.”

Er spelen twee factoren mee in de keuze voor deze aanpak. “We kregen de opdracht om het programma lean en mean in te richten, tegelijkertijd is ABN AMRO net overgegaan naar Agile way of working,” legt Marcel uit. “We hebben zo een mooie middenweg tussen volledig Agile opereren en als groot bedrijf een nieuwe wet bedrijfsbreed implementeren.”

VERANTWOORDELIJKHEID BIJ DE BUSINESS 

In de aanpak wordt zoveel mogelijk verantwoordelijkheid laag in de organisatie gelegd. “Compliant worden is niet de verantwoordelijkheid van het programma, maar van de afdelingen, dochtermaatschappijen en de landen,” legt Marcel uit. “Wij regisseren, ondersteunen en monitoren dat het gebeurt.”

“We willen bewust niet boven de business staan, maar ernaast,” vertelt Vanessa. ”Dat doen we onder andere met een expertteam en een lab waarin vertegenwoordigers zitten vanuit alle bedrijfsonderdelen; met het expertteam bepalen we de oplossingsrichting, in het lab toetsen we bij een kleine groep de praktische toepasbaarheid ervan, voordat we instructies de hele organisatie insturen.”

STAKEHOLDERMANAGEMENT

De business areas meenemen in het programma loopt dan ook als een rode draad door de aanpak. Marcel: “In de eerste fase was zelfs 50 procent van onze activiteiten gericht op het creëren van awareness.”

Communicatie met de stakeholders weegt zwaar mee. “We communiceren behoorlijk veel, ook via verschillende kanalen zoals elke paar weken een nieuwsupdate, een interactieve intranetomgeving en veel presentaties. Die presentaties worden gewaardeerd, gemiddeld komen er 80 mensen,” zegt Marcel. “Ook hebben we accountmanagement ingericht; iedere business area heeft een eigen accountmanager binnen het programma, waarmee elke paar weken overleg is. Daardoor kunnen we kort op de bal zitten.”

De aanpak is succesvol: met een klein programmateam van 8-10 man worden zo’n 70 business areas bereikt. Marcel is ook positief over de samenwerking met Finext in het programma. “Ik had al eerder met Vanessa samengewerkt. Finexters zijn echte professionals die kwaliteit leveren. Bovendien zijn ze binnen hun eigen organisatiemodel al gewend om met zelfsturende teams te werken, dat past goed bij de verandering naar Agile werken die ABN AMRO aan het doormaken is.”

LANGE TERMIJN-DOEL

Gevraagd naar advies over een effectieve programma-aanpak is Marcel duidelijk. “Ik denk dat je niet te dogmatisch in je benadering moet zijn. Niet vasthouden aan één methodiek, maar kijken naar het resultaat wat je wilt behalen, in welke fase de organisatie zit en welke aanpak daarbij past.”

“Als je alleen in sprints van twee weken werkt, loop je het gevaar dat je in details verzandt. Je moet ook het lange termijndoel voor ogen blijven houden,” zegt Vanessa. “We werken heel kortcyclisch, maar de grote mijlpalen houden we goed in beeld,” beaamt Marcel. “We weten precies wat er moet gebeuren om op 25 mei compliant te zijn.”

Beeld: Kees-Jan Bakker

Download bijlage
Project- & Portfoliomanagement Banken & Verzekeraars