Waar Jacqueline verantwoordelijk is voor de juridische zaken rond zowel de wholesaledienstverlening als de vaste en mobiele netwerken, oftewel ‘de fabriek’ danwel ‘de achterkant’ van KPN, is Eric verantwoordelijk voor ‘de voorkant’: de consumenten- en zakelijke markt. Beiden hebben een team juristen onder zich, die samen met het team Corporate de Legal afdeling vormen van in totaal 28 mensen. ‘Wij adviseren de business van KPN over alle juridische aspecten, ook over securitywetgeving,’ vertelt Jacqueline. ‘Daardoor kunnen klanten erop vertrouwen dat het netwerk dat zij gebruiken en de diensten die zij bij ons afnemen, voldoen aan de geldende wet- en regelgeving.’ Eric: ‘Als legal team zorgen wij ervoor dat de business ook echt wéét wat wet- en regelgeving voor hen betekent. We adviseren, geven trainingen, en zijn betrokken bij zowel de implementatie als de uitvoering van wet- en regelgeving.’
NIS2 verduidelijkt
Gaat het over securitywetgeving, dan is er één ding dat nu iedereen bezig houdt: NIS2, de nieuwe Network and Information Security Directive. Deze Europese securityrichtlijn is al wel van kracht, maar nog niet vastgelegd in nationale wetgeving (
CRA voor apparatuur en software
Naast NIS2 is er dus de CRA. Ook deze wet heeft impact, vertelt Jacqueline. Waar NIS2 over zaken als governance, ketensamenwerking en risicomanagement bij onze eigen diensten gaat, gaat CRA vooral over apparatuur en software van toeleveranciers. Goed om te weten: bij ons kun je erop vertrouwen dat het goed geregeld is en dat onze assets en diensten zullen voldoen aan zowel NIS2 als de CRA.
Meedenken in Den Haag en Brussel
Nog even terug naar NIS2. ‘NIS2 wordt nu door de overheid vertaald naar een nieuwe Nederlandse wet: de Cyberbeveiligingswet,’ legt Jacqueline uit. ‘Daarmee vervallen stukken uit de Telecomwet en waarschijnlijk de hele Wbni.’ In de consultaties over de nieuwe wet heeft KPN ook input geleverd, vertelt Eric. ‘Dat zien wij als de eerste fase van implementatie van nieuwe wet- en regelgeving. Dat is de fase waarin wij mogen meedenken in Den Haag en Brussel, onder andere om te komen tot goed uitvoerbare regelgeving. Het moet in de praktijk natuurlijk wel werken. De tweede fase is die van duiding intern: wat zijn de gevolgen voor onze organisatie? In deze fase doen we onder meer een impactanalyse, zodat we alle nieuwe rechten en verplichtingen als gevolg van nieuwe wet- en regelgeving goed in kaart hebben. Dat is vooral veel werk voor onze juridisch specialisten. In de derde fase gaan we de wet implementeren. In die fase zijn er, afhankelijk van de grootte van de impact, tientallen collega’s mee bezig, niet alleen bij onze compliance-afdeling maar overal in de organisatie. Zij werken aan technische en organisatorische maatregelen. Stel, je hebt te maken met een zorg- en een meldplicht: hoe organiseren we de naleving daarvan? Gaat het om uitgebreide wetgeving zoals de toekomstige Cyberbeveiligingswet en eerder ook de privacyregels in de AVG, dan werken er wel honderden mensen aan.’
Splendid isolation
‘Als Legal willen we sowieso niet in splendid isolation werken,’ sluit Eric af. ‘We zijn onderdeel van een veel groter geheel, waar wij als een radartje onze expertise aan bijdragen. Zodat de dienstverlening en het netwerk van KPN voldoen aan alle wet- en regelgeving, en klanten erop kunnen vertrouwen dat het veilig is.’
Geleerde les van Eric en Jacqueline
‘Check, check en dubbelcheck. Vertrouw niet alleen op een papieren werkelijkheid, maar bekijk ter plekke of een veiligheidsprotocol of procedure ook echt wordt ingevoerd en nageleefd. En niet eenmalig, maar via reguliere checks.
Geïnterviewden
Eric Dorrestijn, General Counsel Commercial KPN
Jacqueline Kranenburg, General Counsel Wholesale & Technology KPN
’