We zijn inmiddels aangeland in 2018. Dit is het jaar waarin de Algemene Gegevens Verordening, beter bekend als GDPR, in werking treedt. De meeste grotere organisaties hebben inmiddels substantiële stappen gezet om ervoor te zorgen dat ze voldoen aan de bepalingen in deze nieuwe Europese wet. Bijvoorbeeld het aanstellen van een Data Protection Officer (DPO). En door meer inzicht in welke persoonsgegevens nu eigenlijk worden bewaard en wie daar toegang toe heeft. Dit, naast betere beveiliging van deze gegevens.
Vaak worden ze hierbij ondersteund door deskundige adviesbureaus. Maar bij veel MKB-ondernemingen en vooral bij zelfstandigen staan de zaken er minder rooskleurig voor. Veel van deze ondernemers realiseren zich nog altijd niet dat de GDPR ook op hen van toepassing is. En van de MKB-ers en ZZP-ers die zich daar wel van bewust zijn, weet een groot deel niet wat de impact op hun bedrijf is en welke stappen zij nu concreet moeten nemen om op 25 mei te voldoen aan de nieuwe wet.
Deskundige partners
Deze ondernemers zouden hiervoor de hulp kunnen inroepen van kleinere adviesbureaus. Of van deskundige partners die beschikken over de juiste kennis. Voor de meeste zelfstandigen is dat echter een kostbare aangelegenheid. De situatie op dit moment is er vooral een van afwachten en kijken naar wat anderen doen. En er wordt vooral gewacht op goed advies en praktische handvatten van koepelorganisaties. Dit gebrek aan informatie en concrete stappenplannen zorgt ervoor dat veel partijen nu in dit gat springen. Zij presenteren zich als ‘GDPR-expert’. Het is echter niet altijd eenvoudig om erachter te komen of zij ook echt beschikken over de juiste expertise. Vraag daarom naar referenties en onderzoek goed of zo’n partij u ook inderdaad kan helpen bij dit vraagstuk.
Ook zouden koepelorganisaties voor MKB-ers en ZZP-ers meer kunnen doen om hun leden hierin te adviseren. Niet alleen met informatie en concrete actiepunten, maar bijvoorbeeld ook door een lijst met deskundige adviseurs en partners op te stellen. Bij voorkeur zou er per sector een dergelijke lijst moeten komen.
Het is tevens belangrijk om te realiseren dat het gebruik van cloud oplossingen niet betekent dat een ondernemer ‘automatisch’ voldoet aan de GDPR-regels. Het is nu zo dat iedere organisatie altijd zelf eindverantwoordelijk blijft als het gaat om privacygevoelige informatie, ook als deze in de cloud staat.
Stappen naar GDPR-compliance
Voor die ondernemers die nog altijd niet weten waar ze überhaupt moeten beginnen als het gaat om GDPR-compliance, zijn hier de drie belangrijkste stappen:
- Inventariseer welke gegevens er precies worden verzameld en bewaard van klanten, waar die worden bewaard en wie er toegang tot deze informatie heeft.
- Maak een risico-analyse waaruit duidelijk wordt wat de potentiële dreigingen en risico’s voor de verschillende gegevens zijn, welke maatregelen er al genomen zijn om deze informatie te beschermen en waar de zwakke plekken zitten. Denk daarbij ook aan wellicht minder voor de hand liggende risico’s, zoals het verlies van een laptop of USB-stick met gevoelige informatie.
- Ga om tafel met een securitypartner om een gedegen plan en de juiste maatregelen te nemen om de gegevens zodanig te beveiligen dat de risico’s uit punt 2 worden weggenomen. Vergeet daarbij niet dat er binnen met de GDPR een omgekeerde bewijslast geldt: als ondernemer moet je kunnen aantonen dat je passende maatregelen hebt genomen om datalekken te voorkomen.
Aandacht en tijd
Wie deze stappen doorloopt, is al een heel eind op weg naar GDPR-compliance. Daarmee wil ik niet zeggen dat het een eenvoudig proces is. Het vraagt om aandacht, budget en tijd. Maar ik raad MKB-ers en ZZP-ers sterk aan om nu actie te ondernemen. 25 mei is hier voordat we het weten!
Dirk Cools, Country Manager G DATA Benelux
