De gunstige bijvangst van de AVG
De klok tikt. Vanaf mei wordt de Algemene verordening gegevensbescherming (AVG) gehandhaafd. Een fors pakket van regels wordt van kracht: denk aan de plicht om data deugdelijk te beveiligen, beleid, protocollen en verwerkingsovereenkomsten die opgesteld moeten worden en allerlei eisen met vergaande organisatorische consequenties.
Meer weten over de AVG? Lees de whitepaper 'Wat is de waarde van uw data?'
Lastig is dat de wet veel open eindjes heeft. Waar je aan moet voldoen is nog niet altijd glashelder. Zo moet een bedrijf bijvoorbeeld een functionaris voor de gegevensbescherming aanstellen in het geval van onder andere grootschalige verwerking van bijzondere persoonsgegevens. Maar wat is grootschalig? Die onduidelijkheid maakt de voorbereiding voor veel MKB-bedrijven moeilijk. Ook het vergroten van het bewustzijn van medewerkers is een lastig verhaal. Zomaar gegevens verzamelen en delen is er niet meer bij. Mensen zijn gewend om altijd bij alle data te kunnen, dat kan straks niet meer. Een mindset verandering is nodig. Een proces waar nogal wat tijd overheen gaat.
Auteur Jan van Ederen is partner en bedrijfsjuridisch adviseur bij Grant Thornton
Lees ook: Maakt u zomaar geld over naar de 'CFO'?
Kat uit de boom kijken
Er gaapt nog een flink gat tussen wat straks nodig is en wat bedrijven nu doen. Velen realiseren nog niet dat ze met privacybescherming aan de slag moeten. Ze maken zich geen zorgen, omdat hun business niet gericht is op persoonsgegevens. Maar ieder bedrijf heeft klanten en personeel en verwerkt dus persoonsgegevens.
Vanwege de administratieve last, de hoge kosten of een tekort aan mankracht, kijken velen de kat uit de boom. ‘Eerst maar eens zien of de boetes gaan vallen, dan komen we in beweging’, is de tendens. Maar toezichthoudende organen willen zich op een bepaald moment toch bewijzen. Bovendien is gegevensbescherming een belangrijk thema in de politiek. Het is dus een kwestie van wachten voordat de eerste boetes vallen. En denk naast boetes ook aan andere kosten die cyberincidenten met zich meebrengen. Gegevens die op straat komen te liggen, bezorgen een bedrijf forse reputatieschade. En verlies van vertrouwen bij klanten zorgt voor een verlies van inkomsten.
Zo begin je
Actie dus, maar waar te beginnen? Allereerst moet de leiding het belang van het thema onderkennen en ernaar handelen. Dat betekent geld en mensen vrijmaken om ermee aan de slag te gaan. Praktisch begint het bij het inventariseren en classificeren van de gegevens: wat heb ik, waar sla ik het op, hoelang doe ik dat? Wie heeft er toegang? En heb ik dit echt allemaal nodig?
Voor MKB-bedrijven gaat het om een flinke lastenverzwaring. Om ermee aan de slag te gaan, is kennis van zaken nodig. Kennis die niet altijd aanwezig is. Dat betekent dat er kosten gemaakt moeten worden. Vaak betekent dit een extra risico voor de ondernemer.
Laat je hier goed en praktisch adviseren. Zorg wel dat het een behapbaar proces blijft. Grote bedrijven nemen maatregelen die voor MKB-bedrijven buitenproportioneel zijn. Bekijk het probleem dus vooral op praktisch niveau, zodat medewerkers er direct mee aan de slag kunnen.
En houd vooral voor ogen dat de uitkomst uiteindelijk voor ieder bedrijf positief is. Er wordt meer dan ooit over beveiliging nagedacht, medewerkers gaan bewuster met data om en er worden minder gegevens verzameld. Wetende dat de risico’s enorm zijn, is het fijn om de zaken op orde te hebben. Dat is de gunstige bijvangst van de AVG.