Sinds begin dit jaar word ik overspoeld met aanvragen van bedrijven voor GDPR/AVG-advies. De ingangsdatum van de wet is nabij en bij veel organisaties is de onrust toegeslagen. Opvallend is dat zowel kleine als grote bedrijven zich zorgen maken, ongeacht de mate waarin ze privacygevoelige gegevens verzamelen. Is er nog hoop voor deze bedrijven of moeten ze zich echt voorbereiden op een rampscenario?
Bij het vertalen van de GDPR naar concrete acties is het belangrijk om uit te gaan van gezond verstand en proportionaliteit. Ofwel: de beveiligingsmaatregelen voor de bescherming van persoonsgegevens moeten afgestemd worden op de gevoeligheid van de informatie. Die proportionaliteit hangt tot op bepaalde hoogte ook samen met de bedrijfsgrootte. Van een bedrijf met twintig medewerkers kun je immers niet dezelfde beveiligingsmaatregelen, procedures en rapportages verwachten dan van een grote multinational met meerdere kantoren en duizenden medewerkers. Een organisatie met minder dan 250 medewerkers is bijvoorbeeld meestal niet verplicht om een verwerkingsregister bij te houden en hoeft ook niet een functionaris voor gegevensbescherming (FG) aan te stellen.
Dit zijn echter pas de basisregels. De meeste bedrijven blijken eigenlijk geen enkel idee te hebben wat ze minimaal moeten doen om te voldoen aan de GDPR. Om die reden wil ik hier graag een paar inzichten delen uit mijn gesprekken met bedrijven over dit onderwerp. En mocht je twijfelen over je eigen kennis van de GDPR, test die dan in elk geval ook eens met dit korte online onderzoek over datalekken.
Kop-in-het-zand tactiek
Juist als security expert is het mijn streven in eerste gesprekken over GDPR-compliance niet te lang stil te staan bij informatiebeveiliging vanuit it-optiek. Informatiebeveiliging is echter een belangrijk onderdeel van de GDPR om de privacy van personen te waarborgen. Security blijkt bij veel bedrijven een ‘black box’ te zijn waar maar weinig mensen een helder beeld van hebben. Ik vind het best zorgwekkend dat veel organisaties die ik spreek op dit essentiële vlak eigenlijk niet weten waar ze aan toe zijn.
Als ze hun security al niet op orde hebben, dan is de kans groot dat ze ook op andere terreinen tekort schieten. Investeer dus in informatiebeveiliging door het zelf te doen of door het uit te besteden. Maar maak het in elk geval een belangrijke prioriteit binnen je organisatie, want de risico’s op datalekken zijn anders veel te groot. Doe een goede risicobeoordeling van je informatiebeveiliging en zorg dat er een managementsysteem is voor het omgaan met beveiligingsmeldingen. Dat zijn heel fundamentele zaken, die helaas bij de meeste bedrijven ontbreken.
De gemiddelde mkb´er schrikt al snel van alle regels en maatregelen die op hem afkomen, en steekt als we niet oppassen vervolgens zijn kop in het zand. Mijn belangrijkste taak is vaak om de algemene regels te nuanceren en te vertalen naar zijn situatie.
Een privacy-officer in dienst nemen klinkt als een grote stap, terwijl die rol in de meeste gevallen ook door een reeds aanwezige medewerker vervuld kan worden. De essentie is dat iemand de verantwoordelijkheid draagt voor privacybescherming, omdat dit een doorlopende taak is. Iemand moet kunnen optreden als er een datalek wordt geconstateerd, en daar moeten systemen en protocollen voor zijn.
Bijhouden verwerkingsregister
In mijn ervaring is er binnen organisaties bewustzijn over privacy en de GDPR of niet. Er is eigenlijk geen middenweg. Maar bedrijven die wel de noodzaak zien, geef ik meestal het advies om te beginnen met het doen van een privacy-beoordeling en risicoschatting, en het bijhouden van een verwerkingsregister. Dit laatste is in veel gevallen niet verplicht, maar ik raad eigenlijk altijd aan om dit zeker wel te doen. Het geeft je namelijk veel inzicht in hoe je met privacygevoelige informatie omgaat.
Het klinkt ook veel bewerkelijker dan het is, terwijl het in feite niets anders hoeft te zijn dan een Excel-sheet met een twintigtal kolommen. Het bijhouden daarvan moet uiteraard wel geborgd worden in de organisatie, maar dit hoeft niet heel veel extra werk op te leveren.
Continu verbeteringsproces
Ik verwacht dat veel, met name kleinere, bedrijven de komende twee maanden massaal advies en ondersteuning gaan zoeken om nog even snel GDPR-compliant te worden. Als ze dit serieus nemen, dan zal snel duidelijk worden dat de lat voor veel van hen niet zo heel hoog ligt. Het belangrijkste is dat ze begrijpen dat hun systemen en processen rond privacybescherming continu verbeterd moeten worden. Het is net als het onderhoud van een eigen woning. Hier zorgt goed periodiek onderhoud van de woning, en vernieuwing waar dat wenselijk is, ervoor dat je steeds prettiger komt te wonen.
Bij de GDPR begint alles echter met het opstellen van een plan van aanpak, zodat je kunt aantonen welke maatregelen je treft om de privacy van alle betrokkenen (klanten, medewerkers, et cetera) te beschermen. De proportionaliteit met betrekking tot die maatregelen is heel belangrijk voor hoe je het plan van aanpak opstelt. En ten slotte is het heel relevant dat het niet wordt gezien als een eenmalig en afgesloten project, maar dat er een continue verbetercyclus is.
Op 25 mei moet je als bedrijf een bepaald niveau van privacybescherming bereiken en dit moet je vervolgens steeds verbeteren. Doe een risicobeoordeling, pak vooral ook eerst het laaghangend fruit aan, doe de grote projecten voor zover dat kan, maar realiseer je dat je over twintig jaar nog steeds aan het verbeteren bent. Zolang je op 25 mei maar niet dat bedrijf bent dat totaal onvoorbereid een datalek moet melden of – erger nog – nog niet zover is dat een datalek überhaupt als zodanig wordt herkend…
Grootste risico is inderdaad onwetendheid, lijkt me redelijk moeilijk na al die GDPR-aandacht!
– Bovendien is GDPR geen project maar lijkt meer een continue (verbeter) proces.
– Zodra dit proces is geborgd, kun je verder en klaar ben je nooit met Security 🙂
wat dus aangeeft dat die gdpr nodig was en een heleboel tokos hun zaakje niet op orde hadden!
“Ik vind het best zorgwekkend dat veel organisaties eigenlijk niet weten waar ze aan toe zijn. ” ….
Waar mijns inziens aan voorbij gegaan wordt is dat veel organisaties hier nooit mee bezig geweest zijn, simpelweg omdat het niet hun core-business is.
Een schoonheidssalon die een klantenbestand heeft, en daarin ook de huidskleur en afkomst opgenomen heeft omdat dit bepalend is voor de behandeling, ziet zich nu ineens genoodzaakt om een heleboel dingen te regelen waar ze zich nooit druk om hebben hoeven maken.
Sportclubs moeten nu ineens van alles gaan opschrijven, aanpassen en formaliseren voor hun ledenbestand, terwijl hun kernactiviteit het aanbieden van een sport is (als sportclub moet ik me nu druk gaan maken waar in de cloud mijn gegevens opgeslagen zijn blijkbaar)
Deze mensen (en er zijn vast nog heel veel meer voorbeelden te verzinnen) snappen de essentie van GDPR wel, maar de vertaalslag van de regels naar praktische invulling, al dan niet gecombineerd met gebrekkige of geen IT kennis, maakt dat ze inderdaad niet weten waar ze aan toe zijn.
Niet iedereen kan (en wil) zich externe adviseurs hiervoor permiteren.
Mooi helder artikel maar let wel op. De suggestie dat bedrijven < 250mdw meestal geen verwerkingsregister nodig hebben klopt niet. Als je tot deze groep <250 mdw behoort en je verwerkt structureel persoonsgegevens (lees salarisadm, klanten) of gegevens met hoge impact (lees BSNn in de salarisadm) of bijzondere gegevens (lees kopie paspoort hr) dan ben je verplicht om een verwerkingsregister te hebben. Met deze eisen is de vrijstelling bijna een wassen neus. Ga er maar van uit dat elk bedrijf hem moet hebben.
@M Boon …. ik herken wat je schrijft, dit is ook hoe ik e.e.a. geïnterpreteerd heb. Des te zorgwekkender is dat iemand die zich beroepsmatig met de GDPR bezighoudt (althans, dat ik wat ik lees uit de inleiding) dit stelt in zijn artikel