MKB: aan de slag met GDPR!

Maar je kunt veel zelf: ga na hoe informatieprocessen zijn ingericht, hoe en waar bedrijfskritische informatie staat opgeslagen, wat er gebeurt met persoonsgegevens èn - het allerbelangrijkst - hoe deze informatie is 'beveiligd’.

Niemand zit te wachten op boetes van miljoenen euro’s bij een overtreding van de GDPR-wetgeving. Daarom dienen organisaties, ongeacht bedrijfsgrootte, maatregelen te nemen rondom de implementatie van de nieuwe wet. Denk hierbij aan het benoemen van een Functionaris Gegevensbescherming die bij onverhoopte datalekken hierin aanspreekpunt is en aan het voorbereiden van een communicatieplan richting partners en klanten.

Grote organisaties hebben mensen en middelen om het bedrijf GDPR ready te maken; voor het MKB is een KPMG of een EY een te dure bedoening om (een van) hen door de organisatie naar GDPR-valkuilen te laten zoeken. MKB’ers dienen een kleiner adviesbureau te vinden die ‘GDPR compliance’ in hun specialisatiepakket heeft en een inventarisatie kan maken om daarna vervolgstappen in te zetten. Begin dan bij de kritische bedrijfsprocessen en werk zo de gehele organisatie en processen door.

Los van externe maatregelen kan het MKB zelf ook aan de nieuwe wetgeving bijdragen. Zo kan bijvoorbeeld een recruitmentbureau dat over vele CV’s beschikt zichzelf afvragen: "Hoeveel maanden zal ik persoonsgegevens van kandiaten bewaren voordat deze definitief worden verwijderd en hoe communiceer ik dit vooraf met mijn kandidaten?” Of het nu gaat om een headhunter of makelaar: iedere MKB’er dient na te gaan hoe de informatieprocessen zijn ingericht en waar informatie staat opgeslagen.

Gelukkig zijn er oplossingen beschikbaar die het MKB kan inzetten wanneer bepaalde zaken écht bewaard dienen te worden. Encryptie is in dit geval het sleutelwoord. De implementatie van een dergelijke oplossing is geen ingewikkelde aangelegenheid. Versleuteling van data gebeurt volkomen transparant, gebruikers merken het niet eens. Huidige processen blijven dus bestaan. Echter is alle data wel ontoegankelijk voor onbevoegden (en bij onbewust lekken is deze ‘data’ waardeloos). Dit neemt niet weg dat een datalek ook verlies van data kan betekenen, dus een goede back-up oplossing blijft belangrijk.

Logging

Anders dan bij de algemene wetgeving geldt bij GDPR een omgekeerde bewijslast. Als organisatie moet je bewijzen dat data beveiligd is geweest op het moment van lekken. Dit kan door middel van logging worden onderbouwd. Uiteraard dient een onverhoopt datalek nog steeds bij de AP worden gemeld. Maar wanneer je kunt aantonen dat deze data versleuteld is, blijven verdere consequenties tot een minimum beperkt.

Hopelijk heeft het Nederlandse MKB de eerste stappen al gezet. Haast is geboden, volgend jaar mei is het zover.