Overslaan en naar de inhoud gaan

MKB: aan de slag met GDPR!

Over zeven maanden is de GDPR een feit. Bedrijven in Europa zullen orde op zaken moeten stellen om te voldoen aan de onomkeerbare wetgeving rondom de privacyrechten van de consument. Grote bedrijven nemen grote adviesbureaus in de arm om ze hierbij te helpen. Dat is voor het MKB een stuk lastiger.
GDPR eu
© CC0: Pixabay.com
CC0: Pixabay.com

Maar je kunt veel zelf: ga na hoe informatieprocessen zijn ingericht, hoe en waar bedrijfskritische informatie staat opgeslagen, wat er gebeurt met persoonsgegevens èn - het allerbelangrijkst - hoe deze informatie is 'beveiligd’.

Niemand zit te wachten op boetes van miljoenen euro’s bij een overtreding van de GDPR-wetgeving. Daarom dienen organisaties, ongeacht bedrijfsgrootte, maatregelen te nemen rondom de implementatie van de nieuwe wet. Denk hierbij aan het benoemen van een Functionaris Gegevensbescherming die bij onverhoopte datalekken hierin aanspreekpunt is en aan het voorbereiden van een communicatieplan richting partners en klanten.

Grote organisaties hebben mensen en middelen om het bedrijf GDPR ready te maken; voor het MKB is een KPMG of een EY een te dure bedoening om (een van) hen door de organisatie naar GDPR-valkuilen te laten zoeken. MKB’ers dienen een kleiner adviesbureau te vinden die ‘GDPR compliance’ in hun specialisatiepakket heeft en een inventarisatie kan maken om daarna vervolgstappen in te zetten. Begin dan bij de kritische bedrijfsprocessen en werk zo de gehele organisatie en processen door.

Los van externe maatregelen kan het MKB zelf ook aan de nieuwe wetgeving bijdragen. Zo kan bijvoorbeeld een recruitmentbureau dat over vele CV’s beschikt zichzelf afvragen: "Hoeveel maanden zal ik persoonsgegevens van kandiaten bewaren voordat deze definitief worden verwijderd en hoe communiceer ik dit vooraf met mijn kandidaten?” Of het nu gaat om een headhunter of makelaar: iedere MKB’er dient na te gaan hoe de informatieprocessen zijn ingericht en waar informatie staat opgeslagen.

Gelukkig zijn er oplossingen beschikbaar die het MKB kan inzetten wanneer bepaalde zaken écht bewaard dienen te worden. Encryptie is in dit geval het sleutelwoord. De implementatie van een dergelijke oplossing is geen ingewikkelde aangelegenheid. Versleuteling van data gebeurt volkomen transparant, gebruikers merken het niet eens. Huidige processen blijven dus bestaan. Echter is alle data wel ontoegankelijk voor onbevoegden (en bij onbewust lekken is deze ‘data’ waardeloos). Dit neemt niet weg dat een datalek ook verlies van data kan betekenen, dus een goede back-up oplossing blijft belangrijk.

Logging

Anders dan bij de algemene wetgeving geldt bij GDPR een omgekeerde bewijslast. Als organisatie moet je bewijzen dat data beveiligd is geweest op het moment van lekken. Dit kan door middel van logging worden onderbouwd. Uiteraard dient een onverhoopt datalek nog steeds bij de AP worden gemeld. Maar wanneer je kunt aantonen dat deze data versleuteld is, blijven verdere consequenties tot een minimum beperkt.

Hopelijk heeft het Nederlandse MKB de eerste stappen al gezet. Haast is geboden, volgend jaar mei is het zover.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in