GDPR geldt óók voor het MKB

Eenmanszaak of multinational, fabrikant of dienstverlener: alle organisaties en bedrijven moeten serieus werk maken van de nieuwe Europese privacyverordening. Is jouw organisatie er klaar voor?

Op 25 mei is de General Data Protection Regulation (GDPR) van kracht geworden. Dat leidde bij iedereen tot een mailbox vol opt-in verzoeken en gewijzigde voorwaarden. Toch zijn er ook nog een hoop bedrijven die niet voldoen aan de nieuwe wetgeving. Niet verwonderlijk, vindt Djimmy Zeijpveld, Solution Markeer bij Exact: “Het is tamelijk droge kost waar je even goed voor moet gaan zitten.” Daarmee is zeker niet gezegd dat je het maar gewoon moet laten lopen.

Bij Exact is GDPR al lange tijd een belangrijk thema. Producten zijn inmiddels zodanig aangepast dat het gebruikers zo gemakkelijk mogelijk wordt gemaakt om binnen de Exact-omgeving te voldoen aan de regels. Zeijpveld: “Ongeveer een halfjaar geleden kregen we er ook de eerste concrete vragen over, vooral van grote bedrijven die meer wilden weten over juridische en IT-aspecten. Zij hebben speciale afdelingen en juristen in huis. Maar het midden- en kleinbedrijf beschikt daar niet over en hikt nu vaak nog steeds aan tegen implementatie.”

LAST MINUTE

Voor veel kleine bedrijven is de GDPR een klok-en-klepelverhaal: ze hebben ervan gehoord, maar weten niet wat ze moeten doen om aan de nieuwe wet te voldoen. Maar 'laat' is niet hetzelfde als 'tevergeefs', vindt Zeijpveld. “Voldoen aan de GDPR moet, dus pak het meteen goed aan. Loop zorgvuldig en systematisch je processen na en pas ze aan waar nodig. Dat geldt niet alleen voor wat je doet met Exact software, maar ook voor e-mail-, urenregistratie- en facturatiesystemen. Stuk voorstuk bevatten ze persoonsgegevens.” Nagaan of je de regels naleeft, is best een kluif, zegt hij. “Maar het is te doen, al dan niet met hulp van je branchevereniging of een gespecialiseerde dienstverlener of consultant.”

Bedrijven zijn zélf verantwoordelijk voor naleving van de regels, voegt Zeijpveld eraan toe. Directie en bestuurders zijn hoofdelijk aansprakelijk als er iets misgaat. “De boetes op niet-naleving zijn stevig bij ernstige incidenten. De bakker op de hoek krijgt als het fout gaat waarschijnlijk een minder dikke boete dan een tech-gigant, maar naar verhouding doet het net zoveel of meer pijn.”

PRAKTISCHE INFORMATIE

Eigen verantwoordelijkheid of niet, Exact heeft gebruikers in de aanloop naar de inwerkingtreding van de wet zoveel mogelijk voorzien van praktische informatie. Daarnaast is de software uitgerust met functies die rekening houden met GDPR-eisen. Zeijpveld: “Denk aan de mogelijkheid om op relatie-, contactpersoon- of medewerker niveau aan te geven wat persoonsgebonden informatie is, welke actie moet plaatsvinden, en op welke termijn. Bijvoorbeeld door na uitdiensttreding van een medewerker binnen een bepaald aantal weken persoonsgegevens te verwijderen of te anonimiseren. Maar ook om precies te zien waar je welke persoonsgegevens hebt opgeslagen en of er een actie noodzakelijk is.”

Verder helpt de software bij het toekennen van rollen en rechten, zodat medewerkers alleen persoonsgegevens kunnen verwerken en (in)zien die bij hun takenpakket horen, vervolgt Zeijpveld. “Of door een extra beveiligingsmaatregel in te voeren met tweestapsverificatie wanneer je inlogt in Exact. Een geïntegreerd ERP-systeem als dat van Exact legt gegevens één keer vast, van het aanmaken van een nieuwe relatie tot en met de factuur. Dus een goede (her)inrichting van je processen en de persoonsgebonden informatie die je opslaat, is essentieel om het beheersbaar te houden en de regelgeving na te kunnen leven.”

VERANTWOORDINGSPLICHT

Waar begin je en hoe ver moet je als organisatie gaan? Volgens Rianneke Hoekendijk, Senior Legal Counsel bij Exact, ligt het accent nu meer op het kunnen aantonen van compliance met de wet, de zogeheten ‘verantwoordingsplicht’. “Zo zijn organisaties verplicht een register op te stellen van verwerkingsactiviteiten, oftewel alle handelingen die je met persoonsgegevens uitvoert. Daar kun je het best beginnen.”

Zo’n register omvat waarschijnlijk best veel verwerkingen. Bijvoorbeeld verwerkingen die je uitvoert met persoonsgegevens van klanten of medewerkers, en waar deze staan opgeslagen. Ook moet je registreren of je persoonsgegevens doorgeeft aan een derde partij, bijvoorbeeld een administratiekantoor of het bedrijf dat de nieuwsbrief distribueert. Hoekendijk: “Aan de hand van het register kun je beoordelen of er verwerkings-activiteiten zijn waarbij iets misgaat. Bijvoorbeeld omdat je geen toestemming van de betrokkene hebt gevraagd, of omdat het systeem waarin persoonsgegevens zijn opgeslagen niet afdoende beveiligd is tegen inbreuken.”

Wanneer je inschat dat een gegevensverwerking een hoog privacy-risico bevat, dan kan het volgens Hoekendijk zijn dat er een Data Protection Impact Assessment (DPIA) moet worden uitgevoerd om risico’s in kaart te brengen en maatregelen te nemen. Van ‘hoog risico’ is bijvoorbeeld sprake als je op grote schaal medische gegevens van personen verwerkt, of informatie die te herleiden is naar minderjarigen.

GELDIGE REDEN

De GDPR verplicht niet alleen om inzicht te hebben in welke persoonsgegevens waar zijn opgeslagen, ook moet je als organisatie desgevraagd kunnen aantonen dat je een grondslag hebt om iemands persoonsgegevens te verwerken. Een van deze grondslagen is toestemming. Voor iedere betrokkene moet het vervolgens net zo makkelijk zijn om toestemming voor het gebruik van die gegevens in te trekken als het is om die toestemming te geven. “Zorg ervoor dat betrokkenen hun privacy-rechten goed kunnen uitoefenen”, adviseert Hoekendijk. “Vragen ze om overdracht van, inzage in of verwijdering van hun persoonsgegevens? Zorg dat je weet hoe je aan deze verzoeken kunt voldoen en reageer binnen vier weken.”

Hoekendijk wijst verder nog op privacy by design en privacy by default, kernbegrippen in de wet. “Daarmee wordt bedoeld dat je er bij het ontwikkelen van producten van meet af aan voor zorgt dat alleen noodzakelijke persoonsgegevens verwerkt worden en dat die goed beschermd zijn.”

NIET ALLEEN EEN LAST

Veel ondernemers verzuchten dat er weer een verplichting is toegevoegd aan de toch al niet geringe regeldruk. Dat vindt Zeijpveld ook, maar hij pleit ervoor de GDPR-verplichting niet uitsluitend als last te ervaren. “Zie het als een mooi moment om bewustzijn over privacy in je organisatie te vergroten. Terwijl je kritisch kijkt naar je processen kun je meteen beoordelen of er nog waste in zit, die eruit kan. Twee vliegen in één klap dus. Mocht je onverhoopt te maken krijgen met een hack, dan is de schade beperkter. En tegen je klanten kun je zeggen, zeker als je actief bent in de consumentenmarkt: bij ons is je informatie in goede handen.”

Dit artikel verscheen eerder in FUEL.

Deel dit artikel

Reageer op dit artikel