Sinds begin dit jaar word ik overspoeld met aanvragen van bedrijven voor GDPR/AVG-advies. De ingangsdatum van de wet is nabij en bij veel organisaties is de onrust toegeslagen. Opvallend is dat zowel kleine als grote bedrijven zich zorgen maken, ongeacht de mate waarin ze privacygevoelige gegevens verzamelen. Is er nog hoop voor deze bedrijven of moeten ze zich echt voorbereiden op een rampscenario?
Bij het vertalen van de GDPR naar concrete acties is het belangrijk om uit te gaan van gezond verstand en proportionaliteit. Ofwel: de beveiligingsmaatregelen voor de bescherming van persoonsgegevens moeten afgestemd worden op de gevoeligheid van de informatie. Die proportionaliteit hangt tot op bepaalde hoogte ook samen met de bedrijfsgrootte. Van een bedrijf met twintig medewerkers kun je immers niet dezelfde beveiligingsmaatregelen, procedures en rapportages verwachten dan van een grote multinational met meerdere kantoren en duizenden medewerkers. Een organisatie met minder dan 250 medewerkers is bijvoorbeeld meestal niet verplicht om een verwerkingsregister bij te houden en hoeft ook niet een functionaris voor gegevensbescherming (FG) aan te stellen.
Dit zijn echter pas de basisregels. De meeste bedrijven blijken eigenlijk geen enkel idee te hebben wat ze minimaal moeten doen om te voldoen aan de GDPR. Om die reden wil ik hier graag een paar inzichten delen uit mijn gesprekken met bedrijven over dit onderwerp. En mocht je twijfelen over je eigen kennis van de GDPR, test die dan in elk geval ook eens met dit korte online onderzoek over datalekken.
Kop-in-het-zand tactiek
Juist als security expert is het mijn streven in eerste gesprekken over GDPR-compliance niet te lang stil te staan bij informatiebeveiliging vanuit it-optiek. Informatiebeveiliging is echter een belangrijk onderdeel van de GDPR om de privacy van personen te waarborgen. Security blijkt bij veel bedrijven een ‘black box’ te zijn waar maar weinig mensen een helder beeld van hebben. Ik vind het best zorgwekkend dat veel organisaties die ik spreek op dit essentiële vlak eigenlijk niet weten waar ze aan toe zijn.
Als ze hun security al niet op orde hebben, dan is de kans groot dat ze ook op andere terreinen tekort schieten. Investeer dus in informatiebeveiliging door het zelf te doen of door het uit te besteden. Maar maak het in elk geval een belangrijke prioriteit binnen je organisatie, want de risico’s op datalekken zijn anders veel te groot. Doe een goede risicobeoordeling van je informatiebeveiliging en zorg dat er een managementsysteem is voor het omgaan met beveiligingsmeldingen. Dat zijn heel fundamentele zaken, die helaas bij de meeste bedrijven ontbreken.
De gemiddelde mkb´er schrikt al snel van alle regels en maatregelen die op hem afkomen, en steekt als we niet oppassen vervolgens zijn kop in het zand. Mijn belangrijkste taak is vaak om de algemene regels te nuanceren en te vertalen naar zijn situatie.
Een privacy-officer in dienst nemen klinkt als een grote stap, terwijl die rol in de meeste gevallen ook door een reeds aanwezige medewerker vervuld kan worden. De essentie is dat iemand de verantwoordelijkheid draagt voor privacybescherming, omdat dit een doorlopende taak is. Iemand moet kunnen optreden als er een datalek wordt geconstateerd, en daar moeten systemen en protocollen voor zijn.
Bijhouden verwerkingsregister
In mijn ervaring is er binnen organisaties bewustzijn over privacy en de GDPR of niet. Er is eigenlijk geen middenweg. Maar bedrijven die wel de noodzaak zien, geef ik meestal het advies om te beginnen met het doen van een privacy-beoordeling en risicoschatting, en het bijhouden van een verwerkingsregister. Dit laatste is in veel gevallen niet verplicht, maar ik raad eigenlijk altijd aan om dit zeker wel te doen. Het geeft je namelijk veel inzicht in hoe je met privacygevoelige informatie omgaat.
Het klinkt ook veel bewerkelijker dan het is, terwijl het in feite niets anders hoeft te zijn dan een Excel-sheet met een twintigtal kolommen. Het bijhouden daarvan moet uiteraard wel geborgd worden in de organisatie, maar dit hoeft niet heel veel extra werk op te leveren.
Continu verbeteringsproces
Ik verwacht dat veel, met name kleinere, bedrijven de komende twee maanden massaal advies en ondersteuning gaan zoeken om nog even snel GDPR-compliant te worden. Als ze dit serieus nemen, dan zal snel duidelijk worden dat de lat voor veel van hen niet zo heel hoog ligt. Het belangrijkste is dat ze begrijpen dat hun systemen en processen rond privacybescherming continu verbeterd moeten worden. Het is net als het onderhoud van een eigen woning. Hier zorgt goed periodiek onderhoud van de woning, en vernieuwing waar dat wenselijk is, ervoor dat je steeds prettiger komt te wonen.
Bij de GDPR begint alles echter met het opstellen van een plan van aanpak, zodat je kunt aantonen welke maatregelen je treft om de privacy van alle betrokkenen (klanten, medewerkers, et cetera) te beschermen. De proportionaliteit met betrekking tot die maatregelen is heel belangrijk voor hoe je het plan van aanpak opstelt. En ten slotte is het heel relevant dat het niet wordt gezien als een eenmalig en afgesloten project, maar dat er een continue verbetercyclus is.
Op 25 mei moet je als bedrijf een bepaald niveau van privacybescherming bereiken en dit moet je vervolgens steeds verbeteren. Doe een risicobeoordeling, pak vooral ook eerst het laaghangend fruit aan, doe de grote projecten voor zover dat kan, maar realiseer je dat je over twintig jaar nog steeds aan het verbeteren bent. Zolang je op 25 mei maar niet dat bedrijf bent dat totaal onvoorbereid een datalek moet melden of – erger nog – nog niet zover is dat een datalek überhaupt als zodanig wordt herkend…
