25 mei 2018 komt in rap tempo dichterbij. Lang niet alle organisaties hebben al de juiste aandacht geschonken aan de strengere privacywetgeving. Met name bedrijven in het mkb blijven achter. Maar, sommige Functionarissen Gegevensbescherming (FG) hebben wel al flinke slagen gemaakt. Frank Slager, FG, is zo iemand. In dit interview vertelt Slager over het proces dat zijn organisatie de afgelopen maanden heeft doorgemaakt om op tijd klaar te zijn voor de nieuwe Europese privacywetgeving.
Veel organisaties zijn nog lang niet klaar voor de GDPR (AVG). Hoe kan dat?
“Wat ik zie bij klanten is dat er nog steeds veel onwetendheid bestaat. Dit geldt vooral voor mkb-bedrijven. Er is wel degelijk besef van het belang van databescherming, maar bedrijven weten niet altijd wat ze nu precies wel en niet moeten regelen om klaar te zijn voor de GDPR. Ook zie ik organisatorische uitdagingen. Iemand in de organisatie moet tot Functionaris Gegevensbescherming benoemd worden, en vervolgens moet diegene ook tijd en budget krijgen om een sterk plan te maken en dat ook uit te voeren. Daar ligt voor veel organisaties nog een uitdaging. Een uitdaging met een strakke deadline.”
Frank Slager
Hoe heb jij ervoor gezorgd dat jouw organisatie wel op tijd klaar is voor de GDPR?
“Ik heb het heel planmatig aangepakt. Eerst heb ik de nieuwe wetgeving bestudeerd en vervolgens een stappenplan gemaakt en uitgevoerd. Ik ben begonnen met een inventarisatie van de situatie in de organisatie. Daarna heb ik een risicoanalyse uitgevoerd. Toen heb ik samen met de directie veel aandacht besteed aan de bewustwording onder de medewerkers en een RACI opgesteld waarin de verantwoordelijkheden beschreven zijn. Ten slotte heb ik een calamiteitenplan opgesteld. Binnen het plan heb ik ook aandacht geschonken aan de verwerkersovereenkomsten en het afsluiten van een cybersecurityverzekering.”
Wat was de grootste uitdaging in het ‘GDPR-proof’ maken van de organisatie?
“Van tevoren had ik verwacht dat de techniek, de beveiligingsoplossingen, het lastigste zouden zijn. Maar ik had het mis. De manier waarop medewerkers met persoonsgegevens omgaan, vormt het grootste risico op datalekken. Dat blijkt ook uit cijfers van de Autoriteit Persoonsgegevens. In het derde kwartaal van 2017 kwam 46 procent van de gemelde datalekken voort uit persoonsgegevens die verstuurd zijn naar of afgegeven zijn aan de verkeerde ontvanger. Bij slechts 6 procent van de meldingen was er sprake van hacking, malware of phishing. Ik heb dan ook veel aandacht geschonken aan de bewustwording van medewerkers, en dat blijft ook in de toekomst een speerpunt.”
Wat raad je organisaties aan die nog niet klaar zijn voor de GDPR, of nog niet eens begonnen zijn?
“Mijn grootste tip is: begin direct. Vandaag nog. Ook raad ik aan om gebruik te maken van de ervaringen en kennis van andere organisaties en de Autoriteit Persoonsgegevens. Er is online veel nuttige informatie beschikbaar. Mijn eigen ervaringen zijn door Xtandit (partner in print- en documentoplossingen), waar ik werkzaam ben, gebundeld in een e-book. Ik nodig iedereen uit om het e-book gratis te downloaden en te lezen. Voor alle organisaties die nog niet GDPR-ready zijn: voorkom een boete of imagoschade, ga aan de slag en maak gebruik van de ervaringen van anderen.”
| Meer informatie |
|---|
|
Xtandit BV Download het e-book ‘Dataveiligheid: Maak jouw organisatie GDPR-ready’ via www.xtandit.nl/ebook-gdpr |
