Harold_aangepast2

Start 2018 voor Harold van Aart in teken van gegevensbescherming

 

Hoe stoom je je juridisch, technisch en organisatorisch klaar voor de nieuwe Europese algemene verordening gegevensbescherming (AVG) of in goed Engels General Data Protection Regulation (GDPR)? Dat was de insteek van het Duik in Diepe-event van Directeuren Netwerk op 24 januari jl. De verordening is vanaf 25 mei 2018 van kracht. Van bedrijven en organisaties wordt verwacht dat ze dan GDPR-proof zijn. Voor Harold van Aart, directeur van The AdminPeople, lid van Directeuren Netwerk en deelnemer aan het event, stond en staat de start van 2018 vooral in het teken van GDPR. Hij vertelt waarom en geeft enkele tips om er helemaal klaar voor te zijn.

 

“De bijeenkomst was nuttig en fungeerde hier en daar als eye-opener. Maar waar het in dit privacy- en ‘persoonsgegevensbeschermingsverhaal’ vooral om gaat, is het gebruiken van je boerenverstand. Dat doe ik ook. Daarom een paar tips:

 

Tip 1: Maak het niet groter of moeilijker dan het is

Ja, je moet aan de verordening voldoen en zorgen dat je GPDR-proof bent, maar je moet daarin niet doorslaan. Je kunt natuurlijk tot in het oneindige maatregelen nemen, maar beperk je tot de voor jouw bedrijf realistisch haalbare mogelijkheden. Dat heb ik ook gedaan.

 

Tip 2: Inventariseer de pijnpunten

Inventariseer waar de pijnpunten liggen en maak dan een actieplan. Bekijk welke externe en interne partijen betrokken zijn en zet acties uit. Controleer zelf of de oplossingen voldoen aan de norm die je hanteert. Als bestuurder ben je nu eenmaal eindverantwoordelijk.

 

Tip 3: Kijk naar de privacygevoeligheid van data  

Alleen persoonlijke gegevens die je echt nodig hebt, mag je opslaan. Ook gegevens die mogelijk te herleiden zijn naar een persoon, zoals bepaalde cookies, vallen daaronder. Zorg ook dat, zodra je deze gegevens niet meer nodig hebt, ze worden verwijderd. En vergeet de communicatie hierover niet!

 

Tip 4: Zorg voor een goede beveiliging

De GPDR komt er feitelijk op neer dat je het zo’n beetje onmogelijk maakt dat mensen van buitenaf aan jouw offline en online gegevens komen. Als werkgever heb ik bijvoorbeeld kopieën van de paspoorten van mijn medewerkers. Die moet je niet zomaar ergens in een lade bewaren, maar op een goed beveiligde plek waar anderen niet bij kunnen. Dat geldt natuurlijk ook voor online (persoons)gegevens. Je moet anders kijken naar je IT-beveiliging. Maak het zo ingewikkeld mogelijk om toegang tot systemen te krijgen en versleutel de informatie. Gebruik wachtwoorden van minimaal veertien tekens en verander deze wachtwoorden regelmatig. Denk na om niet herleidbare gebruikersnamen te gebruiken. Als men de naam niet weet, wordt het moeilijker om bijvoorbeeld de geboortedatum te gokken als wachtwoord. Beveiliging is sowieso een continu proces dat je regelmatig tegen het licht moet houden om te zien of deze nog wel voldoet aan alle wetgeving en eisen. Waterdicht krijg je het waarschijnlijk nooit.

 

Tip 5: Leg vast hoe je met gegevens omgaat

Zelf heb ik binnen mijn bedrijf protocollen en procedures opgesteld waarin we vastleggen hoe en welke gegevens we beschermen en wat er gedaan moet worden als er toch ergens iets mis gaat. Daartoe hanteren we een noodprotocol. Belangrijk is namelijk dat je kunt aantonen dat je er alles aan gedaan hebt om gevolgen van een datalek of ongeautoriseerde gegevenstoegang te beperken. Zie het als inenten tegen de griep. Je kan toch ziek worden, maar je hebt er alles aan gedaan om het te voorkomen.

 

Nuttige investering

Om alles GDPR-proof te maken, kost tijd en ook wel geld. Maar het is een nuttige investering, omdat er online de laatste jaren heel veel veranderd is. Ook als deze wetgeving er niet zou zijn, hadden we dit vraagstuk niet zomaar op zijn beloop gelaten. Je moet als bedrijf altijd zorgen dat derden niet aan vertrouwelijke informatie kunnen komen. Je hebt een verantwoordelijkheid richting je medewerkers en je klanten. Ik ben zelf ooit slachtoffer geweest van ID-fraude, dus ik weet wat het is als iemand toegang heeft of gebruikmaakt van persoonlijke gegevens die online staan.

 

Meer bewustwording

Het goede van de invoering van de nieuwe wet is dat er veel aandacht voor is en je meer bewust wordt gemaakt van de noodzaak om zorgvuldig met (persoons)gegevens om te gaan. Het is goed om te kijken wat er op dit gebied speelt en leeft. Nee, het is geen gespreksonderwerp voor bij de borrel, maar wel zinvol om met medewerkers en collega-directeuren om over te hebben. Bij het Directeuren Netwerk-event kreeg ik de indruk dat de collega’s er ook serieus naar kijken. Dat is een goede zaak.”