Tegenwoordig beschikt vrijwel iedere organisatie over privacygevoelige informatie. Een scan van een legitimatiebewijs is bijvoorbeeld al een vorm van persoonlijke data. De wijzigingen die met het in werking treden van de GDPR op 25 mei 2018, plaats gaan vinden, zullen dus ook voor u consequenties hebben. Toch zullen de gevolgen van de GDPR niet voor iedere organisatie hetzelfde zijn. In deze blog gaan we in op de gevolgen van de nieuwe wetgeving voor het MKB.
De regels die voor iedereen gelden
De GDPR geldt voor ieder bedrijf ter wereld dat gebruikmaakt van persoonlijke data van Europese burgers. De meeste wijzigingen binnen de wetgeving gelden voor ieder type organisatie. Zo is iedere organisatie verplicht om in concrete taal te vragen om toestemming voor het gebruiken van persoonlijke data en moet er duidelijk worden aangegeven wat de organisatie ermee gaat doen. Er mag daarnaast niet van dit oorspronkelijke doel worden afgeweken. Wanneer er bovendien een datalek ontstaat, is elke organisatie verplicht om dit binnen 72 uur te melden. Ook mag data niet langer worden bewaard dan absoluut noodzakelijk en is iedere organisatie verplicht om persoonlijke data te verwijderen als hierom wordt gevraagd.
Aanvullende regels voor bepaalde organisaties
Naast de algemene regels, gelden er aanvullende regels voor bepaalde organisaties. Bedrijven die een verhoogd risico hebben op datalekken of aan profiling doen, zoals zorginstellingen en verzekeringsmaatschappijen, zijn bijvoorbeeld verplicht om een verwerkingsregister bij te houden. Hierin moeten ze vastleggen welke gegevens ze verzamelen, waarvoor ze worden gebruikt en hoe lang ze worden bewaard. Profiling is overigens het verzamelen, analyseren en combineren van persoonsgegevens met het doel om iemand in te delen in een bepaalde categorie. Voor de meeste MKB’ers zijn deze regels niet van toepassing.
Een aanzienlijk deel van aanpassingen voor de GDPR bestaat uit relatief eenvoudig door te voeren handelingen.
Relatief eenvoudig te realiseren aanpassingen
Om uw organisatie klaar te stomen voor de nieuwe situatie na de intreding van de GDPR, zullen er enkele zaken moeten worden aangepast. Een aanzienlijk deel van deze aanpassingen bestaat uit relatief eenvoudig door te voeren handelingen. Het aanpassen van de teksten die worden weergegeven bij het invullen van contactformulieren is hier een voorbeeld van. Daarnaast is het relatief eenvoudig om software te installeren die bescherming biedt tegen ransomware en exploits. Deze vormen van cybercriminaliteit zijn verantwoordelijk voor meer dan de helft van de datalekken. Een groot deel van de datalekken kan hierdoor dus worden voorkomen. Het trainen van medewerkers bij het veilig omgaan met persoonlijke data is een ander actiepunt dat relatief eenvoudig te realiseren is, maar van enorme waarde kan zijn.
De klant centraal stellen
Het belangrijkste uitgangspunt bij de voorbereiding op de GDPR is dat er een cultuuromslag wordt gemaakt. In veel organisaties heerst er nog een cultuur waarin er geen rekening wordt gehouden met de privacy van de klant. Bedrijven proberen op allerlei manieren persoonlijke data los te peuteren en werknemers gaan vaak hun eigen gang met deze data. Met de nieuwe regelgeving wordt het eens te meer belangrijk dat er rekening wordt gehouden met de rechten van de klant. Door de klant centraal te stellen bij het beveiligen van uw data, bent u op de goede weg.
Welke stappen heeft u nog te zetten?
Om als MKB-bedrijf eenvoudig een compleet en reëel beeld te krijgen van de stappen die u moet zetten bij het voldoen aan de GDPR, heeft Joheco een checklist ontwikkeld. Met deze checklist komt u er binnen vijf minuten achter welke punten u af kunt vinken en welke punten nog aandacht vereisen.
Wilt u de checklist voor uw organisatie inzetten?
{{cta('530094c1-416e-4d14-a93e-873529e9e29a')}}