Inmiddels is zal iedereen van het bestaan van de GDPR (General Data Protection Regulation) of in het Nederlands de AVG (Algemene Verordening Gegevensbescherming) hebben gehoord. Maar het bestaan onderkennen is het makkelijkste van deze wetgeving.

Het zijn van die regels welke je met gemak over het hoofd ziet. Een kort voorbeeld:

Er is ingebroken thuis bij één van uw medewerkers/collega’s. Naast de puinhoop en het ontbreken van privé-eigendommen is de zakelijke laptop gestolen. Emoties voeren in eerste instantie de hoofdtoon; gelukkig waren er geen gewonden, maar uw medewerker/collega heeft een psychische klap te verwerken. Onderdelen van de achtbaan die volgt zijn het doen van aangifte bij de politie en het contact opnemen met de verzekering. Als alle schade weer is gerepareerd, de puinhoop is opgeruimd, het traject van schade-afhandeling in werking is gezet en het nieuwe alarm-systeem is geïnstalleerd lijkt de storm voorbij.

Vanuit zakelijk oogpunt is het vergoeden van de laptop niet het belangrijkste punt. De vraag welke gesteld moet worden is: “Welke gegevens stonden op deze laptop en hoe gemakkelijk is het om deze gegevens te benaderen?” Want sinds 1 januari 2016 bestaat er een meldplicht datalekken, zodra er gevoelige informatie op straat ligt moet hier melding van worden gemaakt. De wijzigingen in het AVG scherpen deze regels verder aan: u moet alle datalekken registreren.

Zou dit worden opgepakt binnen uw organisatie? En zo ja, hoe?
Is er al stilgestaan bij de aankomende wetgeving?
Is er iemand verantwoordelijk gemaakt om te voldoen aan het AVG?

Voor kleine en middelgrote organisaties is het niet mogelijk, noch zinvol, om hier een fulltime functionaris voor beschikbaar te stellen, maar u bent wel verplicht de AVG na te komen. Het hanteren van een piep-systeem ligt voor de hand; zolang er niets aan de hand is, is het niet nodig om er aandacht aan te schenken. Maar wat als er geen piep is welke het piep-systeem in werking zet? Dan wordt er een wet overtreden zonder dat de organisatie hier weet van heeft. Of er gevolgen zijn (en zo ja: welke) is niet bekend. Afhankelijk van de sector waar de organisatie in actief is, zou het -naast de geldelijke boete- een flinke dreun kunnen opleveren voor de reputatie.

Hoe voorkomt u een piep-systeem te hanteren?
Hoe vindt u de juiste balans tussen risico’s en maatregelen?
Hoe gaat u proactief te werk en niet reactief?

Zeker bij kleine en middelgrote organisaties is het van belang om een inventarisatie te maken van de risico’s (geld, reputatie, bedrijfscontinuïteit, etc). Maar de waarschijnlijkheid en de impact van deze risico’s bepalen is niet eenvoudig. Hoe gaat u dit doen?

 

Het is nog geen 25 mei, dus gelukkig heeft u nog alle tijd om een werkgroep AVG op te starten.

leave a Reply

Your email address will not be published.