Vanuit Buro Flevo verzorgen we op dit moment meerdere workshops per maand over de GDPR wet. Niet zo gek, als je bedenkt dat de datum waarop deze wet in werking treedt steeds dichterbij komt.
Met 25 mei in het vooruitzicht horen we van deelnemers voorafgaand aan de workshops dat ze inmiddels veel over de wet hebben gelezen, maar dat het onderwerp nog geen kop en staart voor ze heeft. Wat zijn voor een bedrijf passende maatregelen? We zetten ze voor je op een rij.
Bewustwording
In de eerste plaats is het belangrijk dat jij en je team begrijpen waarom jullie de eigen gegevens en die van klanten dienen te beschermen. We hebben het hier echt over een stukje bewustwording. In een workshop die we over dit onderwerp geven, ontdek je bijvoorbeeld waarom hackers op zoek gaan naar persoonsgegevens en wat het nut is van een sterk wachtwoord (of beter nog, een ‘wachtwoordzin’.) Voor de deelnemers aan de workshop gaat het onderwerp vanaf dit moment steeds meer leven. Hier wordt duidelijk welke zaken nog geregeld moeten worden. Sommige deelnemers aan de workshop vertellen ons na afloop dat ze in de veronderstelling waren dat de wetgeving alleen betrekking op hun cliënten had. Dat het van grotere omvang is en dat het ook effect heeft op data van leveranciers en andere maatschappijen waarvoor ze werken, beseffen ze op dat moment pas.
Werkplan
Het categoriseren van persoonsgegevens komt aan bod in een tweede fase. In deze fase blijkt vaak dat binnen de werkgroep nog gekeken moet worden naar technische security items of het inrichten van processen. Maar met name de juridische grond, zoals het opstellen van bewerkersovereenkomsten, hebben veel bedrijven nog niet op orde. Wie aangeeft de privacy van de klant te respecteren en daarbij verwijst naar het security statement, dient die wel daadwerkelijk eentje te hebben. In een werkplan noteren we ontbrekende zaken.
Audit
Ben je er helemaal uit, weet je nu hoe je kritische vragen kunt pareren? Wie deze bevestiging zoekt, kan dat laten testen met een interne audit. Het is verstandig om hiervoor binnen je bedrijf één persoon verantwoordelijk te maken.
Apk
En wanneer alles eenmaal is ingericht, is het zaak om up-to-date te blijven. Daarvoor hebben we een abonnement voor beheer en onderhoud ingericht. Zie het als een jaarlijkse Apk-keuring. In een jaar tijd kan van alles binnen een organisatie gebeuren. We kijken bijvoorbeeld of bij de aanschaf van een nieuw pakket wel of niet rekening is gehouden met de criteria rondom de GDPR. Zo wordt het beleid van je organisatie telkens opnieuw geaccordeerd.
Masterclasses
Wie voor een non-profit organisatie werkt en plaats heeft in het MT, de OR of het bestuur, kan deelnemen aan drie masterclasses die we over het onderwerp verzorgen. Het is speciaal bedoeld voor degenen die het hele jaar met een kritisch oog naar processen willen blijven kijken.