Sandra Schuerewegen
‘Kmo’s hebben nog drie maanden om hun huiswerk te maken’
Vanaf 25 mei treedt de General Data Protection Regulation (GDPR) in werking. “Voor kmo’s een goede reden om eens kritisch in de eigen boezem te kijken en enkele oude zeren aan te pakken”, schrijft Sandra Schuerewegen, CEO van projectsourcingbureau Brunel in België
Drie maanden. Zoveel tijd rest er nog eer de General Data Protection Regulation (GDPR) in werking treedt in alle 28 Europese lidstaten. De regelgeving is een goede zaak voor de bescherming van burger tegen inbreuken op de privacy. Maar ook bedrijven varen er wel bij.
‘Kmo’s hebben nog drie maanden om hun huiswerk te maken’
GDPR is voor kmo’s een goede reden om eens kritisch in de eigen boezem te kijken en enkele oude zeren aan te pakken. Zowel voor IT (lees: gegevens die in Excels van tien jaar geleden op een externe schijf staan) als voor onproductieve processen (lees: data van dezelfde personen die vaak meerdere keren zijn verzameld).
Toch liggen veel kmo’s nog niet wakker van GDPR. Brunel en IFORI merken dat veel bedrijven lijken te denken dat de nieuwe regelgeving niet op hen van toepassing is. Maakbedrijven in de B2B-sector werken bijvoorbeeld niet rechtstreeks met consumenten, maar ook zij verzamelen gegevens van werknemers en contactpersonen bij klanten en leveranciers. Kortom: elk bedrijf dat data bijhoudt voor marketing, sales, rekrutering of zelfs het personeelsbestand, loopt tegen de GDPR-regelgeving aan.
‘Devices’ zijn daarbij vaak een kwetsbaar punt. Eén gestolen smartphone of laptop van een werknemer is een potentieel datalek. En voor datalekken moet vanaf 25 mei, ook in kleine ondernemingen, een proces bestaan.
Toch is er geen reden tot paniek: de sterkte van kmo’s is net dat ze snel beslissingen kunnen nemen. Ze hebben nog enkele maanden om aan de wetgeving te voldoen, of om minstens overtuigend te kunnen aantonen dat ze ermee bezig zijn. Bij kmo’s – in tegenstelling tot multinationals – vallen de veranderingen vaak ook best mee: je bent niet vertrokken voor jarenlang change management.
De vereiste aanpassingen betreffen zowel het juridische als IT. Gezien de complexiteit van de juridische materie, is het verstandig om aan te kloppen bij juristen gespecialiseerd in IT-recht. Deze bepalen of GDPR op de onderneming van toepassing is, en voeren een eerste audit uit.
De implementatie van de aanpassingen is dan weer het werk van IT’ers, bijvoorbeeld door hardware – zoals laptops, smartphones en tablets – van werknemers te beveiligen. Werkt je bedrijf heel intensief met persoonlijke data, dan kan je opteren om een Data Protection Officer (DPO) aan te stellen. Soms is dat verplicht (bijvoorbeeld voor overheden).
Voldoen aan de GDPR brengt inderdaad extra werk met zich mee. Maar er zijn ook voordelen. De wet is eenduidiger: ze reglementeert het gebruik van persoonsgegevens op dezelfde manier in alle 28 Europese lidstaten. Juridische grijze zones verdwijnen, wat betekent dat ondernemingen die voldoen aan de nieuwe wetgeving voortaan beter beschermd zijn tegen klachten en rechtszaken.
Een rechtszaak kan je winnen, maar reputatieschade is vaak onomkeerbaar.
Meteen zijn kmo’s ook beter behoed voor commotie en schandalen rond privacy – toch een thema dat bij het grote publiek steeds meer leeft. Een rechtszaak kan je winnen, maar reputatieschade is vaak onomkeerbaar.
Fout opgemerkt of meer nieuws? Meld het hier