Vrijwel iedere organisatie heeft de komende maanden het voldoen aan de nieuwe privacywetgeving GPDR/AVG op de ‘actielijst’ staan. De ene organisatie is al verder dan de ander. Weet jij al wat de GDPR voor jouw organisatie betekent? Ben je op zoek naar praktische tips waarmee je vandaag nog kunt starten? Lees dan dit artikel waarin alles is teruggebracht tot vijf eenvoudige stappen.

1. Begin met globaal intern speur- en veldwerk

Wees nieuwsgierig en begin met uit te zoeken wat voor soort persoonlijke gegevens je verzamelt en voor welk doel je ze gebruikt. Ga na wie er toegang tot die gegevens heeft en welke beveiligingsinstellingen er zijn toegepast. Feitelijk hoef je alle datasets alleen maar te categoriseren en te labelen, net zoals je bij een verhuizing je dozen stickert.

2. Beoordeel contracten van leveranciers opnieuw

Denk aan databewerkingsovereenkomsten die je met leveranciers hebt afgesloten en begin je eigen standaard-document. Wat staat erin over datalekken? Zijn er aansprakelijkheidsclausules opgenomen? Heb je een overeenkomst in de pijplijn voor het geval er een datalek ontstaat? Het zijn wellicht hele basale dingen, maar het zal echt rust in je hoofd geven.

3. Schrijf je privacy beleid op een A4-tje

Wat doe jij om de gegevens van jouw klanten te beschermen? Vat dit beknopt, transparant en begrijpelijk samen op een A4-tje.

4. Stel een ‘in het geval van …een datalek-scenario’ op.

Stel dat je geconfronteerd wordt met een datalek en je klanten zijn erdoor getroffen; welke mensen in jouw organisatie moeten erbij betrokken worden en wie is gemachtigd om wat te doen? Vergelijk het eens met een BHV-oefenscenario.

5. Organiseer een ‘Privacy-schoonmaakdag’

Claim één dag per jaar waarop je alle recruiters, HR-managers, enz. met hun laptops uitnodigt om alle persoonlijke data, die niet langer nodig zijn, van jullie laptops te verwijderen. Maak er een sociaal teamevent van; lekker bijpraten en onderwijl er ook nog iets van opsteken.

Laat je vooral niet overrompelen door alle informatie over GDPR en kostbare, grootschalige operaties en programma’s die opgestart zouden moeten worden. Een paar eenvoudige maatregelen zijn al genoeg om je op weg te helpen. Waarom al die kostbare tijd, geld en energie verspillen als je (nog) niet eens weet wat jouw organisatie nodig heeft?

Het belangrijkste is dat je gewoon van start gaat. En zoals je ziet, hoeven dat geen 7-mijlslaarzen stappen te zijn. Zolang je kunt aantonen dat je bewust bent van GDPR en de eerste aantoonbare stappen hebt gezet.