1. Begin met globaal intern speur- en veldwerk
Wees nieuwsgierig en begin met uit te zoeken wat voor soort persoonlijke gegevens je verzamelt en voor welk doel je ze gebruikt. Ga na wie er toegang tot die gegevens heeft en welke beveiligingsinstellingen er zijn toegepast. Feitelijk hoef je alle datasets alleen maar te categoriseren en te labelen, net zoals je bij een verhuizing je dozen stickert.
2. Beoordeel contracten van leveranciers opnieuw
Denk aan databewerkingsovereenkomsten die je met leveranciers hebt afgesloten en begin je eigen standaard-document. Wat staat erin over datalekken? Zijn er aansprakelijkheidsclausules opgenomen? Heb je een overeenkomst in de pijplijn voor het geval er een datalek ontstaat? Het zijn wellicht hele basale dingen, maar het zal echt rust in je hoofd geven.
3. Schrijf je privacy beleid op een A4-tje
Wat doe jij om de gegevens van jouw klanten te beschermen? Vat dit beknopt, transparant en begrijpelijk samen op een A4-tje.
4. Stel een ‘in het geval van …een datalek-scenario’ op.
Stel dat je geconfronteerd wordt met een datalek en je klanten zijn erdoor getroffen; welke mensen in jouw organisatie moeten erbij betrokken worden en wie is gemachtigd om wat te doen? Vergelijk het eens met een BHV-oefenscenario.
5. Organiseer een ‘Privacy-schoonmaakdag’
Claim één dag per jaar waarop je alle recruiters, HR-managers, enz. met hun laptops uitnodigt om alle persoonlijke data, die niet langer nodig zijn, van jullie laptops te verwijderen. Maak er een sociaal teamevent van; lekker bijpraten en onderwijl er ook nog iets van opsteken.
Laat je vooral niet overrompelen door alle informatie over GDPR en kostbare, grootschalige operaties en programma’s die opgestart zouden moeten worden. Een paar eenvoudige maatregelen zijn al genoeg om je op weg te helpen. Waarom al die kostbare tijd, geld en energie verspillen als je (nog) niet eens weet wat jouw organisatie nodig heeft?
Het belangrijkste is dat je gewoon van start gaat. En zoals je ziet, hoeven dat geen 7-mijlslaarzen stappen te zijn. Zolang je kunt aantonen dat je bewust bent van GDPR en de eerste aantoonbare stappen hebt gezet.