Een maand alvorens de nieuwe GDPR van kracht gaat , hoe moeten we handelen?

RGPD que faut-il faire ? logiciels de gestion

« Opgelet, vanaf 26 mei kan er een inspecteur uw bedrijf binnenvallen die je een boete kan geven die tot 4% van uw jaarlijkse wereldwijde omzet bedraagt! »

Maar ja natuurlijk...
Onze economische omgeving verbaast nog steeds door een toekomst op te bouwen op angst en remmingen op te leggen,.. om een deur te openen naar een nieuw soort waarzegger.

Laat ons de dingen relativeren::
Ja, op 25mei treed de nieuwe GDPR-wetgeving in werking.
Ja, het is streng met betrekking tot de voorwaarden waaraan voldoen moet worden en de mogelijke sancties.
Maar het is belangrijk om niet te panikeren. Deze wetgeving moet nog vertaald worden naar de "Belgische wet" (het voorontwerp van deze wet werd goedgekeurd op 16 maart 2018) en zal hoogstwaarschijnlijk pas aan het begin van de parlementaire zitting in de herfst in het parlement gestemd worden. In dit stadium bestaat er nog geen certificering (ISO, Aib-Vinçotte)

RGPD sécurité des données
Is het dringend om niets te veranderen?

Waarschijnlijk nog niet op dit punt, maar we zijn niet meer veraf. Vandaag de dag gebruikt u persoonlijke gegevens van uw klanten op een ethische manier. Doe zo verder. Je let altijd al op de beveiliging van je computer en dus ook op de gegevens van je klanten. Doe zo verder.

Maak echter van deze gelegenheid gebruik om:

  • Een inventaris van verzamelde gegevens aan te leggen
  • Onderzoek of ze nog steeds noodzakelijk, nuttig en van toepassing zijn, kijk na of de "gevoeligheid" verband heeft met het gebruik.
  • Maak een lijst met de personen die allemaal toegang hebben tot deze gegevens en controleer of hun toegangsrechten minimaal zijn.
  • Herzie de algemene beveiliging: toegang van buiten naar binnen, antivirus en andere software, herzie alles wat risico's met zich mee kan brengen, … 

Herzie al deze punten, documenteer ze en hou kuis in uw huidige werking... Hier is absoluut wat te doen. Sereen en kalm op lange termijn. …

Allereerst moet er begrepen worden dat de GDPR eerst een middelenverplichting oplegt. De resultaten daarentegen zijn moeilijk te vatten omdat het onderwerp groot, algemeen en abstract is.


En het is hier dat een nieuwe donkere wereld ontstaat...

We zijn verrast door deze plotselinge "invasie" van zogenaamde consultants van de zelfbenoemde GDPR die hier en daar opduiken. Hoe hebben ze zo'n grote wetgeving in zo'n korte tijd kunnen trainen? Ze blazen angst in om hun sappige zaken te verspreiden. Blijf op een veilige afstand..

Zelfs de algemene pers wordt soms meegesleept door deze wind van paniek. In het artikel van vandaag onthult Le Soir deze fout in haar column "Impact voor bedrijven" (Zie PDF). Neen het is niet nodig om een 'Data Protection Officer' aan te stellen in uw bedrijf. Dit moet alleen als uw bedrijf op grote schaal gevoelige gegevens verwerkt of als u een overheidsinstantie of publieke organisatie bent. Als er niet aan deze voorwaarden voldaan wordt, wordt er aanbevolen om geen persoon aan te duiden, dit is omdat die benoeming een hele reeks verplichtingen met zich meebrengt die verband houden met zijn aanwezigheid in de organisatie.


En wat met de beheersoftware?

Wat software betreft is het duidelijk dat geen enkele beheersoftware, en al zeker geen ERP, kan claimen GDPR-gecertificeerd te zijn. Dit concept bestaat niet.
De beheersoftware kan wel hulpmiddelen bieden die naleving mogelijk maken: de mogelijkheid om gegevens te verwijderen om het "recht om vergeten te worden" te implementeren, de mogelijkheid om gegevens te verzamelen en te exporteren zodat de persoon in kwestie kan weten welke gegevens een bedrijf over hem heeft. …
Voor de rest moet de software beschouwd worden als een middel voor opslag en toegang tot gegevens. Daarom heeft het weinig te maken met de gegevens en hun al dan niet "gevoelige" aard.

Lees ook:
Is Mercator conform met GDPR?