Uw kmo GDPR-conform: volg de gids!

Persoonsgegevens, zei u?

Welke persoonsgegevens verwerkt uw kmo? Een cruciale vraag voor de naleving van de GDPR in uw bedrijf. “Bedrijven verwerken meer gegevens dan ze denken. En daar wringt het schoentje. Wie zijn eigen situatie niet goed kent, zal ook niet meteen de juiste acties ondernemen”, benadrukt Aurélie Waeterinckx, woordvoerster van de Gegevensbeschermingsautoriteit of GBA.

“Of die regelgeving er nu is of niet, het is sowieso interessant om de oefening te maken”, vertelt Cathy Habils, GDPR Lead Auditor en zelfstandig DPO. “Ik vraag mijn klanten vaak hoe zij zelf zouden reageren als het om de verwerking van hun eigen persoonlijke gegevens ging. En dan krijgt die aanpak plots een heel andere dimensie.”

Een kmo heeft doorgaans geen DPO (Data Protection Officer, n.v.d.r.) nodig, maar gewoon een GDPR-specialist.

Cathy Habils, GDPR Lead Auditor

Drie grote gebreken

De GBA deed een bevraging bij meer dan 250 kmo’s en detecteerde daarbij drie grote gebreken op het terrein. De eerste heeft te maken met het (fundamentele) transparantiebeginsel. Het bedrijf is zich bewust van zijn informatieplicht over de verwerking van de gegevens, maar communiceert niet of niet goed. “Het tweede gebrek heeft te maken met het principe van de impactanalyse.

Een verplicht hulpmiddel voor verwerkingen die mogelijk een hoog risico inhouden. De meeste bevraagde kmo’s hebben daar wel weet van, maar gebruiken het daarom niet”, vult Aurélie Waeterinckx aan. Tot slot kent slechts de helft van de respondenten de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’ binnen zijn organisatie.

Misvattingen

De naleving van de GDPR wordt vaak gezien als een extra administratieve verplichting, waardoor veel kmo’s ze voor zich uit schuiven. Cathy Habils schat dat slechts 25% van de kleine bedrijven de procedure volledig hebben doorlopen. “Kmo’s associëren een GDPR-aanpak te vaak met een torenhoog budget en denken dat er veel externe middelen voor nodig zijn. Dat klopt niet. Een kmo heeft doorgaans geen DPO (Data Protection Officer, n.v.d.r.) nodig, maar gewoon een GDPR-specialist. Die twee mag je niet met elkaar verwarren. In enkel uren of zelfs enkele dagen tijd kan je al heel veel regelen.”

Kmo’s staan bovenaan in ons prioriteitenlijstje. Daarom hebben we voor hen een echte toolbox ter beschikking gesteld.

Aurélie Waeterinckx, woordvoerster van de GBA

Een vereenvoudigd register

De GBA maakte nog een lijstje met een reeks bijkomende gebreken. Veel bedrijven weten bijvoorbeeld niet hoe lang ze de verwerkte gegevens mogen bewaren, houden geen rekening met de regels wanneer ze een project opstarten of hebben geen register van verwerkingsactiviteiten. “Te veel kmo’s denken dat het register niet voor hen van toepassing is. Toch vereist de GDPR zo’n register zodra er regelmatig gegevens worden verwerkt.” Het goede nieuws is dat de Gegevensbeschermingsautoriteit een vereenvoudigd modelregisterNieuw venster ter beschikking stelt om deze tekortkoming op te lossen.

Een toolbox voor kmo’s

Kmo’s blijven niet stilzitten als het gaat om de GDPR. Ze doorzoeken het internet op zoek naar advies, gaan te rade bij hun sectororganisatie… De GBA zag daarin een mooie opportuniteit. “Kmo’s staan bovenaan in ons prioriteitenlijstje. Daarom hebben we voor hen een echte toolbox ter beschikking gesteld. Ik raad hen deze twee publicaties aan: de gids voor kmo’sNieuw venster en het 13-stappenplanNieuw venster. Deze concrete informatie wordt nog verder aangevuld met een FAQ-brochureNieuw venster. Kortom, een echt dashboard voor kleine en middelgrote ondernemingen.”

BOOST als ondersteuning voor kmo’s

Micro-, kleine en middelgrote ondernemingen uit alle sectoren helpen bij de toepassing van de GDPR. Dat is het doel van het project BOOSTNieuw venster, een initiatief van de GBA dat wordt gefinancierd door de Europese Unie. BOOST is naast een grote bewustmakingsactie ook een unieke bron van informatie.

“We stellen onder meer modelbrieven ter beschikking, we geven begrijpelijke informatie aan de hand van filmpjes, publiceren een newsletter en organiseren webinars. Aan onze laatste webinar namen maar liefst 735 mensen deel! Dat bewijst nog maar eens dat onze acties relevant en echt nodig zijn op het terrein”, vertelt Aurélie Waeterinckx van de GBA.