Ceci n’est pas une pipe?

AVG, GDPR, DPO… Er hangt een aardige buzz rondom de nieuwe privacywet die 25 mei in gaat. Iedereen is er druk mee bezig, en terecht! Wat vroeger een Europese lappendeken van privacywetten en -richtlijnen was, is nu door de “G.D.P.R.” in belangrijke mate gelijkgetrokken. Het is dus een Europese wet en daar hoeven we niet flauw over te doen; wet is wet zullen we maar zeggen. 

Wie de wet niet volgt kan beboet worden en dat is hier niet anders. Enkel, als dat je enige motivatie kan zijn om iets volgens het boekje te doen kan je net zo goed gokken op de pakkans en mocht het dan mislopen … op de blaren zitten. Een beetje zoals we allemaal wel eens te snel rijden en dan ineens … flits! #$@&%!!!, niet gezien 🙁  

Neen de boetes zijn zeker niet de enige motivator als je ernstig wil ondernemen. Het is wellicht goed de GDPR te bekijken net zoals Kwaliteit, Veiligheid en Maatschappelijk Verantwoord Ondernemen.  Bedrijven, die het niet zo nauw nemen met de privacy van andermans data en daarmee tot vandaag een zeker voordeel beogen, gaan het geweer van schouder moeten veranderen willen ze nog enige geloofwaardigheid uitstralen naar hun klanten en medewerkers. Klanten en potentiele medewerkers gaan dit  als criterium toevoegen als ze met jouw bedrijf in contact komen. Bovendien hoor ik dagelijks van klanten, die de nodige voorbereidingen treffen, dat deze GDPR-compliance-oefening hen de kans geeft de interne werking en processen eens scherp te zetten. Er zijn er zelfs enkelen, die totaal nieuwe inzichten toeschrijven aan de ‘opportuniteit’ van de GDPR.

Als ondernemer zie je de GDPR dus best als een hygiëne factor die de markt zal zuiveren én jouw bedrijf verder zal doen professionaliseren.

PS. Mocht je willen bijlezen kan ik je alvast de website van de Privacy Commissie aanbevelen; https://www.privacycommission.be/nl

Waar sta je dan vandaag?

Ofwel; Je hebt een aantal essentiële stappen gezet en wellicht oa. een verwerkingsregister (en eventuele verwerkers overeenkomsten) opgesteld, een aantal policies laten uitschrijven en de website aangepast.

Ofwel; Je heb tot nu toe ‘geen tijd’ gehad om je voor te bereiden en bekijkt hoe de markt gaat reageren. 

In het eerste geval; Proficiat! Want je inspanningen zijn zeker niet vergeefs. Mogelijks zie je zelfs de eerste tekenen van optimalisatie en vereenvoudiging in je onderneming.

In het tweede geval; Geen paniek! Met wat gerichte inspanning kan je in deze periode het nodige nog rechtzetten en in de komende maanden verder uitwerken. Maar het is wel vijf voor twaalf. 

Er zijn twee stappen te onderscheiden: (1) Compliant worden, en (2) compliant blijven. Fase 2 zal dus gaan over het verder uitrollen van je GDPR-plan en een ‘plateau’ te creëren om bij de volgende uitbreiding, partnership, nieuw product, etc. van daaruit verder te groeien en je compliance level op peil te houden. Zo blijft de  GDPR-inspanning voor jou efficiënt en doelmatig, en loopt je niet steeds achter de feiten als er wat gebeurd of vragen gesteld gaan worden.

Fase 2 zal ook een levend verhaal blijken en in feite nooit ophouden. Het wordt deel van je bedrijfsvoering.

Hoe ga je GDPR operationaliseren?

Centraal in deze optiek staat de zgn. DPO. De Data Protection Officer is een nieuwe rol in het bedrijf, die het beheer van de GDPR verplichtingen op zich neemt en de naleving bewaakt. In sommige gevallen is het een verplichting zulke rol formeel te installeren. Dit betekent op zich nogal wat inzake aansturing, rapporteringslijn, mandaat én … statuut!

In alle andere gevallen is het raadzaam om hiervoor een beheerder of verantwoordelijke voor aan te stellen, die niet vanuit de wettelijke verplichting, dan wel vanuit goed beheer bepaalde taken waarneemt.

Voor ons KMO’s is het niet altijd haalbaar of wenselijk zulke rol intern te beleggen.  Je hebt niet genoeg capaciteit of budget om een full time DPO aan te stellen? Of wat als er sprake is van onafwendbare belangenconflicten intern? En wat als je verplicht bent een DPO aan te stellen maar er (te) weinig kennis in huis is om deze nieuwe rol te kunnen vervullen?

Het is daarom begrijpelijk dat een KMO een hotline wil naar een bredere ervaringsbasis om alledaagse en minder alledaagse GDPR topics te klankborden en te tackelen.

Wat kan Transitie-Partners hierin betekenen?

Allerlei scenario’s die structureel op te lossen zouden zijn door enerzijds (1) een externe DPO te installeren, of anderzijds (2) een interne DPO goed op te laten leiden. Bij beide willen wij je graag ter hulp schieten, door DPO-as-a-serviceaan te bieden. Wat mag je hiervan verwachten?  

1. Ten alle tijden up-to-date kennis in je organisatie
2. Een partner die in staat is om continue mee te bewegen met wijzigingen
3. Flexibele inzet op basis van de behoefte en de grootte van je organisatie
4. Daarom ook een kostenefficiënte oplossing
5. Zekerheid met betrekking tot het compliant blijven van je organisatie
6. Interne vraagbaak voor medewerkers voor cases en vraagstukken
7. Hands-on proactieve hulp bij toekomstige kwesties en problemen
8. Een helder kostenmodel en geen verassingen

DPO-as-a-Serviceis een flexibel model, waarbij de inhoud op maat is van jouw bedrijf. Geen eenheidsworst, maar gerichte doelstellingen en aflijning van scope en activiteiten. Daarbij kan een opdracht verschillende vormen aannemen, in functie van jouw nood en budget:

• Full DPO-as-a-Service: Voor ondernemingen en organisaties, die een wettelijke DPO verplichting hebben en dit om gelijk welke reden willen uitbesteden.
• DPO-light-as-a-Service: Voor bedrijven, die geen verplichting hebben maar wel ontzorgd willen zijn op vlak van GDPR-beheer.
• DPO-loket: Voor bedrijven die zelf bepaalde taken op zich willen nemen, maar op ad hoc basis een directe lijn willen naar ons kennis- en ervaringsplatform

Mocht je meer informatie willen over een Data Protection Officer voor je organisatie neem dan gerust contact met ons op en bel +32 11 98 85 76 of mail ons op erwin.driesen@transitie-partners.be. Wij denken graag mee over een oplossing die goed bij jouw unieke situatie past.