Voldoen aan de AVG? Wel noodzakelijk, niet complex
Om te kunnen voldoen aan de AVG zullen bedrijven nu al aan de slag moeten gaan om persoonsgegevens op correcte wijze op te slaan en te verwerken. Dit lijkt nog niet echt van de grond te komen. 'Dat heeft onder meer te maken met prioriteiten en budgetten', legt Berend uit. 'Die zijn bij grotere organisaties toch wat rekbaarder. Met name waar het gaat om zaken zoals de Meldplicht Datalekken en de AVG is het lastig voor kleinere organisaties om hier concreet invulling aan te geven.'
Berend Tel is eigenaar van securityspecialist Axxemble.
De dynamiek in het MKB
Het MKB is erg dynamisch en hierin ligt ook meteen het probleem, vertelt Berend. 'Het is dan lastig voor deze organisaties om de focus te houden op verandering van hun IT-omgeving om te kunnen voldoen aan regelgeving. Veel bedrijven denken dat het hen niet overkomt, of dat het risico op een boete vrij laag is. Zet dat uit tegen de verwachte hoge kosten voor een implementatie van alle regelgeving en de prioriteit neemt al snel af.’
En dat is een misvatting, want zoals de Meldplicht Datalekken al heeft laten zien worden er al boetes uitgedeeld. Zo heeft KPN een boete van 364.000 euro gekregen naar aanleiding van de hack waarbij een 17-jarige jongen toegang kreeg tot klantgegevens. 'Zo'n bedrijf kan dat dragen en het dient wellicht ook als voorbeeld. Voor het MKB lijkt dat echter nog niet overtuigend. Het is maar de vraag of organisaties beseffen wat de implicaties kunnen zijn. Denk naast boetes ook aan imagoschade.’
Geen dreiging, maar kans
Ondanks het dwingende karakter is de invoering van de AVG uiteindelijk een positieve stap, vindt Berend. 'Grotere organisaties hebben al stappen gemaakt in de bescherming van persoonsgegevens, maar hoewel het MKB het hier iets lastiger in heeft biedt het ook hen kansen. Veel bedrijven in het MKB zijn ook actief in omringende landen als België, Duitsland en Frankrijk. Nu moeten ze voldoen aan de lokale wetgeving in desbetreffende landen, wat moeilijk is. Met toepassing van de AVG voldoe je meteen aan de wetgeving binnen de gehele Europese Unie. Dat is een stap vooruit. Essentieel is dat organisaties zien dat de AVG hun bedrijfsvoering op de middellange termijn juist helpt doordat risico's op schade door datalekken simpelweg verkleind worden.'
Vanuit Axxemble wordt het MKB geholpen de IT-infrastructuur op orde te krijgen door het toepassen van best practices op het gebied van informatiebeveiliging die prima aansluiten bij de AVG. De AVG wordt vooralsnog slecht begrepen, het lijkt veel wat organisaties moeten doen waardoor het een berg wordt waar zij tegenop zien. Maar het hoeft niet duur en complex te zijn om te voldoen aan de AVG. Zonder de impact van de AVG te onderschatten, zou dit meer nadruk mogen krijgen in de informatievoorziening rondom de AVG en daarin ligt nog werk voor zowel overheid als bedrijfsleven.'
Axxemble
Axxemble is een jong bedrijf dat zich richt op informatiebeveiliging specifiek voor het MKB waarin zij op concrete en praktische wijze ondersteuning biedt bij een adequate en professionele informatiebeveiliging. Axxemble gebruikt hierbij best practices om organisaties te laten voldoen aan de ISO 27001, NEN 7510 inclusief eisen volgens de nieuwe AVG. Kijk voor meer informatie op axxemble.nl.