“Je grootste zorg moet de klant zijn bij de GDPR”

De GDPR die op 25 mei van kracht wordt, zorgt ervoor dat veel bedrijven nadenken over hoe ze om moeten gaan met gegevens van hun klanten. Bij cloud service broker Eshgro staat het thema al veel langer op de agenda. Oprichter en directeur Anton Loeffen vindt dat bedrijven hun beleid niet aan moeten passen omdat de wetgever dat vraagt, maar in het belang van hun klanten en de reputatie van het bedrijf.

Eshgro heeft fulltime een compliance officer in dienst met een juridische achtergrond die ondersteunt bij onderwerpen zoals het verwerken van persoonsgegevens. Het is tekenend voor het belang dat het bedrijf hecht aan onderwerpen zoals de GDPR. Dat is eigenlijk al zo sinds de oprichting, in 2004. Loeffen vertelt er dan ook graag en enthousiast over.

“Bedrijven vragen zich nu af of ze compliant zijn aan de GDPR, zowel voor hun interne als hun geoutsourcete IT. Voor de IT die ze outsourcen zouden ze van hun serviceprovider moeten eisen dat die garandeert dat alles wat hij doet in overeenstemming met de GDPR is. Wij hebben de visie dat we voor klanten niet alleen de techniek outsourcen, maar dat we ook alle vereisten aan de zakelijke kant voor onze rekening nemen. Waaronder dus GDPR-compliancy. Onze klanten moeten daarop kunnen vertrouwen.”

Voorbeelden
Loeffen noemt een aantal mogelijke incidenten om aan te geven hoe eenvoudig je als bedrijf de fout in kunt gaan. Niet altijd per se door de GDPR, maar ook doordat het thema privacy op de kaart staat. “Bijvoorbeeld in het geval dat iemand van baan verandert en zijn oude en zijn nieuwe werkgever een kopietje van de laatste salarisstrook uitwisselen. De werknemer kan die privacy-schending heel makkelijk melden. Een ander voorbeeld is een bedrijf dat op een website, heel onschuldig, namen en e-mailadressen zonder toestemming verzamelt. Als een handig persoon een lek ontdekt en dat meldt, gaat de toezichthouder naar de verwerkingsverantwoordelijke en kun je als bedrijf een probleem hebben.”

Reputatie
Bedrijven die op die manier in de fout gaan kunnen problemen krijgen met de toezichthouder, maar daarnaast loopt hun reputatie gevaar. “Een medewerker, maar zeker een klant of patiënt kan er ook voor kiezen om zo’n bedrijf op social media compleet aan de schandpaal te nagelen. Je ziet dat een steeds grotere groep mensen dit onderwerp serieus neemt. Ze willen dat er veilig met hun gegevens wordt omgegaan. De nonchalance op dat gebied verdwijnt. En mensen gaan vervolgens anderen aansprakelijk stellen. Dat zie je nu in de VS en dat gaat hier ook gebeuren. Als bedrijf moet je jezelf daarom afvragen of je de deur dicht hebt zitten. Zorg dat je samenwerkt met een serviceprovider die de complete verantwoordelijkheid neemt voor de businesskant en die alles heeft geregeld qua security en compliancy. Daar horen ook de juiste certificeringen bij, zoals ISO 27001, NEN 7510 en een ISAE 3402 assurance rapport. Wij nemen die verantwoordelijkheid en leggen daarbij, samen met de klant, alles vast. Als die een deel van de IT zelf wil blijven doen: ook prima. Dan regelen we precies wie er juridisch waarvoor verantwoordelijk is zodat dat helemaal duidelijk is. Maar zeker in het MKB nemen wij heel vaak de hele verantwoordelijkheid. Het gaat er in de nieuwe verordening om dat je er als bedrijf alles aan hebt gedaan om de beveiliging zo goed mogelijk te regelen. In dat geval heb je dat zeker gedaan.”

Grootste zorg
“Je moet niet bang zijn voor de wetgever”, vindt Loeffen. “Je grootste zorg moet je medewerker, je klant of je patiënt zijn. Je hebt niet veel mensen nodig om je reputatie aan gort te helpen. Klantenservice gaat verder dan een goede telefonische helpdesk. Het gaat er ook om hoe je met de data omgaat. Maar als bedrijf wil je daar natuurlijk niet over nadenken en je alleen richten op waar je goed in bent. IT-bedrijven praten in dat kader vaak over ontzorgen, maar dan gaat het meestal alleen over het technische deel. Terwijl klanten juist ook in het zakelijke deel ontzorgd willen worden. Want ga maar na, wat is erger voor een bank: dat internetbankieren er door een technische storing een paar uur uit ligt of wanneer er creditcardgegevens op straat komen te liggen?”