Interview met Ingrid De Poorter, professor aan de UGent en managing partner van DeGroote-DeMan.

 

Het is tijd om in gang te schieten, want 25 mei 2018 is niet meer zo veraf.

 

Hoe implementeren kmo’s de GDPR best in de praktijk?

Op basis van mijn ervaring hanteren ondernemingen best een pragmatisch stappenplan dat niet perse complex, kostelijk of tijdrovend hoeft te zijn. Dit proces, dat bestaat uit analyseren, identificeren, remediëren en implementeren, hanteren ook wij met succes voor onze klanten:

 

  • Eerst en vooral dient een bedrijf te beslissen welk bedrijfsproces (HR, website, finance, marketing, operations,…) het in lijn wil brengen.
  • Eens dit bepaald is, dan kunnen we stapsgewijs gaan kijken naar welke data het bedrijf verzamelt, hoe die verzameld wordt, hoelang die wordt bijgehouden,… Op basis van een vragenlijst wordt hierover een rapport opgemaakt dat de leemten identificeert, zowel op juridisch als op technisch gebied.
  • Vervolgens wordt een actieplan opgesteld om de gaps te remediëren en alles te implementeren.

 

Op 25 mei 2018 moet ieder bedrijf in orde zijn. Moeten kmo’s zich niet stillaan beginnen haasten?

Er heerst momenteel veel angst over de mogelijke boetes en schadevergoedingen. Uiteraard moet men zich bewust zijn van de nieuwe wetgeving en eraan werken om deze implementeren. Maar we mogen ook niet overdrijven.

Toch is het tijd om in gang te schieten, want 25 mei 2018 is niet meer zo veraf. De tijd die nodig is om een van de bedrijfsprocessen in lijn te brengen varieert tussen de acht à tien weken, afhankelijk van de grootte van het bedrijf en van de snelheid van de IT-implementatie. De meeste bedrijven hebben echter heel wat bedrijfsprocessen die ze in kaart moeten brengen, dus de marge om op tijd klaar te zijn wordt beperkter.

 

Met welke bijzondere uitdagingen kampen kmo’s op dit vlak?

Hoewel het hele traject voor kmo’s dikwijls minder complex is dan voor bv. banken of grote internationale conglomeraten, is het voor hen een bijzondere uitdaging om voldoende resources vrij te krijgen om deze transitie te maken. Kmo’s liggen misschien minder wakker van hoe hun processen en dataflows lopen, en zien dus minder snel de meerwaarde van zo’n hele optimalisatie. Ten onrechte volgens mij. Meer en meer zie je ondernemingen dit als USP (Unique Selling Proposal) naar voren schuiven. Mogelijk zullen in de nabije toekomst GDPR compliant ondernemingen niet langer willen samenwerken met ondernemingen die hierin nalatig zijn.

Ook de oefening op zich is interessant voor deze ondernemingen, want het biedt hen een zicht op de werking en veiligheid van hun processen en interne controle mechanismen. Op zich komt dit eigenlijk neer op een goed bestuur, en dat dient ieder bedrijf nu eenmaal te hebben.