Uiterlijk per 25 mei 2018 moeten alle Nederlandse ondernemers zich aan de GDPR houden. Over de impact van deze verordening is het afgelopen jaar al veel geschreven in ChannelConnect. Ook Sellair, de uitgever van ChannelConnect, heeft er mee te maken. YourSafetynet is een van de organisaties die daarvoor in de arm is genomen.
Sellair houdt kantoor in Hilversum. De data staat om voor de hand liggende redenen ook off- premise. De werkzaamheden worden verricht door eigen medewerkers en freelancers. Het on-premise IT-beheer doet een externe partij. Die gaat over de hardware, software en infra van Sellair, de freelancers vallen buiten die beheersovereenkomst. Dit is een situatie die op veel plekken in Nederland voorkomt. Daarom heeft Sellair ook besloten de eigen case te gebruiken om nogmaals aandacht te vragen voor de GDPR.
Uitgangspunten
Het begon allemaal met het stellen van deze twee simpele vragen: wat moeten we als eerste doen en wat hoort onze IT-beheerder te doen? Die vragen zijn voorgelegd aan Yoursafetynet. Na een telefonische voorbespreking kwamen Cor van Gils en Robert-Mitchell Langeler bij Sellair uitleg geven. Bij het gesprek was vanzelfsprekend de externe IT-beheerder aanwezig. De aanwezigen wisten ook dat het gesprek de basis zou vormen voor dit artikel.
Kennismaking
Zoals gebruikelijk begon het gesprek met een korte voorstelronde. Relevant om te melden is dat YourSafetynet een partij is die al langer bestaat. In 2005 werd gestart en sinds 2007 is men met name, maar niet uitsluitend, sterk aanwezig in de onderwijssector. Daarmee onderscheidt het bedrijf zich in twee wezenlijke opzichten van de tientallen bedrijfjes die de laatste twee jaren als paddenstoelen uit de grond zijn geschoten. YourSafetynet heeft een aantoonbare trackrecord en kennis van uiteenlopende markten en sectoren. “Beleid in plaats van techniek, dat is waar het volgens ons vooral om moet gaan.” Met die woorden begon Cor van Gils zijn uitleg. “We zijn nadrukkelijk geen consultants, dat is een markt waar we ons verre van houden.” Wat YourSafetynet wel doet is aan de hand van logische opgebouwde en door de jaren steeds verder ontwikkelde wizards de klanten inzicht geven in wat nodig is en wat al voorhanden is. Met de tooling van YourSafetynet kunnen organisaties op basis van een webbased appliance middels de wizards stap-voor-stap alle GDPR-gerelateerde topics onder controle krijgen. De aanpak is verrassend simpel en levert een aanzienlijke besparing in tijd en kosten.
Bewustwording
Elk van de vragen in de wizard heeft als doel de aanvrager bewust te maken van de handelingen die hij of zij verricht, dan wel laat verrichten. Bij elk van de voorkomende situaties worden dan de juiste documenten beschikbaar gesteld. Als die er binnen de organisatie nog niet zijn, dan voorziet de YourSafetynetapplicatie in up-to-date sjablonen die gebruikt kunnen worden. Van Gils: “Door de wizard en het uitvragen maken we iedereen bewust van wat er nodig is om GDPR compliant te worden.” Het is een benadering die volgens Van Gils nog weinig voorkomt in de markt. Bij YourSafetynet ziet men vooral veel techniek naar binnen worden geschoven, terwijl dat nooit de totale oplossing kan vormen. Uit de voorbeelden van sjablonen die worden genoemd blijkt overigens dat de wizard meer doet dan alleen maar sturen op GDPR-compliance. Vragen over regels voor het gebruik van beeldmateriaal zijn daar een goed voorbeeld van. Daar spelen namelijk naast de privacyaspecten ook de auteursrechten een belangrijke rol. Duidelijk wordt dat alleen al het doorlopen van de wizard voor iedereen nuttig is om meer bewust te worden. Dat is op zijn beurt een goede basis om de kans op missers sterk te reduceren.
Robert-Mitchell Langeler (l) en Cor van Gils (r)
Personen niet werkplekken
Bovenstaande verklaart ook waarom het businessmodel van YourSafetynet is gebaseerd op personen. Langeler: “Hier zie je weer een wezenlijk verschil tussen technische oplossingen en onze aanpak. Wij kijken niet naar werkplekken of mailboxen, maar naar de mensen. Bewustwording is iets dat mensen aangaat. Ons model gaat uit van elke persoon die de wizard doorloopt en dat waarvoor het beleid van de opdrachtgever geldt.” Dat beleid kan dan vervolgens worden gemonitord met tooling.
Rol IT-beheerder
Het antwoord van YourSafetynet op de eerste vraag (“Wat moeten we als eerste doen?”) is daarmee grotendeels beantwoord. De tweede vraag luidde: “Wat hoort onze IT-beheerder te doen?” Het voor de hand liggende antwoord is dat die ervoor moet zorgen dat de wizard kan worden doorlopen. Op dat punt aanbeland raakt het gesprek de kern van de onderschatte problematiek. De IT-beheerder kan natuurlijk de software installeren en op basis van een interessant resellermodel aan zijn klanten ter beschikking stellen. Wat dan echter over het hoofd wordt gezien is dat hij zelf ook aan de GDPR heeft te voldoen. Hij verwerkt en beheert immers data in opdracht van zijn klanten en ten behoeve van zijn eigen bedrijfsvoering. Daarom is het bij YourSafetynet gebruikelijk dat de beoogde reseller de webapplicatie eerst voor zich zelf installeert en doorloopt. Als dat is gebeurd en hij de dienst vervolgens zijn klanten aanbiedt, is in ieder geval zijn deel van de keten GDPR compliant.
YourSafetynet heeft een aantoonbare trackrecord
Het voordeel van deze volgorde is dat de IT-beheerder op basis van zelf opgedane praktijkkennis een dienst gaat aanbieden die hij zelf ook gebruikt. Omdat hij YourSafetynet gebruikt, weet hij beter de impact van wijzigingen en updates voor zijn klanten in te schatten. Dat biedt de interessante mogelijkheid meer te leveren dan alleen deze dienst op abonnementsbasis. Het begrip dat hierbij hoort is uiteraard trusted advisor.
Vervolgstappen
Duidelijk is dat het GDPR compliant zijn meer is dan software op een server laten installeren en de verantwoordelijke Sellair-medewerker de wizard te laten doorlopen. De externe IT-beheerder is een essentiële schakel in dit verhaal. Zijn woorden: “Ik wil jullie graag helpen, maar ik ga het eerst voor me zelf inregelen” geven dat precies aan. Terwijl hij dat doet en kennis vergaart zit Sellair niet stil. De bestaande procedures en overeenkomsten worden andermaal tegen het licht gehouden en waar nodig aangepast.
De Europese privacyverordening ‘algemene verordening gegevensbescherming’ (AVG) gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’. In het Engels heet de AVG: General Data Protection Regulation (GDPR). Deze verordening vervangt de data beschermingsrichtlijn uit 1995. Die sloot niet meer aan op de huidige digitale wereld. De AVG is in mei 2016 in werking getreden. Van organisaties wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering met de AVG in overeenstemming brengen.
[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 1-2018]
