YourSafetyNet: AVG-compliance moet eenvoudig en betaalbaar zijn

YourSafetynet biedt kansen aan de MSP’er en business partners

Ondanks dat de AVG-deadline inmiddels is gepasseerd, beginnen nu voor de meeste organisaties de uitdagingen pas echt. Hun privacy-softwareoplossing YourSafetynet helpt bedrijven, overheden en schoolorganisaties stap-voor-stap bij het ‘AVG-proof’ maken van hun organisatie en biedt bovendien een aantrekkelijk verdienmodel voor businesspartners. We spraken met oprichter Cor van Gils en commercieel manager Berny de Vries.

In de aanloop naar 25 mei werden we massaal gewaarschuwd: zorg dat je voor die datum aan de AVG voldoet. Toch viel die harde ‘switch’ in de praktijk wel mee. Het is in die zin niet vergelijkbaar geweest met de ‘millennium-bug’, die andere tech-deadline die voor grote stress zorgde. Een favoriet onderwerp is het voor ondernemers echter nooit geworden, en zal het voor organisaties ook niet worden, verwacht Van Gils  “Privacy is vrijwel nooit de core business van een organisatie. Terwijl compliance geen luxe is, maar pure noodzaak. De wet vereist het, maar een goede privacy-huishouding is ook een morele plicht richting de buitenwereld.”

Totaaloplossing

Met die gedachte ontwikkelde Media Security Networks, het bedrijf achter YourSafetynet, een geautomatiseerde softwareoplossing. Een oplossing die door medewerkers, adviseurs en ‘functionarissen gegevensbescherming’ kan worden gebruikt om organisaties stap-voor-stap compliance te maken. “We vinden dat AVG-compliance voor iedere organisatie bereikbaar moet zijn. Zonder onnodig ingewikkeld gedoe. Met die gedachte hebben we een oplossing ontwikkeld die mensen in organisaties helpt om goed, snel en efficiënt AVG-proof te worden”, zegt Van Gils.

‘Vergelijk het met gras maaien: binnen enkele weken heeft het onderhoud nodig. Met AVG- compliance is dat niet anders’

Hoe het werkt? Van Gils: “De basis is een krachtige software-appliance. Kernonderdeel van die software is de wizard, die organisaties door alle verplichte technische, organisatorische en preventieve maatregelen leidt. Daarbij leveren we alle benodigde documenten en reglementen en reiken die op het juiste moment, in de juiste context aan.” Een bewuste keuze, aldus Van Gils. “We merken dat veel organisaties hun eigen AVG-boekhouding bij elkaar googelden.

Een formuliertje hier, een checklist daar. Zonder dat duidelijk was of dat materiaal wel voldeed. Compliance is als een puzzel: alle stukjes moeten in elkaar passen. Met YourSafetynet kun je organisaties daarvan verzekeren.”

De oplossing is bewust gebruiks- vriendelijk ontworpen. “Veel organi- saties hebben behoefte aan een gebruikersvriendelijke tool, waarbij uitgebreide trainingen niet nodig zijn”, zegt De Vries. “Organisaties verwachten een professionele oplossing, waarmee hun medewerkers de organisatie zo efficiënt mogelijk AVG-gereed maken. Met behulp van YourSafetynet is dit mogelijk. Compliance moet voor iedere organisaties gemakkelijk en betaalbaar zijn. Naast AVG-compliance reguleert onze oplossing ook ongeoorloofd (privé) gebruik van ICT-middelen, waardoor de oplossing zichzelf terugverdient en bovendien het risico op datalekken verkleint.”

Niet alleen datalekken

In de aanloop naar 25 mei lag in de media sterk de nadruk op het voorkomen van datalekken, met name vanwege de sterk toegenomen maximale boetes onder de AVG. Met als gevolg dat veel organisaties de AVG vooral zien in relatie tot dit risico.

Ook heerst er de opvatting dat voldoen aan de AVG met name een kwestie is van het opstellen of zelfs downloaden van een verwerkersovereenkomst. “Organisaties hanteren vaak een veel te smalle blik”, zegt Van Gils. “Natuurlijk is het voorkomen van datalekken en boetes een speerpunt. En ja: een verwerkersovereenkomst is vaak nodig. Maar dat zijn slechts onderdeeltjes uit het veel grotere geheel. Er is zoveel meer. Natuurlijk allereerst de vele nieuwe en aangescherpte regels, reglementen en procedures die de nieuwe wetgeving met zich meebrengt.”

AVG-documentbeheer

Ook is er volgens Van Gils fundamenteel iets veranderd. “Een organisatie moet voortaan zelf compliance kunnen aantonen. Dat vereist een uitgebreide, nauwgezette ‘AVG-boekhouding’”, benadrukt hij. “Daarom hebben wij met de laatste update hiervoor een veilige beheer- en opslagruimte voor AVG-documentbeheer ingericht. We leveren niet alleen alle benodigde documenten en reglementen, maar ook een logische en veilige opslagstructuur. Dat is wel zo handig als de Autoriteit Persoonsgegevens op de stoep staat.”

AVG-zorgplicht

Een ander belangrijk aandachtspunt is de zorgplicht die de AVG met zich meeneemt. De Vries: “Burgers hebben sinds 25 mei veel meer controle gekregen over hun persoonsgegevens. Ze moeten hun persoonsgegevens gemakkelijk kunnen laten verwijderen, corrigeren, opvragen of naar een andere partij overdragen. Organisaties moeten aan die verzoeken snel en correct gehoor kunnen geven. Medewerkers moeten op de hoogte zijn van de procedures hiervoor, en bovendien moeten deze netjes gedocumenteerd zijn.”

De AP neemt die zorgplicht serieus. Onlangs deelde de privacywaakhond een forse boete uit aan een vermogensbeheerder die niet kon voldoen aan een inzageverzoek. De Vries: “Dat is zorgwekkend en alarmerend, want uit recent onderzoek bleek dat 70 procent van alle organisaties uit onbekendheid niet aan deze verzoeken kan voldoen.”

Volgens De Vries is dat lage cijfer zorgwekkend, maar ook begrijpelijk. “Organisaties hebben die zorgplicht simpelweg niet scherp. Er is te weinig aandacht voor geweest, en ze weten niet hoe ze dit moeten aanpakken. Daarom hebben we het in de nieuwste versie van YourSafetynet zo gemakkelijk mogelijk gemaakt. We leveren kant-en- klare procedurehandleidingen mee die bovendien honderd procent voldoen aan de wetgeving.”

AVG-workflow

Onlangs werd YourSafetynet uitgebreid met een veelbelovende feature: AVG-WorkFlow. Hiermee houden organisaties de voortgang van het compliancetraject in de gaten, eventueel ook per filialen of vestigingen. “Veel organisaties hebben weinig zicht op het traject”, legt Van Gils uit. “Het staat ze niet scherp op het netvlies wat precies is afgerond, wat in gang is gezet en wat nog moet gebeuren. Daar maakt AVG-Workflow rigoureus een einde aan. Tot op taakniveau is te zien welke stappen nog moeten worden gezet tot honderd procent compliance is bereikt.”

Voor businesspartners biedt deze functie de mogelijkheid het traject voor meerdere klanten tegelijkertijd in de gaten te houden. Dankzij AVG-Workflow kunnen ze zich opwerpen als compliance- manager, een taak die hen duidelijk kan onderscheiden van de concurrentie.

Grote kansen voor USP’s

De AVG is zeker voor ICT-leveranciers dan ook niet alleen een last. Op dit moment voldoet volgens schattingen slechts 15 tot 25 procent van de organisaties aan de AVG. Er is voor hen dan ook nog genoeg werk aan de winkel. Niet alleen bij de eigen organisatie, maar ook richting de klant. De Vries: “ICT-leveranciers zijn steeds vaker dienstverleners met hun eigen toegevoegde waarde. Als partner van hun klanten leveren ze een grote toegevoegde waarde, dat wordt ook van ze verwacht. Met YourSafetynet hebben ze een oplossing in huis waarmee ze hun klanten daadwerkelijk kunnen ontlasten. YourSafetynet biedt wat dat betreft een waardevolle uitbreiding op het dienstenportfolio. Het maakt tegelijkertijd de eigen organisatie privacy-vriendelijk, en dat is tegenwoordig een belangrijke USP. Klanten waarderen dat. Daarnaast bieden we een aantrekkelijk verdienmodel.

Via onze portal is licentiebeheer eenvoudig en de oplossing snel uit te rollen.Businesspartners kunnen relatief eenvoudig een goede marge verdienen.” Volgens Van Gils hebben ICT-leveranciers bovendien een morele plicht richting hun klanten hen te informeren bij risico’s. Niet voldoen aan de AVG levert de nodige risico’s op. “Veel cyberverzekeringen keren niets uit als men niet aantoonbaar aan de AVG voldoet. En dan praten we nog niet over de imagoschade. Die ellende moet je als ICT-leverancier niet willen voor je klant.”

Diensten

Op het gebied van dienstverlening heeft YourSafetynet zelf ook beslist niet stilgezeten. Onlangs breidde het bedrijf zijn portfolio uit met ‘FG-as-a-Service’, een dienst waarbij organisaties een Functionaris voor de Gegevensbescherming (FG) tijdelijk kunnen inhuren. “FG’ers zijn schaars”, legt De Vries uit. “Maar ondertussen zijn organisaties in sommige gevallen wel verplicht tot het aanstellen van een dergelijke persoon. Wij bieden een eenvoudige oplossing, een gecertificeerde FG’er van hoge kwaliteit op basis van inhuur.”

Ook werkt het bedrijf momenteel aan privacy-bewustwordingstrainingen die zowel klassikaal als via e-learning gegeven worden. Volgens De Vries is die bewustwording bij medewerkers dan wel geen wettelijk issue, maar wel een belangrijk aandachtspunt. “De ketting is zo sterk als de zwakste schakel. Je kunt beschikken over een politiekeurmerk hang- en sluitwerk en een anti-inbraakalarm. Maar laat de laatste die het pand verlaat de deur openstaan, dan kun je het waarschijnlijk schudden bij de inbraakverzekering. Onbewust personeel zorgt voor onnodige risico’s. Ook het omgekeerde is waar: bewust personeel kan actief helpen met het voorkomen van privacy- en compliance-issues.”

Nooit klaar

Is een organisatie na het afwerken van alle stappen, documenten en procedures helemaal ‘klaar’ met de AVG? Volgens De Vries is het niet zo simpel. De kerntekst van de AVG staat op dit moment vast, maar de uitleg in de praktijk die bijvoorbeeld overheden of de Autoriteit Persoonsgegevens geven is volop in ontwikkeling. “Vergelijk het met gras maaien. Je kunt natuurlijk zeggen dat je ‘klaar’ ben als het gazon weer kort is, maar helemaal klaar ben je er nooit mee. Binnen enkele weken heeft het weer onderhoud nodig.”

‘Onbewust personeel zorgt voor onnodige risico’s’

Met AVG-compliance is dat niet anders, vult Van Gils aan. “Er komen van tijd tot tijd uitbreidingen en wijzigingen maar ook gewijzigde interpretaties van de wet. Wij houden dit soort zaken bij, zodat de opdrachtgever zich kan bezighouden met dat waar zijn of haar hart ligt: bij zijn of haar product, dienst of goed.”

Succes oogsten

Inmiddels heeft YourSafetynet al de nodige successen geoogst. “We hebben uitstekende recensies gekregen in de vakmedia. Daarnaast hebben we het vertrouwen van de eindklant en van onze resellers weten te winnen. We hebben inmiddels ruim 600.000 gebruikers, waaronder zelfs het ministerie van Justitie in Nederland en België”, zegt Van Gils.

Plannen voor de toekomst zijn er ook. “Natuurlijk zoeken we altijd naar resellers die zich bij ons willen aansluiten. Daarnaast zijn we momenteel druk aan het ontwikkelen om YourSafetynet geschikt te maken voor het beheren van compliance-trajecten rondom ISO-27001. Dat zal een enorme aardverschuiving in de markt veroorzaken en organisaties veel kosten besparen. Dat weet ik zeker”, zo besluit Van Gils.

[Dit artikel is eerder gepubliceerd in het Security Dossier 2018 van ChannelConnect]

Lees het artikel hier in PDF