AVG-trainingen

Categorie: MKB

  • Het belang van privacy awareness bij leidinggevenden in het MKB

    Het belang van privacy awareness bij leidinggevenden in het MKB

    Elk jaar ontstaan er in Nederland talloze datalekken bij organisaties in het midden- en kleinbedrijf (mkb). Uit het Cybersecuritybeeld Nederland 2025 blijkt dat privacy awareness in veel organisaties nog onvoldoende ontwikkeld is en dat basismaatregelen regelmatig ontbreken. Digitale weerbaarheid is allang geen exclusief domein meer van IT-specialisten, juist bestuurders en leidinggevenden hebben een belangrijke verantwoordelijkheid in het realiseren van een veilige digitale bedrijfsvoering. Terwijl cyberdreigingen blijven toenemen, blijkt in de praktijk dat de meest riskante dreiging vaak van binnen de organisatie komt: de menselijke factor.

    Juist daarom is het voor mkb-organisaties essentieel om te investeren in privacy awareness van zowel leidinggevenden als medewerkers. Niet alleen om de kans op datalekken te verkleinen, maar ook om te voldoen aan de wettelijke verplichtingen uit de AVG/ NIS2 én de continuïteit van de organisatie te beschermen.

     

    Privacy awareness bij leidinggevenden in het MKB

    In een organisatie kunnen datalekken overal ontstaan: in de administratie, bij HR, op de werkvloer, in verkoopprocessen of zelfs in de communicatie met klanten. Dat maakt dataprotectie en privacy tot een organisatiebrede uitdaging. De juiste sturing vanuit directie en management is daarbij onmisbaar.

    Het creëren van privacy awareness begint namelijk niet bij de medewerkers, maar bij de leidinggevenden. Zij bepalen de koers, cultuur en prioriteiten. Een organisatie kan allerlei informatiebeveiligingssystemen aanschaffen, maar wanneer de toegang tot systemen verkeerd wordt toegekend, documenten onbeveiligd worden gedeeld of beveiligingsprocedures niet worden opgevolgd, blijft de grootste kwetsbaarheid bestaan: de mens en het werkproces.

    Leidinggevenden hoeven geen cybersecurity-experts te zijn. Wel moeten zij kunnen signaleren, stimuleren en sturen op privacybewust gedrag. Een leidinggevende die zich bewust is van risico’s én dit bewustzijn uitdraagt, vergroot de weerbaarheid van het hele team.

     

    Adviserende en toezichthoudende rol van leidinggevenden in het MKB

    Leidinggevenden in het mkb hebben een belangrijke rol in de naleving van de Algemene verordening gegevensbescherming (AVG). Die rol wordt steeds belangrijker nu datalekken sneller ontstaan en cybercriminelen zich voortdurend aanpassen.

    Op papier kan een organisatie volledig AVG-compliant lijken. Maar uiteindelijk gaat het erom of dat ook zichtbaar is op de werkvloer. Dat vraagt om aandacht voor praktische zaken zoals:

    • Wie heeft toegang tot welke data?
    • Werken medewerkers volgens het privacybeleid en procedures?
    • Durven medewerkers datalekken daadwerkelijk te melden?
    • Zijn medewerkers in staat phishingsmails te herkennen?
    • Weten medewerkers wanneer er sprake is van een datalek?
    • Worden verzoeken van betrokkenen correct en tijdig afgehandeld?

    Zonder toezicht, sturing en voorbeeldgedrag blijven regels slechts regels. Met actief leiderschap wordt privacy onderdeel van het dagelijks werk.

     

    AVG-training voor leidinggevenden in het MKB

    Leidinggevenden dragen verantwoordelijkheid voor:

    • toezicht op dataprotectie en privacy binnen de eigen afdeling;
    • het stimuleren van privacy awareness bij medewerkers;
    • voorbeeldgedrag in veilig werken;
    • risicomanagement rondom persoonsgegevens;
    • het borgen van privacyprocessen in de dagelijkse praktijk.

     

    Echter zonder de juiste kennis en vaardigheden is het moeilijk om deze rol goed in te vullen. Onzekerheid over verantwoordelijkheden, gebrek aan kennis over datalekken of onvoldoende inzicht in risico’s kan leiden tot fouten met grote gevolgen.

    Om leidinggevenden hierin te ondersteunen, heeft AVG-trainingen een praktische, direct toepasbare Masterclass ‘AVG op hoofdlijnen’ ontwikkeld, specifiek voor leidinggevenden in het mkb.

    In deze masterclass worden leidinggevenden uitgerust met:

    • de basis van de AVG vanuit hun verantwoordelijkheden;
    • inzicht in risico’s en veelvoorkomende datalekken;
    • handvatten om privacy awareness binnen hun team te vergroten;
    • concrete tools om dataprotectie aantoonbaar te borgen;
    • praktische oefeningen uit de dagelijkse werkpraktijk.

    Een belangrijk doel is het vergroten van het privacybewustzijn van leidinggevenden zelf, omdat zij uiteindelijk degene zijn die hun medewerkers moeten sturen, ondersteunen en beschermen tegen privacy- en beveiligingsrisico’s.

  • Ad-hoc werken kost dubbel zoveel geld: slim budgetteren voor cybersecurity, privacy en NIS2 in het mkb

    Ad-hoc werken kost dubbel zoveel geld: slim budgetteren voor cybersecurity, privacy en NIS2 in het mkb

    Cybersecurity en privacy zijn inmiddels onmisbare onderdelen van goed ondernemerschap. Toch komt in veel mkb-bedrijven de aandacht voor security en privacy pas op gang na een datalek, een hack of opmerkingen van de accountant. Pas dan wordt er met spoed een nieuw protocol of training ingevoerd.

    Dat ad-hoc handelen lijkt op korte termijn efficiënt, maar in werkelijkheid kost het meer tijd, geld en energie dan structureel beleid. Vaak wordt pas actie ondernomen nadat er iets misgaat, in plaats van vooraf maatregelen te nemen om problemen te voorkomen. Met de komst van de NIS2-richtlijn, die binnenkort ook in Nederland van kracht wordt, is die werkwijze niet langer houdbaar.

     

    De ad-hoc valkuil in het mkb

    Mkb-bedrijven hebben vaak beperkte middelen en veel operationele druk. De prioriteit ligt bij klanten, omzet en continuïteit. Daardoor blijft informatiebeveiliging en privacy soms iets voor ‘later’. Totdat er iets gebeurt: een phishingaanval, een medewerker die een verkeerde bijlage opent of een externe partij die onveilig met klantdata omgaat. Dan moet er snel worden gehandeld. Er volgt een spoedoverleg, maatregelen worden ingevoerd en er worden trainingen gestart.

    Dat lijkt daadkrachtig, maar de praktijk leert:

    • Noodmaatregelen zijn duurder dan gepland.
    • Beleid dat snel wordt opgezet, sluit niet altijd aan op de dagelijkse praktijk.
    • Zonder vervolg of borging verdwijnt de aandacht na enkele maanden.

    Het resultaat is een bedrijf dat blijft reageren in plaats van vooruit te denken.

     

    Waarom kost ad-hoc werken dubbel zoveel?

    Veel ondernemers onderschatten wat ad-hoc beveiliging op de lange termijn kost. De echte schade zit niet alleen in geld, maar ook in tijd, reputatie en vertrouwen.

    1. Hogere kosten: noodmaatregelen, herstelwerk en externe ondersteuning zijn duur.
    2. Tijdverlies: teams moeten reactief schakelen en bestaande processen tijdelijk stilleggen.
    3. Imagoschade: een datalek of cyberincident tast het vertrouwen van klanten aan.
    4. Compliance-risico’s: het niet naleven van de AVG of beveiligingsverplichtingen kan leiden tot boetes of aansprakelijkheid.

     

    Een structurele aanpak is daarom niet alleen veiliger, maar ook financieel verstandiger. Preventie en planning kosten minder dan crisismanagement.

     

    NIS2: nieuwe verplichtingen voor bedrijven

    De NIS2-richtlijn is gericht op het verbeteren van de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten. Deze verbetering is noodzakelijk vanwege meer afhankelijkheid van digitalisering en toegenomen dreigingen.

    Ook mkb-bedrijven kunnen met NIS2 te maken krijgen, bijvoorbeeld:

    • wanneer ze actief zijn in sectoren zoals digitale dienstverlening, transport, zorg, energie of financiële dienstverlening;
    • of wanneer ze toeleverancier zijn van organisaties die onder NIS2 vallen.

     

    NIS2 legt extra nadruk op bestuurlijke verantwoordelijkheid, ketenbeveiliging en risicomanagement. Ook geldt een meldplicht voor ernstige cyberincidenten en kunnen toezichthouders boetes opleggen bij niet-naleving.

    Zelfs als jouw organisatie niet direct onder NIS2 valt, zullen klanten en partners vaker eisen stellen aan jouw beveiliging. Bedrijven die aantoonbaar veilig werken, behouden vertrouwen en opdrachtgevers.

     

    Structurele aanpak: van incident naar inzicht

    Bedrijven die cybersecurity en privacy structureel organiseren, werken efficiënter en besparen geld. Een volwassen aanpak rust op drie pijlers:

    1. Risicobewustzijn: weet welke informatie en systemen kritiek zijn voor jouw bedrijfsvoering.
    2. Regelmaat: toets jaarlijks of beleid, processen en maatregelen nog aansluiten op de praktijk.
    3. Verantwoordelijkheid: zorg dat iemand in de organisatie het eigenaarschap draagt.  Denk daarbij aan de IT-manager, Privacy Officer of Functionaris Gegevensbescherming (FG).

    Door deze drie pijlers te combineren, ontstaat een continu proces van verbeteren in plaats van brandjes blussen.

     

    De rol van de Privacy Officer en Functionaris Gegevensbescherming

    Steeds meer mkb-bedrijven werken met een Privacy Officer (PO) of Functionaris Gegevensbescherming (FG), intern of extern. Hun rol is belangrijk in het borgen van continuïteit.

    • De Privacy Officer ondersteunt het management bij het naleven van privacy- en beveiligingsregels, onderhoudt beleid en zorgt voor bewustwording bij medewerkers.
    • De Functionaris Gegevensbescherming houdt onafhankelijk toezicht, adviseert over risico’s en ziet toe op naleving van de AVG.

    Een FG is niet in elk mkb-bedrijf verplicht, maar een FG kan wél een waardevolle sparringpartner zijn. Door de Privcy Officer (PO) en FG actief te betrekken bij beleid en begroting wordt informatiebeveiliging onderdeel van de bedrijfsvoering, in plaats van een losse kostenpost.

     

    Denk vooruit, niet achteraf

    Informatiebeveiliging en privacy vragen dezelfde discipline als financieel beheer of onderhoud aan machines. En het is altijd goedkoper om preventief te handelen dan om schade te herstellen.

    Plan daarom vaste momenten om risico’s te beoordelen, maatregelen te actualiseren en medewerkers te trainen. Door vooruit te denken houd je grip op kosten, bedrijfscontinuïteit en reputatie.

    De invoering van NIS2 maakt dat structurele aanpak onmisbaar wordt. Alleen bedrijven die aantoonbaar grip hebben op hun beveiliging voldoen straks aan de eisen van klanten, toezichthouders en partners.

     

    Vijf structurele stappen richting volwassen cybersecurity en NIS2-compliance

    Beoordeel je risico’s inclusief NIS2
    Breng in kaart of jouw organisatie onder de wet valt, of leverancier is van partijen die dat wel zijn. Analyseer waar de grootste risico’s liggen voor continuïteit en databeveiliging.

    Formuleer beleid en governance
    Zorg voor een helder beleid dat aansluit bij je bedrijfsstrategie. Leg verantwoordelijkheden vast bij directie, IT, PO en FG.

    Implementeer maatregelen
    Zorg voor passende technische en organisatorische beveiliging, zoals toegangsbeheer, monitoring, back-ups, awareness en noodprocedures.

    Richt incidentrespons en meldprocessen in
    Wees voorbereid op een incident. Leg vast wie handelt, wat gemeld moet worden en binnen welke termijnen.

    Beoordeel ketenrisico’s
    Vraag van leveranciers dat zij voldoen aan minimale cybersecuritynormen en toets dit regelmatig.

     

    Vooruitdenken is goedkoper dan herstellen

    Ad-hoc reageren op incidenten is duur, stressvol en ineffectief. Door cybersecurity, privacy en NIS2 structureel te verankeren in beleid, processen en begroting, bouwt het mkb aan duurzame digitale weerbaarheid.

    De sleutel ligt in vooruitdenken. Een klein, goed gepland budget voor preventie bespaart uiteindelijk dubbel zoveel geld aan herstel, crisismanagement en reputatieschade.

  • Verschil Privacy Officer en Data Protection Officer

    Verschil Privacy Officer en Data Protection Officer

    Organisaties hebben een grote verantwoordelijkheid als het gaat om informatiebeveiliging en de naleving van de AVG. Op dit gebied zijn er diverse functies te onderscheiden, zoals de Privacy Officer en de Data Protection Officer of de functionaris gegevensbescherming (FG). Maar hoe verhouden de functies Privacy Officer en de Data Protection Officer zich tot elkaar en kun je ze combineren?

     

    Wat doet een Privacy Officer?

    De Privacy Officer zorgt voor continuïteit op het gebied van cybersecurity en privacy en is ook verantwoordelijk voor het actualiseren en bewaken van het securitybeleid binnen de organisatie en het ondersteunen van de uitvoering.  In dit artikel kun je lezen wat een PO nog meer doet in een organisatie.

     

    Wat doet een Data Protection Officer of Functionaris gegevensbescherming?

    De Data Protection Officer is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). In dit artikel kun je lezen wat een DPO nog meer doet in een organisatie.

     

    Privacy Officer versus Data Protection Officer

    • Het grootste en zeker ook het belangrijkste verschil is dat een DPO verantwoordelijk is voor het toezicht houden op de naleving van de AVG en de Privacy Officer niet.
    • De Privacy Officer (PO) is verantwoordelijk voor het vormgeven en bewaken van het securitybeleid binnen de organisatie. De DPO houdt toezicht op de toepassing en naleving van het securitybeleid.
    • De Data Protection Officer mag geen instructies ontvangen van de verwerkingsverantwoordelijke over hoe hij zijn taken als DPO moet uitvoeren. De PO is verantwoordelijk voor de eerstelijnsadvisering en adviseert de verwerkingsverantwoordelijke, leidinggevenden en andere medewerkers over cybersecurity- en privacyvraagstukken.
    • De Privacy Officer levert een actieve bijdrage aan het verhogen van de awareness van medewerkers. De Data Protection Officer kan gevraagd en ongevraagd de PO voorzien van adviezen voor het creëren van awareness omtrent cybersecurity en privacy.
    • De DPO moet signaleren en rapporteren, terwijl de PO meer een operationele rol heeft. Hij of zij gaat aan de slag met de adviezen van de DPO.
    • Een belangrijke taak van de Privacy Officer is om risico’s in kaart te brengen. Denk daarbij ook aan DPIA’s.

     

    Functies combineren?

    Hoewel beide functies veel overeenkomsten hebben, is het raadzaam om ze niet te combineren. Door combinatie van deze functie kan de onafhankelijke rol van de DPO wel degelijk in het gedrang komen. De Autoriteit Persoonsgegevens stelt dat de FG binnen de organisatie niet ook een functie mag hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt. Dit om belangenverstrengeling te voorkomen.