4 min read

De Nederlandse economie kent een groot scala aan veelbelovende startups die de kansen grijpen die de digitaliserende samenleving hen biedt. De bedrijven groeien snel en zijn voortdurend gericht op innovatie. We kennen allemaal de succesverhalen, maar uiteraard gaat het ook vaak genoeg mis. Een van de mogelijke oorzaken is het gebrek aan tijd en aandacht wat betreft de basis van de organisatie, met vervelende privacy- en informatiebeveiligingsincidenten als gevolg. 

Het tempo waarin de (Nederlandse) economie digitaliseert is door de Covid-19-pandemie flink gestegen. Dat biedt volop kansen, zo tonen startups voortdurend aan. Met name in de technologische, logistieke en financiële sectoren bestormen succesvolle startups de markt. Innovatieve ideeën trekken grote groepen gebruikers en de adverteerders stromen toe. Als grootste risico’s voor de realisatie van bedrijfsdoelstellingen wordt vooral nog gedacht aan zaken als schaalbaarheid en concurrentie.

Groeien en innoveren is precies wat startups willen en dus is het begrijpelijk dat alle tijd en aandacht daarnaar uitgaan. Het risico bestaat echter dat startups zich hiermee in de vingers snijden. Het fundament onder alle groei en innovatie heeft namelijk ook tijd en aandacht nodig. Denk hierbij aan het voldoen aan relevante wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Deze wet geldt voor vrijwel alle bedrijven en organisaties die persoonsgegevens verwerken en waarborgt dat zorgvuldig wordt omgegaan met persoonsgegevens van individuen. Als de aandacht voor het voldoen aan de eisen van de AVG achterwege blijft, levert dit behoorlijke risico’s op die kunnen leiden tot reputatie- en/of financiële schade . Gezien het prille stadium waarin startups zich vaak nog bevinden, kan dit slecht aflopen.

Zeker de startups waarvan het businessmodel met name gericht is op verwerkingen van persoonsgegevens doen er goed aan bewust om te gaan met risico’s omtrent informatiebeveiliging en privacy. Onlangs nog werd een datalek geconstateerd bij een startup die mensen in staat stelt (informele) bijeenkomsten te organiseren. Door kwetsbaarheden in de beveiliging waren de privégegevens van honderdduizenden mensen voor langere tijd toegankelijk voor derden. Het bedrijf bleek onvoldoende rekening te hebben gehouden met het risico dat dit soort kwetsbaarheden zich kunnen voordoen.

Dit soort beveiligingsincidenten kunnen vanzelfsprekend grote gevolgen hebben voor de reputatie van een bedrijf en zodoende leiden tot verlies van vertrouwen. Daarnaast kunnen de boetes voor overtredingen van de AVG aardig oplopen. Alle reden dus voor startups om op dit punt niets aan het toeval over te laten.

Om bovengenoemde doemscenario’s op pragmatische wijze te voorkomen, is effectief risicomanagement ten aanzien van de bescherming van persoonsgegevens key. Zeker voor organisaties die nog in de kinderschoenen staan, is een risicogebaseerde aanpak waarbij prioriteit wordt gegeven aan het mitigeren van de belangrijkste risico’s het aanbevelen waard. Daarnaast zijn organisaties op grond van de AVG verplicht om te kunnen verantwoorden dat zij de nodige technische en organisatorische maatregelen nemen om 'een passend beschermingsniveau' te bieden ten aanzien van de persoonsgegevens die zij verwerken. Dat beschermingsniveau moet in lijn zijn met de ambities van de onderneming, maar er dient ook rekening te worden gehouden met mogelijke kwetsbaarheden en risico’s. Om efficiënt te werk te kunnen gaan en invulling te kunnen geven aan wat wordt gezien als een ‘passend beschermingsniveau’, is het belangrijk dat startups voldoende op de hoogte zijn van de risico’s die zij lopen op het gebied van informatiebeveiliging en privacy.

Kortom, het is voor startups geen overbodige luxe om naast hun groeiambities ook aandacht te besteden aan risico’s die voortvloeien uit wet- en regelgeving zoals de AVG. Begrippen als compliance, risicomanagement en verantwoording zijn misschien niet de meest opwindende zaken voor de startende onderneming, maar als het belang daarvan wordt onderschat, kan dat desastreuze gevolgen hebben. Het gaat hierbij tenslotte om randvoorwaarden die het mogelijk maken om  succesvol verder te kunnen groeien als organisatie.

Wij denken graag mee over de pragmatische manier waarop u kunt zorgen voor een stevig en betrouwbaar fundament binnen uw startup - idealiter al bij de start van de onderneming, bij het ontwerpen van de inrichting van de organisatie.

Heeft u hier vragen over of wilt u meer informatie over het beschermen van de persoonsgegevens die aan uw onderneming zijn toevertrouwd? Neem contact met ons op, wij kijken uit naar een kennismaking.