CASE SIMAC.

16

dochters
en toch
waterdicht

Peter Veraa

ICT-bedrijf Simac houdt graag centraal de regie over GDPR. Zodat de zestien werkmaatschappijen niet ieder voor zich hetzelfde wiel uitvinden. ‘Want gaat er ergens bij ons iets mis met klantdata, dan is dat desastreus voor onze reputatie.’

Bij Simac snijdt het GDPR-mes aan twee kanten: aan de ene kant verkoopt het ICT-bedrijf allerlei technologie aan klanten met daarbij aanbevelingen hoe ze GDPR-compliant kunnen worden. Aan de andere kant moet Simac ook de 1.100 eigen medewerkers van de zestien afzonderlijke werkmaatschappijen doordringen van het belang van zorgvuldigheid bij het werken met gegevens van klanten, die alsmaar meer privacyrechten krijgen.

Dat is een flinke kluif. Het Veldhovense familiebedrijf biedt een volledig pakket diensten en projecten rondom de ICT-infrastructuur voor middelgrote en grote organisaties. Netwerken, cloudoplossingen, winkelautomatisering voor retailers, noem maar op. ‘Bij al die producten en diensten speelt beveiliging van informatie en privacybescherming een cruciale rol’, stelt Peter Veraa, Director Business Development en GDPR-programmamanager bij Simac. ‘We leveren onze klanten niet alleen onze producten en diensten, maar helpen ze ook om die goed te gebruiken. Zo hebben we voor klanten een e-learning module waarmee we hun medewerkers bewust maken van wat er allemaal komt kijken om GDPR-compliant te zijn. Deze training maakt duidelijk waar de organisatie van de klant op dit punt staat. Zodat ze zien op welke GDPR-aspecten ze hun medewerkers nog moeten trainen.’

Naast het voordeel dat medewerkers zo meer bewust worden van de nieuwe privacywetgeving, helpt het feit dat men op deze manier werkt aan GDPR-bewustwording bij een mogelijke controle, zegt Veraa. ‘Een toezichthouder zal immers altijd checken wat je feitelijk hebt gedaan aan verbetering van de GDPR-kennis van het personeel.’


Verwerkersovereenkomst

Simac verwerkt op uiteenlopende wijze persoonsgegevens van klanten. ‘Zo bieden we zorgaanbieders systemen om digitale patiëntendossiers op te bouwen. Daarnaast garanderen wij dat die data op de juiste wijze worden beschermd. Onze klanten horen als verwerkingsverantwoordelijke partij een “verwerkersovereenkomst” af te sluiten met hun ICT-dienstverleners, waaronder wij dus. Als verwerker maken we binnen zo’n overeenkomst verplichte afspraken over de beveiliging van de persoonsgegevens van de klant. Zodat duidelijk wordt wie waarvoor verantwoordelijk is. Datzelfde doen wij op onze beurt weer met onze toeleveranciers, die onze persoonsgegevens verwerken. Zo krijg je een samenspel van verantwoord risico’s afdekken in de keten. Dat vind ik een goede ontwikkeling, want ook in onze sector is iedere keten zo sterk als de zwakste schakel. Ben jij de schakel waar iets mis gaat met de bescherming van klantdata, dan is dat desastreus voor je integriteit en daarmee voor je reputatie.’

‘Per Simac-bedrijf
hebben we een

GDPR-functionaris

die alles op gebied van privacy moet bijhouden

Interne vraagbaak

Simac is niet alleen actief op de Nederlandse markt, maar werkt ook voor klanten in België, Luxemburg en Tsjechië. Het bedrijf telt zestien afzonderlijke werkmaatschappijen. Hoe tuig je dan GDPR op – centraal of decentraal? Veraa: ‘Dat coördineren we centraal, vanuit de holding hier in Veldhoven. Dat doen we overigens niet alleen voor GDPR, maar ook voor alle andere kwaliteitssystemen. Zo voorkom je dat iedere werkmaatschappij tegelijkertijd hetzelfde wiel probeert uit te vinden. We hebben eerst een jurist aangenomen, die zich heeft ontwikkeld tot dé GDPR-vraagbaak voor de hele organisatie. Dat gaat in praktijk heel goed, het is prettig werken als er iemand is die werkelijk van alles de hoed en de rand weet. Natuurlijk huren we specialistische GDPR-kennis in, maar dit is zo wezenlijk voor je bedrijfsvoering dat je die kennis ook echt intern beschikbaar moet hebben.’


Digitaal GDPR-platform

Veraa is verantwoordelijk voor het managementsysteem dat alle kwaliteitssystemen borgt binnen Simac. Onlangs heeft hij een intern GRC-instituut opgericht, dat vanuit de Simac holding werkt aan alles rond Governance, Risk en Compliance. ‘Ja, ook GDPR. We werken aan een digitaal GDPR-platform waarop we alle documenten en processen daarover borgen, en waar al onze werkmaatschappijen bij kunnen. Zo voorkomen we dat iedere werkmaatschappij eigen kwaliteitssystemen ontwikkelt waar wij vanuit de holding geen zicht op hebben.’ Dat is sinds het drama en faillissement van installatiebedrijf Imtech (waar de Imtech-holding te laat kennis kreeg van de risico’s die werden genomen door al te autonome Imtech-werkmaatschappijen in Duitsland en Polen) de ultieme angst van al dit type wijdvertakte organisaties: dat je centraal geen notie hebt van wat er decentraal in de divisies of werkmaatschappijen gebeurt.


Vertrouwelijke mails verwijderen

Bij Simac heeft elke werkmaatschappij een eigen ICT-omgeving, bijgehouden volgens de centrale standaarden vanuit de holding. Veraa: ‘Zo weten we zeker dat alle werkmaatschappijen dezelfde consistente kwaliteit van informatiebeveiliging hebben. Per werkmaatschappij hebben we een GDPR-functionaris aangesteld die alles op het gebied van GDPR moet bijhouden, met back-up van onze jurist. Alle werkmaatschappijen hebben een Privacy Scan gedaan, de resultaten daarvan hebben we met alle GDPR-functionarissen besproken. Vervolgens hebben we de vereiste verbetermaatregelen centraal vastgesteld.’ Waar gingen die concreet over? ‘Over meer bewustwording over de klantdata die wij verwerken, wat de rechten en plichten van het betreffende Simac-bedrijf zijn, et cetera.’

Toch zit een privacy-ongeluk in een klein hoekje. Ook bij hemzelf, erkent Veraa. ‘Ik ben een tijdje directeur geweest van een van onze werkmaatschappijen. Laatst kwam ik erachter dat ik in mijn mailbox nog heel veel mailtjes heb uit die tijd. Boordevol vertrouwelijke persoonsgegevens. Compleet met cv’s met naam en toenaam. En ook ik vergeet weleens een veiligheidsprotocol, of heb weleens een usb-stickje ergens laten slingeren, gelukkig zonder gevolgen omdat al onze sticks standaard encrypted zijn. De kunst is dat je voortdurend kritisch naar je eigen handelen blijft kijken. En naar dat van je naaste collega’s. Daarom blijven we onze mensen trainen en zullen we periodiek controleren hoe we er met GDPR voorstaan. Het is cruciaal om de betrokkenheid en kennis rond GDPR in stand te houden en te borgen. De mens is en blijft toch de belangrijkste factor in dit proces.’

Peter Veraa

Peter Veraa (57) startte zijn loopbaan bij het Ministerie van Defensie waar hij bijna twintig jaar werkte in verschillende automatiseringsfuncties. Na een managementfunctie bij ICT-bedrijf Brainforce stapte hij in 2010 over naar Simac. Na een managementfunctie bij een van de werkmaatschappijen begon hij in 2010 als Director Business Development op holdingniveau.