Als het gaat om de productie en verkoop van houten en stalen trappen is bij Trappenfabriek Vermeulen alles zorgvuldig geregeld. ‘Met de gegevens van onze medewerkers, klanten en bezoekers, willen we minstens net zo goed omgaan’, zegt Marcel Verberg, IT Manager bij het familiebedrijf in Etten-Leur. ‘Dat is niet onze expertise. Daarom vroegen we Van Oers, al lang onze accountant, om ons te helpen om alle stappen te zetten die nodig zijn om AVG-proof te worden.’
Het gaat Trappenfabriek Vermeulen om meer dan voldoen aan de wetgeving over het omgaan met privacygevoelige gegevens. Marcel Verberg: ‘We willen onze medewerkers, klanten, relaties en bezoekers, laten zien dat we er alles doen om zorgvuldig met hun gegevens om te gaan. Dat heeft er mee te maken dat we een echt familiebedrijf zijn. Vermeulen wordt nog altijd geleid door nazaten van de familie die het bedrijf in 1958 oprichtte. De toewijding van onze huidige 130 medewerkers is groot. Daar ben ik zelf ook een voorbeeld van. Via mijn vader kreeg ik hier mijn eerste weekend- en vakantiebaan in de fabriek, waar we houten en stalen trappen maken voor de woningbouw, luxe woningbouw en utiliteitsbouw. Inmiddels ben ik al meer dan 25 jaar in dienst, waarvan een groot aantal jaren als verantwoordelijke voor alles wat met IT te maken heeft. Een onderdeel daarvan is om de maatregelen te treffen om als bedrijf zorgvuldig om te gaan met data.’
Marcel: ‘Uit een IT-audit door Van Oers kwam naar voren dat de AVG aandacht vereiste. Bij de bespreking van de jaarrekening besloten we om door te pakken. De volgende vraag is dan: hoe haal je de kennis in huis om, om te gaan met privacygevoelige gegevens en in dat opzicht aan de wetgeving op het gebied van privacy te voldoen. Die expertise hebben we zelf niet in huis. Van Oers wel.’
Binnen Trappenfabriek Vermeulen werd een team geformeerd met algemeen directeur Harry Sep, HRM Manager Carla Stadhouders en IT Manager Marcel Verberg. Marcel: ‘Samen met Van Oers organiseerden we een kick-off meeting bij ons op de zaak. Marjon van de Lindeloof, de IT Business consultant bij Van Oers, legde uit waaraan we in het kader van de AVG-wetgeving moeten voldoen en wat dat voor ons betekent. Daarna volgde een risicoanalyse, waarin we samen met Van Oers alle risico’s op het gebied van privacy in kaart brachten.’
Marcel: ‘Er kwamen uit deze risicoanalyse zo’n 40 aandachtspunten. Met Van Oers koppelden we daar taken aan, met een onderscheid tussen quick wins, de punten met hoge prioriteit en de punten met lage prioriteit. Al deze ‘rode vlaggen’ pakten we gestructureerd aan in een heel plezierige samenwerking met Van Oers. Door steeds een volgende bijeenkomst met Van Oers te plannen, hielden we de vaart erin. Waar nodig leverde Van Oers de benodigde templates aan, zoals voor het opstellen van een privacyverklaring. Deze aanpak gaf ons het vertrouwen dat we het juiste doen. Van Oers werkt pragmatisch, is duidelijk en zorgvuldig. Dat past goed bij ons, wat natuurlijk ook de reden is dat ze al zo lang onze accountant zijn.’
‘Zo weten we zeker dat we alles doen wat we kunnen om zorgvuldig met data om te gaan’
In de privacyverklaring staat hoe Trappenfabriek Vermeulen omgaat met gevoelige gegevens van externe partijen, zoals bezoekers en klanten. Marcel: ‘Deze privacyverklaring staat op onze site zodat buitenstaanders weten hoe we hiermee omgaan.’ In het proces om als bedrijf AVG-proof te worden, ging er vooral ook veel aandacht uit naar het nauwkeurig omgaan met de gegevens van medewerkers. Marcel: ‘We brachten in kaart welke gegevens we bewaren en hoe lang, en wat we delen met andere organisaties. Zodoende onderzochten we ook hoe onze partners gegevens van onze medewerkers verwerken, denk aan een pensioenfonds of arbodienst. Waar nodig stelden we verwerkersovereenkomsten op. Het opgestelde privacybeleid is nu intern beschikbaar. Medewerkers kunnen hierin lezen wat met hun gegevens gebeurt.’
Trappenfabriek Vermeulen betrok alle medewerkers in het proces om AVG-proof te worden, door het AVG-traject intern uit te dragen en daarmee te borgen. Marcel: ‘Ik sloot aan bij bestaande toolboxmeetings om het onderwerp bij de collega’s onder de aandacht te brengen. Ook schreef ik diverse nieuwsbrieven, onder andere over het omgaan met wachtwoorden en toegangsregistratie. Collega’s lieten weten het fijn te vinden om zo betrokken te worden. Dat is ook noodzakelijk, want een groot deel van datalekken wordt veroorzaakt door menselijk handelen. Het komt immers altijd wel een keer voor dat je per ongeluk een mail verstuurt naar een ander mailadres dan de bedoeling was. We houden nu ook een datalekregistratie bij, zodat we zicht hebben of een datalek grote impact heeft of dat het slechts minimaal is. Op deze manier doen we er alles aan wat binnen ons vermogen ligt om secuur om te gaan met gegevens van medewerkers, klanten, bezoekers en relaties. Het blijft een aandachtspunt maar het traject met Van Oers is nu naar tevredenheid afgesloten.’
Tot slot geeft Marcel Verberg een tip aan andere organisaties die nog niet voldoen aan de AVG. Marcel: ‘Het is niet je eigen expertise dus neem een partner in de hand die er verstand van heeft. Wij kozen daarvoor onze accountant om zo zeker te weten dat we alles doen wat we kunnen om zorgvuldig met data om te gaan en daarmee te voldoen aan de wetgeving.’
Reactie Brechtje Brugman-Dekkers, senior manager IT Advies: ‘Bij Trappenfabriek Vermeulen was het al langer de wens om te voldoen aan de AVG. Zij zochten daarvoor de expertise en vonden die bij ons. Na een nulmeting ondersteunden we het bedrijf met verdere verbeteringen om AVG-proof te worden, onder andere door het aanbieden van diverse templates, advies en een kritische blik. Het project is succesvol afgerond. Trappenfabriek Vermeulen zet nu zelf de verdere vervolgstappen om informatiebeveiliging continu op de kaart te houden.’
Oeps! We konden je formulier niet vinden.
