GDPR: wat u écht moet doen

Sinsds einde mei kon u geen website openen, of u werd er de voorbije weken mee om de oren geslagen. Geen nieuwsbrief ontvangen, of de afzender dompelde zich onder in talloze excuses omdat hij u er nu eenmaal mee moést lastigvallen. GDPR of General Data Protection Regulation.

Europese wetgeving omtrent de privacy wil elkeen in de Europese Unie beschermen tegen een overdaad van ongevraagde mails, nieuwsbrieven en cookies. Niet alleen grote bedrijven die ‘big data’ aanwenden voor hun activiteiten zijn aan de wetgeving onderworpen. Ook KMO’s en eenmanszaken worden verplicht strikt de wet na te leven omtrent het bijhouden van persoonsgegevens - van klanten en andere relaties - in een database. Dus zeker wie aan direct marketing doet, moet hier rekening mee houden.

Als kleine ondernemer moet u vooral het volgende in de gaten houden:

  • Elke ondernemer, ook een eenmanszaak, moet de wetgeving naleven;
  • Verzamel je persoonsgegevens, dan moet je dat je relatie duidelijk maken;
  • Je relatie moet het recht hebben zijn persoonsgegevens over te dragen naar een concurrent als hij dat verkiest;
  • Laat je een nieuwe tool of website bouwen, voorzie dan ook een Data Protection Impact Assessment (DPIA); dat is een risicoanalyse met betrekking tot privacy en bijhouden van persoonsgegevens;
  • Sla de persoonsgegevens veilig op. Vindt er toch een datalek plaats, moet je je relaties hiervan op de hoogte brengen.

Wat moet u nu minstens doen om uw bedrijf ‘GDPR-compliant’ te maken, om met alles in orde te zijn, met andere woorden?

  1. Personeel opleiden: uw werknemers moeten weten wat de GDPR-wetgeving inhoudt, net als uw handelspartners, leveranciers…
  2. Organiseer een gegevensaudit: inventariseer de persoonsgegevens en noteer waar ze vandaan komen of met wie u ze deelt. Persoonsgegevens hebben ook betrekking op het surfgedrag van uw personeel; als u dat in de gaten houdt, dient u hen te verwittigen.
  3. Als uw organisatie groot genoeg is zou u een zogenaamde ‘data protection officer’ kunnen aanwerven of aanduiden.
  4. Bereid u voor op inbreuken: bij een datalek moet u binnen de 72 uur uw relaties op de hoogte brengen én hen vooropstellen hoe u het euvel gaat oplossen.
  5. Informeer uw relaties: laat in een volgende nieuwsbrief naar uw relaties weten dat u hun gegevens opslaat en voor intern gebruik aanwendt. Stel hen gerust dat u de persoonsgegevens niet deelt, laat staan verkoopt, aan derden.
  6. Wees extra voorzichtig in het eventueel bijhouden van strikt persoonlijke informatie omtrent gezondheid, seksuele voorkeur, afkomst, religieuze of politieke overtuiging. Als u die niet nodig hebt voor uw handelsactiviteiten is het zelfs beter om die informatie niet te verzamelen.

Punt 5 is voor een kleine onderneming cruciaal. U kunt uw relaties gewoon meedelen dat u met de GDPR-wetgeving in orde bent, dat u hun persoonsgegevens wel hebt bewaard maar niet zult delen. En geef uw relaties te allen tijde de mogelijkheid zich uit te schrijven uit uw bestand. U kunt dat doen door onderstaande tekst te sturen naar uw relaties, al dan niet in een volgende nieuwsbrief:

[Naam onderneming] privacyverklaring

Geachte relatie, Uw persoonsgegevens worden door [naam onderneming] verwerkt, voor klantenbeheer op basis van de contractuele relatie als gevolg van uw bestelling/aankoop en/of om u nieuwe producten of diensten aan te bieden of informatie te delen op basis van eerdere handelsactiviteiten op basis van ons gerechtvaardigd belang om te ondernemen. Wenst u niet dat [naam onderneming] uw gegevens verwerkt met het oog op direct marketing, volstaat het ons dat eenvoudig mee te delen op [e-mail adres onderneming]. Via dat adres kan u ook altijd vragen welke gegevens wij over u verwerken, met welk doel én bovendien vragen die gegevens te corrigeren, ze te verwijderen, of over te dragen naar een derde partij. Mocht u het niet eens zijn met de manier waarop wij uw gegevens verwerken, dan kan u zich wenden tot de Commissie voor de bescherming van de persoonlijke levenssfeer (Drukpersstraat 35, 1000 Brussel; commission@privacycommission.be). Een meer uitgebreid overzicht van ons beleid op het vlak van gegevensverwerking vindt u op [url van de desbetreffende pagina op uw website].

Als u punt 5 correct toepast, dan hebt u als kleine zelfstandige het belangrijkste gedaan wat nu van u verwacht wordt. 


V-NS