HQ Blog CK2 B2 What It Means Header

Elk bedrijf verwerkt persoonlijke gegevens. Of je nu een mailinglijst samenstelt of klantenkaarten aanbiedt, het zijn alle twee voorbeelden van gegevens die voortaan onderworpen worden aan de GDPR - voluit de General Data Protection Regulation. Maar wat houdt die GDPR precies in? Zal het een drastische impact hebben op jouw onderneming? Welke maatregelen moet je nemen? In dit artikel lichten we toe wat de GDPR inhoudt en welke invloed het zal hebben op kmo's.

Wat is de GDPR?

GDPR kmo

De wetgeving rond gegevensbescherming en privacy is in de laatste twintig jaar weinig veranderd. Vandaag moeten bedrijven zich houden aan de Data Protection Directive of databeschermingsrichtlijn, een Europese rechtshandeling die al sinds 1995 van kracht is. Dat is vreemd, want de wereld is in al die tijd ingrijpend veranderd en gedigitaliseerd. Denk maar aan de opkomst van de cloud en sociale media. Hoe kan je, in een wereld waar steeds meer gegevens uitgewisseld worden, de veiligheid van je persoonlijke gegevens vrijwaren?

Zoals het een richtlijn betaamt, is de databeschermingsrichtlijn daarnaast ook sterk afhankelijk van de nationale wetgeving, wat leidt tot uiteenlopende interpretaties en verschillende toepassingen ervan in Europese landen.

Vanaf 25 mei 2018 wordt die richtlijn officieel vervangen door de GDPR. Bedrijven binnen de EU en bedrijven die gegevens verwerken van EU-burgers, zullen aan die nieuwe wetgeving moeten voldoen. Het uitgangspunt van de GDPR? Betere gegevensbescherming en duidelijke procedures in geval van een datalek. Omdat bedrijven binnen de EU de nieuwe privacywetgeving integraal moeten naleven, wordt uitbreiden naar het buitenland in principe ook eenvoudiger - al kunnen landen individueel bepalen om de GDPR strenger toe te passen.

{{cta('2125c91d-6ccd-4280-a1d8-cf19aaa7c418')}}

Wat betekent de GDPR voor kmo’s?

GDPR kmo

Eerst en vooral moet je als bedrijf begrijpen welke persoonlijke gegevens je opslaat of verwerkt. Een kmo verwerkt heel wat persoonlijke data: denk maar aan personeelsgegevens, informatie over klanten of leveranciers en e-mailadressen voor nieuwsbrieven.

Enkele voorbeelden:

  • Persoonlijke gegevens die je vraagt wanneer iemand een bestelling plaatst op je website
  • Gegevens over medewerkers of leveranciers
  • Inschrijvingen voor je nieuwsbrief op je website

Breng in kaart welke gegevens je opslaat en verwerkt en spring op een veilige, legale manier om met die informatie. Elk bedrijf verwerkt data, of je nu gegevens host, raadpleegt, archiveert of verwijdert - je zal dus aan de GDPR moeten voldoen.

Wanneer mag je persoonlijke gegevens verwerken?

Data mogen enkel verwerkt worden op basis van deze zes juridische gronden:

  • Als je iemand hiervan op de hoogte brengt en diens uitdrukkelijke toestemming krijgt. De wijze waarop je toestemming vraagt moet steeds vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Volgens de GDPR moet toestemming ook blijken uit een actieve handeling.

    Bijvoorbeeld: Als bezoekers een online formulier invullen met de vraag om meer informatie te ontvangen over je bedrijf, maak dan een selectievakje aan zodat ze hun 'opt-in' kunnen geven, bijvoorbeeld: "Ik wil graag aanbiedingen of promoties ontvangen via e-mail."
  • Als je gegevens nodig hebt voor de uitvoering of voorbereiding van een contract, bijvoorbeeld: een sollicitatie of offerte-aanvraag. Voor zover de verwerkte informatie aantoonbaar noodzakelijk is om het contract tot stand te brengen of de overeengekomen dienstverlening uit te voeren, volstaat deze rechtsgrond als rechtvaardiging.
  • Als je gegevens nodig hebt om aan een wettelijke verplichting te voldoen. Dat is het geval voor bijvoorbeeld banken, verzekeringsmaatschappijen, luchtvaartmaatschappijen enz.
  • In zaken van levensbelang.

    Bijvoorbeeld: Het verzamelen van medische gegevens voor een spoedoperatie.
  • Als die gegevens nodig zijn uit algemeen belang, bv. taken uitgevoerd door de overheid, belastingsdiensten of de politie.

  • Als je een gewettigd belang kan voorleggen zonder dat je daarbij de rechten van de betrokkene schaadt. In dit geval zal je vaak om toestemming moeten vragen, zodat gegevens niet worden gebruikt voor doeleinden die niet door de privacycommissie zijn goedgekeurd.

    Bijvoorbeeld: Als een potentiële klant je een vraag stelde over een bepaald product, mag je dat gesprek verderzetten - aangezien je klant dat ook verwacht. Daar is wel een tijdslimiet aan verbonden: een gesprek van jaren geleden kan je moeilijk als gewettigd belang inroepen. Bovendien geldt dit niet als toestemming om die persoon ongerelateerde producten of diensten aan te bieden.

De GDPR zal zowel kmo’s als EU-burgers ten goede komen. Als jij potentiële en bestaande klanten aantoont dat je bedrijf de nieuwe wetten volledig naleeft, kan dat een extra concurrentievoordeel opleveren. De nieuwe wetten zijn er tenslotte om burgers (en je klanten) binnen de EU te beschermen. Bovendien maak je zo meteen ook je bedrijf klaar voor de toekomst.

{{cta('d16da5eb-f462-4d1b-bec7-20fe61b07523')}}