De Algemene Verordening Gegevensbescherming (GDPR/AVG) is van toepassing op elke onderneming die persoonsgegevens verwerkt – dus vrijwel iedereen. Wat moet je als KMO concreet doen?
Inventariseer je gegevensverwerkingen
Maak een register van welke persoonsgegevens je verzamelt (klanten, medewerkers, leveranciers, websitebezoekers), waar ze opgeslagen worden, met wie je ze deelt en hoe lang je ze bewaart. Dit register is wettelijk verplicht.
Privacyverklaring op je website
Je site moet een duidelijke privacyverklaring hebben die uitlegt welke gegevens je verzamelt, waarom, op welke rechtsgrond en hoe lang. Daarnaast voor cookies een aparte cookieverklaring met opt-in voor niet-functionele cookies.
Beveilig je systemen
Sterke wachtwoorden, two-factor authenticatie, regelmatige software-updates, en versleuteling waar mogelijk. Bij een datalek met risico voor betrokkenen moet je dit binnen 72 uur melden bij de Gegevensbeschermingsautoriteit.
Verwerkersovereenkomsten
Werk je samen met externe partijen die voor jou gegevens verwerken (bijvoorbeeld een cloud-provider, marketing tool, IT-dienstverlener)? Dan heb je verwerkersovereenkomsten nodig die rechten en plichten regelen.
Rechten van betrokkenen
Mensen hebben recht op inzage, correctie, verwijdering, beperking en dataportabiliteit. Zorg voor een procedure om deze verzoeken binnen een maand te verwerken.
Personeel
Ook gegevens over je medewerkers vallen onder GDPR. Werknemerscontracten, salarisadministratie en HR-systemen vragen aandacht. Beperk toegang tot wie het echt nodig heeft.
Boetes
Boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. In de praktijk zijn KMO-boetes lager maar nog steeds substantieel. Bovendien is reputatieschade vaak nog erger.
GDPR is geen optie
Sinds mei 2018 is de AVG (GDPR) van kracht in heel Europa. Voor Belgische KMO’s geldt: ja, ook jij moet voldoen — ongeacht hoe klein je bent. Boetes kunnen oplopen tot € 20 miljoen of 4% van de jaaromzet.
Welke gegevens?
Persoonsgegevens zijn alle informatie waarmee een persoon geïdentificeerd kan worden: namen, adressen, e-mails, telefoonnummers, IP-adressen, koopgeschiedenis.
Verwerkersregister
Bedrijven die structureel data verwerken moeten een verwerkersregister bijhouden: welke data, voor welk doel, hoe lang bewaard, welke beveiliging. Een eenvoudige spreadsheet volstaat.
Privacyverklaring op website
Een duidelijke, leesbare privacyverklaring is verplicht. Beschrijf welke data, waarom, hoe lang, met wie gedeeld, welke rechten gebruikers hebben.
Toestemming actief vragen
Vooraf ingevulde checkboxes zijn niet GDPR-compliant. Toestemming moet actief, geïnformeerd en specifiek zijn. Voor nieuwsbrieven: double opt-in.
Datalekken: 72 uur
Bij een datalek met risico voor betrokkenen heb je 72 uur om de Gegevensbeschermingsautoriteit (GBA) te informeren. Bouw een procedure.
Verwerkersovereenkomsten
Werk je met externe partijen die persoonsgegevens verwerken? Sluit een verwerkersovereenkomst (DPA) af. De meeste grote leveranciers bieden er een aan.
DPO of niet?
Voor de meeste KMO’s niet vereist, maar wel aan te raden om één persoon verantwoordelijk te maken voor GDPR. Lees ook onze gids over e-mail marketing voor ondernemers.