Teamleader Blog Article

Helft van het mkb onbewust van GDPR: neem vandaag nog actie

Helft van het mkb onbewust van GDPR: neem vandaag nog actie

De GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) komt snel dichterbij. Op 25 mei moeten alle entiteiten die persoonsgegevens van betrokken (identificeerbare of geïdentificeerde natuurlijke personen) verwerken voldoen aan de nieuwe privacywetgeving. Het is geen optie om hier niet aan te voldoen: naleving van de wet is noodzaak. Ontdek alles wat je moet weten over de GDPR en de invloed op het mkb.

Veel organisaties hebben al stappen gezet om te voldoen aan de GDPR, maar veel ondernemers weten niet precies wat de GDPR inhoudt of denken dat hun bedrijf te klein is om er iets voor te hoeven doen. Volgens Small Business UK was de helft van het mkb zich in oktober 2017 nog niet bewust van de GDPR. De GDPR is van toepassing op alle organisaties in alle vormen en maten, inclusief het mkb en zzp’ers: als je nog geen actie hebt ondernomen, is het hoog tijd om dat te doen.

Meer leren over de GDPR en hoe jouw mkb erop voor te bereiden? Download ons gratis e-book

 

Wat is de GDPR en wie moet eraan voldoen?

GDPR - mkb - voldoen

De GDPR bindt bedrijven uit alle Europese landen aan dezelfde privacyregels. Als je onderneming voldoet aan de GDPR, voldoe je dus grotendeels aan de wetgeving in alle Europese landen. Let wel, de verordening kan per land strenger worden uitgevoerd, dus je moet wel rekening houden met nationale verschillen. De huidige wetgeving, de Databeschermingsrichtlijn, is verouderd. Deze werd geïntroduceerd voordat internet- en cloudtechnologie een enorme groei in gegevensgebruik veroorzaakten (bijvoorbeeld door klantgegevens aan andere bedrijven te verkopen of door beveiligingssystemen te hacken).

De GDPR omvat regels omtrent de bescherming van natuurlijke personen, de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens. Het doel van de GDPR is drieledig:

  1. Europese burgers beschermen en hen meer controle geven over het gebruik van persoonsgegevens.
  2. De privacywetgeving bijwerken zodat ze aansluit op het huidige technologische landschap.
  3. De privacywetgeving van de EU-landen verenigen.

Veel bedrijven verzamelen en verwerken dagelijks persoonsgegevens. Het bereik van de GDPR is verdeeld op twee niveaus:

  • Materiële werkingssfeer: de GDPR is van toepassing zodra er persoonsgegevens verwerkt worden.
  • Territoriale werkingssfeer: de GDPR is van toepassing
    • Wanneer je in de EU gevestigd bent en persoonsgegevens verwerkt binnen het kader van je activiteiten, ongeacht of deze gegevens al dan niet in de EU verwerkt worden en of je optreedt als gegevensbeheerder of -verwerker.
    • Op de verwerking van persoonsgegevens van betrokkenen binnen de EU (dit omvat dus maar dan alleen EU-burgers) door gegevensbeheerders en -verwerkers die niet in de EU zijn gevestigd, maar waarvan de verwerking betrekking heeft op onderstaande activiteiten:
      • Aanbieden van goederen of diensten aan betrokkenen in de EU (ongeacht of een betaling van de betrokkene vereist is).
      • Toezicht houden op het gedrag van EU-betrokkenen, voor zover dit plaatsvindt binnen de EU.

Waarom is het belangrijk om maatregelen te nemen voor de GDPR?

Bedrijven die niet aan de GDPR voldoen, zullen administratieve boetes opgelegd krijgen door de lokale gegevensbeschermingsautoriteit (in Nederland de Autoriteit Persoonsgegevens). De boetes kunnen oplopen tot maar liefst 4 procent van de omzet van het bedrijf  (zie artikel 83.4 en 83.5 van de GDPR). Elk bedrijf moet maatregelen nemen om vanaf 25 mei 2018 te voldoen aan de privacyverklaring. Hierbij hoort onder andere de ontwikkeling van een incidentenprocedure en privacyverklaring.

Wanneer klanten gegevens delen met een bedrijf, willen ze dat hun gegevens veilig worden opgeslagen en verwerkt. Uit onderzoek van het ICO (Information Commissioner’s Office), de lokale gegevensbeschermingsautoriteit in het Verenigd Koninkrijk, blijkt dat je een groot risico loopt als je onderneming niet voldoet aan de GDPR: je verliest het vertrouwen van je klanten en het kan de reputatie van je bedrijf ernstige schade toebrengen.

Onderneem actie: drie maatregelen die je vandaag nog kan nemen

GDPR - mkb - maatregelen

Gezien de financiële risico’s die je loopt als je niet aan de GDPR voldoet, moet je de nodige voorzorgsmaatregelen nemen. Geen idee waar je begint? Onderneem dan vandaag nog deze drie acties:

  1. Bepaal wat je intern kan doen en ga na waar je hulp van buiten kan gebruiken. Wanneer het gaat over juridische documenten opmaken of bijwerken, is de hulp van een expert zeker geen overbodige luxe. Met een eenvoudige online zoekopdracht vind je al snel een paar uitstekende GDPR-deskundigen. 
  2. Breng je data in kaart. Ga na hoe je momenteel gegevens verzamelt en bewaart. Waar sla je momenteel al je contactgegevens op? Hoe heb je deze verzameld en voor welk doel gebruik je ze? Je proces voor datamanagement is extreem belangrijk. Met behulp van cloud- en SaaS-technologie die gebruikmaakt van de meest recente beschermingsmaatregelen, kan je gelukkig je gegevens veilig in de cloud bewaren.
  3. Licht je klanten in. De beste manier om transparant te zijn over hoe je onderneming persoonsgegevens verwerkt, is door je privacyverklaring bij te werken. Dit is verplicht voor gegevensbeheerders (entiteiten die het doel en de middelen voor de verwerking van persoonsgegevens bepalen). Daarnaast kan je ook een gedetailleerde e-mail opstellen om de GDPR aan je klanten uit te leggen, met je nieuwe privacyverklaring in de bijlage.

Een privacyverklaring moet verwijzen naar de GDPR en informatie bevatten over de persoonsgegevens verzameld worden, de manier waarop deze verzameld worden, het doel van de verwerking, de bewaartermijn van gegevens, de rechten van de betrokkenen, je klachtenprocedure, het proces voor gegevensoverdracht naar derden, enzovoort.

E-book: GDPR - bereid je bedrijf voor