Teamleader Blog Article

GDPR: wat betekent het voor jouw mkb-bedrijf?

GDPR: wat betekent het voor jouw mkb-bedrijf?

Elk bedrijf verwerkt persoonsgegevens. Of je nu een mailinglijst samenstelt of klantenkaarten aanbiedt, de gegevens zijn onderworpen aan de GDPR (de General Data Protection Regulation). Maar wat houdt deze nieuwe wet precies in? Zal het een grote impact hebben op jouw bedrijf? Welke maatregelen moet je nemen? In dit artikel leggen we uit wat de GDPR inhoudt en welke invloed het heeft op het mkb.

Wat is de GDPR?

GDPR - mkb - wat

De wetgeving rond gegevensbescherming en privacy is in de laatste twintig jaar haast onveranderd. Bedrijven hoeven in principe alleen te voldoen aan de databeschermingsrichtlijn (de Data Protection Directive) uit 1995. Vreemd, want de afgelopen jaren is de wereld ingrijpend veranderd en gedigitaliseerd. Denk maar aan de opkomst van cloud computing en social media. Hoe kun je, in een wereld waarin steeds meer gegevens uitgewisseld worden, de veiligheid van je persoonsgegevens garanderen?

De databeschermingsrichtlijn is daarnaast ook sterk afhankelijk van de nationale wetgeving, wat leidt tot uiteenlopende interpretaties en verschillende toepassingen van de wet in Europese landen.

Vanaf 25 mei 2018 wordt de richtlijn officieel vervangen door de GDPR. Bedrijven binnen de EU en bedrijven die gegevens verwerken van EU-burgers zullen aan deze nieuwe wetgeving moeten voldoen. Het uitgangspunt van de GDPR? Betere gegevensbescherming en duidelijke procedures in geval van een datalek. Omdat bedrijven binnen de EU de nieuwe privacywetgeving integraal moeten naleven, wordt uitbreiden naar het buitenland ook eenvoudiger - al kunnen landen zelf bepalen of zij de algemene GDPR nog strenger willen toepassen.

Meer leren over de GDPR en hoe jouw mkb erop voor te bereiden? Download ons gratis e-book

 

Wat betekent de GDPR voor het mkb?

GDPR - wat betekent het voor het mkb

Laten we bij het begin beginnen: begrijpen welke persoonsgegevens je opslaat of verwerkt. Een mkb-bedrijf verwerkt heel wat persoonlijke data: denk maar aan personeelsgegevens, informatie over klanten of leveranciers en e-mailadressen voor nieuwsbrieven. Bijvoorbeeld:

  • Persoonsgegevens die je vraagt wanneer iemand een bestelling plaatst via je website.
  • Gegevens over medewerkers of leveranciers.
  • Inschrijvingen voor je nieuwsbrief op je website.

Breng in kaart welke gegevens je bewaart en hoe je daar op een veilige, legale manier mee omgaat. Elk bedrijf verwerkt data, of je nu gegevens host, raadpleegt, archiveert of verwijdert, je zal dus aan de GDPR moeten voldoen.

Wanneer mag je persoonsgegevens verwerken?

Je mag alleen persoonsgegevens verwerken als je dat doet op basis van de volgende zes juridische gronden:

  1. Als je de betrokkene hiervan op de hoogte brengt en diens expliciete toestemming krijgt. De wijze waarop je toestemming vraagt moet steeds vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Volgens de GDPR moet toestemming ook blijken uit een actieve handeling.

    Als bezoekers een online formulier invullen om meer informatie aan te vragen, maak dan een selectievakje zodat ze hun opt-in kunnen geven. Bijvoorbeeld: Ik wil graag aanbiedingen of promoties ontvangen via e-mail.

  2. Als je gegevens nodig hebt voor de uitvoering of voorbereiding van een contract, bijvoorbeeld een sollicitatie of offerte-aanvraag. Je moet kunnen aantonen dat de de verwerkte informatie noodzakelijk is om het contract tot stand te brengen of de overeengekomen dienstverlening uit te voeren.

  3. Als je gegevens nodig hebt om aan een wettelijke verplichting te voldoen. Dat is het geval bij banken, verzekeringsmaatschappijen, luchtvaartmaatschappijen, enzovoort.

  4. In zaken van levensbelang. Bijvoorbeeld het verzamelen van medische gegevens voor een spoedoperatie.

  5. Als gegevens nodig zijn voor het algemeen belang. Bijvoorbeeld taken die worden uitgevoerd door de overheid, belastingdiensten of de politie.

Als je een gewettigd belang kan voorleggen zonder dat je daarbij de rechten van de betrokkene schaadt. In dit geval zal je vaak om toestemming moeten vragen, zodat gegevens niet worden gebruikt voor doeleinden die niet zijn goedgekeurd door de privacycommissie. Als een klant jou een vraag stelt over een product bijvoorbeeld, mag je dat gesprek voortzetten - aangezien je klant dit ook verwacht. Daar is wel een tijdslimiet aan verbonden: een gesprek van jaren geleden mag niet gebruikt worden voor een nieuw contactmoment. Bovendien geldt dit niet als toestemming om de betrokkene ongerelateerde producten of diensten aan te bieden.

De GDPR is goed nieuws voor zowel het mkb als EU-burgers. Als je potentiële en bestaande klanten aantoont dat je bedrijf volledig voldoet aan de nieuwe wetgeving, kan dat extra concurrentievoordeel opleveren. De nieuwe wetten zijn er tenslotte om burgers (en klanten) binnen de EU te beschermen. Zo maak jij je bedrijf future-proof!


E-book: GDPR - bereid je bedrijf voor