GDPR Data-driven marketing

Hoe uw kleine onderneming voorbereiden op de GDPR-verordening

12 apr 2018

De nieuwe wet inzake gegevensbescherming lijkt misschien complex, vooral dan voor zaakvoerders van kleine ondernemingen die niet over de nodige middelen en personeel beschikken om elk juridisch aspect ervan te beheren. Waar het in de grond van de zaak op neerkomt is dat de rechten van personen die u hun gegevens verstrekken beschermd moeten worden. 

Om te voldoen aan alle regels moet u ervoor zorgen dat de klantengegevens op wettelijke wijze worden verwerkt en worden verzameld voor specifieke, expliciete en geoorloofde doeleinden. U moet er daarnaast ook voor zorgen dat de gegevens veilig zijn en worden gewist wanneer ze niet langer nodig zijn. 

Hieronder vindt u vijf stappen die u kunt ondernemen om uw kleine onderneming voor te bereiden op de GDPR-verordening

1.  Leid uw personeel op 

Eerst en vooral moet u ervoor zorgen dat uw werknemers begrijpen wat de GDPR-verordening is en wat hun verplichtingen zijn. Maak een lijst van do’s and don’ts, benadruk de voornaamste aspecten, en leid uw personeel op. U moet het ook met uw leveranciers en handelspartners over hun GDPR-compliance hebben.

2. Voer een gegevensaudit uit 

Identificeer en analyseer vervolgens al de klantengegevens waarover u beschikt. Zorg ervoor dat u weet waar ze vandaan komen en met wie u ze deelt. Stel uzelf de volgende vragen: 

  • Welke gegevens heb ik? Vallen ze onder de GDPR-verordening?
  • Heb ik deze gegevens over de klanten echt nodig? Hoe ga ik ze gebruiken?
  • Is de informatie nauwkeurig en up-to-date?
  • Hoeveel exemplaren bestaan er van elk document?
  • Weten mijn klanten hoe hun informatie wordt gebruikt?
  • Ben ik tevreden over de veilige bewaring van de gegevens? Is mijn website veilig?
  • Heb ik een beleid voor gegevensbescherming? 

Als u toezicht houdt op uw personeel door hun surfgewoontes te controleren, moet u hen dat laten weten. De GDPR-regeling is niet enkel van toepassing op klanten maar op alle EU-burgers. 

Wanneer u deze vragen hebt beantwoord, stel dan een gegevensbeleid op dat uitlegt hoe uw onderneming vanaf nu gegevens zal verzamelen en gebruiken.

3. Overweeg om een Data Protection Officer aan te werven 

Afhankelijk van de hoeveelheid en het type gegevens waarover uw onderneming beschikt, kan het nodig zijn om een Data Protection Officer (DPO) aan te stellen. Zijn/haar voornaamste rol is het toezicht op de naleving van de GDPR-verordening. De DPO zal uw personeel opleiden, regelmatige audits uitvoeren, registers bijhouden van alle gegevensverwerkingsoperaties, en advies leveren over de verbetering van uw inspanningen inzake gegevensbescherming. 

Voor kleine ondernemingen is dit evenwel niet altijd noodzakelijk. Voor hen volstaat het meestal om iemand aan te duiden die verantwoordelijk is voor de privacy, of eventueel een deeltijdse DPO. 

Overheidsinstanties zijn echter verplicht een Data Protection Officer aan te stellen. Hetzelfde geldt voor ondernemingen die grote hoeveelheden gegevens verwerken of gevoelige gegevens zoals politieke voorkeuren, geloofsovertuigingen, etnische afkomst of andere gelijkaardige gegevens. Organisaties kunnen deze functie intern invullen of via een externe bron.

4. Bepaal hoe u inbreuken in verband met persoonsgegevens zult behandelen. 

Inbreuken op de beveiliging en in verband met persoonsgegevens moeten binnen 72 uur gemeld worden. Zorg ervoor dat u een plan hebt voor wanneer er iets mis gaat. 

In 2017 kenden grote spelers zoals Uber en Equifax inbreuken in verband met persoonsgegevens. Vorig jaar werden meer dan 14 miljoen kleine ondernemingen in de VS gehackt.  Meer dan 90% van die bedrijven gebruikt echter geen gegevensbescherming voor informatie over het bedrijf en de klanten. 

Het is dus essentieel dat u de gegevens van individuen op veilige wijze opslaat en verwerkt. Identificeer uw zwakke punten en los ze op, beveilig uw operaties, en neem indien nodig contact op met de gerechtelijke autoriteiten.

5. Implementeer de nieuwe wetgeving inzake gegevensbescherming 

Ten slotte moet u de GDPR-verordening implementeren. Laat individuen weten waarom u hun gegevens opvraagt en verwerkt, hoelang ze worden opgeslagen en wie ze zal ontvangen. Gebruik daarbij duidelijke, begrijpbare taal. 

Of u nu klantengegevens verzamelt voor onderzoek, marketingdoeleinden of directe verkoop, u moet altijd hun uitdrukkelijke toestemming vragen. Werk bestaande inhoud bij indien deze niet voldoet aan de GDPR-verordening. 

Als uw bedrijf onlinediensten verstrekt aan kinderen, implementeer dan een systeem om hun leeftijd te checken en de toestemming van de ouders te verkrijgen. De nieuwe wet vereist speciale bescherming voor de gegevens van kinderen.

De GDPR-verordening en uw kleine onderneming 

Er zijn nog veel meer details waarmee u rekening moet houden bij de implementatie van een GDPR-project. Verschillende sectoren zullen ook op verschillende manier getroffen worden. Het is altijd een goed begin om de basis te begrijpen. Om er zeker van te zijn dat u met alles in orde bent, stelt u een persoon aan die belast is met gegevensbescherming en privacy. 

Besteed bijzondere aandacht aan de behandeling van gegevens in verband met de gezondheid, afkomst, religie, geloofsovertuiging of seksuele geaardheid van individuen. Als u zaken doet met bedrijven buiten de EU, zorg dan voor wettelijke regelingen in verband met de gegevensoverdrachten. 

De tijd loopt – wacht niet tot het te laat is! Neem vandaag nog contact op met ons om uw kleine onderneming voor te bereiden op de GDPR-verordening! Ons team zal u helpen klantgegevens op een betere manier te beheren.