GDPR Smart data Data-driven marketing

Maak uw bedrijf klaar voor de nieuwe privacywetgeving van de EU

12 apr 2018

De Algemene Verordening Gegevensbescherming (in het Engels: General Data Protection Regulation of GDPR) voert een reeks nieuwe regels in voor de verzameling, opslag en het gebruik van persoonsgegevens. Ze is van toepassing op elk bedrijf, groot of klein, dat persoonsgegevens van EU-burgers verwerkt. 

De definitie van persoonsgegevens wordt ruimer en zal alles omvatten dat rechtstreeks of onrechtstreeks aan een individu kan worden gekoppeld: 

 • Naam van een klant
 • Adres
 • Locatie
 • Nummerplaat
 • Gezondheids- en genetische gegevens
 • Seksuele geaardheid
 • Inkomen
 • IP-adres
 • Bankrekeninginformatie
 • Geloofsovertuiging 

Deze nieuwe wet moet het vertrouwen van individuen bevorderen en hen meer controle bieden over hun gegevens.

Volgens een rapport van de Europese Commissie heeft slechts 15 procent van de EU-burgers het gevoel dat ze de controle hebben over de informatie die ze online vrijgeven. Zo’n 55 procent is bezorgd over hoe hun financiële activiteiten en consumptiegewoonten worden gevolgd via smartphones en kredietkaarten. 

De wet geeft individuen het recht om hun toestemming in te trekken en te vragen om hun gegevens te wissen uit de database van een bedrijf. Andere aspecten zoals profilering, inbreuken op de beveiliging en in verband met gegevens, en regelingen voor de verwerking van gegevens, zullen ook veranderen wanneer de GDPR-verordening van kracht wordt. 

In tegenstelling tot wat u misschien gehoord hebt, gelden deze regels voor iedereen. Het maakt niet uit hoe groot of klein uw bedrijf is. Zolang u met EU-burgers werkt, moet u voldoen aan de wetten. 

Er zijn drie belangrijke stappen die elk bedrijf moet ondernemen, die op hun beurt in kleinere stappen kunnen worden opgesplitst: 

 • Bedrijven met meer dan 250 werknemers moeten een DPO (Data Protection Officer) aanduiden.
 • Organisaties zullen telkens wanneer ze klantgegevens vragen of bestaande gegevens voor een ander doel willen gebruiken, daarvoor toestemming moeten vragen. 

Dit geldt wanneer toestemming wordt gebruikt als wettelijke basis. In andere gevallen zullen ze het individu moeten informeren over de nieuwe verwerkingsregels en hem de kans geven om zich daartegen te verzetten (in de gevallen waar verzet mogelijk is). 

 • Inbreuken op de beveiliging en in verband met gegevens moeten binnen 72 uur gemeld worden. 

Als klein bedrijf hoeft u niet noodzakelijk een Data Protection Officer aan te werven. U moet er wel altijd voor zorgen dat uw bedrijf voldoet aan de GDPR-regels. 

De verwarring rond kleine bedrijven en de GDPR-verordening is het gevolg van een misverstand rond artikel 30. Dat bepaalt dat, met uitzondering van organisaties met minder dan 250 werknemers, alle bedrijven registers moeten bijhouden van hun verwerkingsactiviteiten, ongeacht het risiconiveau, en deze op verzoek ter beschikking moeten stellen van de toezichthoudende autoriteit. 

Al de overige bepalingen van de GDPR-verordening gelden zowel voor kleine als voor grote bedrijven.