GDPR: de nieuwe Europese privacywetgeving

U heeft het vast meegekregen. Vanaf 25 mei 2018 moet iedereen voldoen aan de eisen van de nieuwe GDPR- / AVG-privacywet. Heeft uw bedrijf aan alles gedacht? Wij zetten alles nog even voor u op een rij.

Wat is GDPR / AVG ook alweer en wat betekent het voor uw bedrijf?

De General Data Protection Regulation (GDPR) is de nieuwe Europese privacywetgeving die sinds 25 mei 2018 de Nederlandse AVG (Algemene Verordening Gegevensbescherming) en de huidige Cookiewet en Meldplicht Datalekken vervangt. Met deze nieuwe wet is er betere bescherming van gegevens en is het duidelijker wat er moet gebeuren bij een datalek. Deze nieuwe wet geldt voor iedereen die persoonsgegevens verzamelt van Europese burgers. Dat heeft dus ook gevolgen voor úw bedrijf. Als u namelijk geen stappen onderneemt, loopt u het risico op fikse boete die kan oplopen tot wel € 20 miljoen of 4% van uw jaaromzet.

Kans is groot dat u ook met GDPR te maken heeft

Een MKB verwerkt vaak heel wat persoonlijke data. Denk maar aan personeelsgegevens, informatie over klanten of leveranciers en e-mailadressen voor nieuwsbrieven. Heeft u een webwinkel? Of een aanvraagformulier op de website van uw bedrijf? Of registreert uw kantoor het IP-adres van de bezoekers? Dan heeft u ook te maken met de nieuwe GDPR-wetgeving.

Wat betekent GDPR voor het MKB?

GDPR klinkt als veel werk voor het MKB. Maar het biedt ook kansen. In heel Europa gelden straks dezelfde regels, en dat is handig als uw website ook op een doelgroep buiten Nederland is gericht. Of als u in de toekomst naar het buitenland wilt uitbreiden. De nieuwe wet bestaat uit veel nieuwe eisen en uitgangspunten. Dat maakt het invoeren van de GDPR vrij lastig, zeker voor kleine bedrijven. Wat er namelijk moet gebeuren kan per bedrijf en markt verschillen. U moet dus ergens beginnen, maar waar?

U kunt altijd terecht bij onze Ondernemersdesk

Bel ons gerust op werkdagen van 8.00 tot 17.00 uur op 020 89 20 255. U kunt ook met ons chatten van 8.00 tot 22.00. Of stuur een e-mail naar ondernemersdesk@nuon.com. Wij zijn er voor u.

Checklist: In 5 stappen voldoen aan de GDPR-eisen

Om te voldoen aan de eisen van de GDPR moet u in ieder geval de volgende 5 stappen ondernemen:

  1. Breng in kaart welke gegevens u bewaart en hoe u daar op een veilige, legale manier mee omgaat
    Wees duidelijk en transparant over hoe uw bedrijf persoonsgegevens verwerkt. Dat houdt in dat u een kort en bondig privacystatement moet hebben. In Jip-en-Janneketaal. Hierin legt u precies uit welke persoonsgegevens waar worden verzamelt en waarom er wat mee gebeurt. Bovendien geeft u de mogelijkheid om persoonsgegevens op te vragen, te verwijderen of te verplaatsen naar een concurrent. U vertelt ook wie er verantwoordelijk is binnen het bedrijf die gaat over privacy.

  2. Leg duidelijk uit voor welk doel u welke gegevens verzamelt
    U mag alleen vragen om informatie die u echt nodig heeft. Dus een telefoonnummer of e-mailadres om te kunnen reageren, of een adres om een brochure te versturen. Wilt u die gegevens ook voor iets anders gebruiken? Dan moet u dat expliciet vragen. Ook bij nieuwe producten of diensten moet u zich afvragen welke persoonsgegevens u écht nodig heeft.

  3. Ga na hoe externe partijen met uw klantgegevens omgaan
    Maakt u bijvoorbeeld gebruik van MailChimp voor uw nieuwsbrief of Hotjar voor het online kunnen volgen van klanten? Bekijk dan goed hoe die partijen omgaan met uw klantgegevens. U bent namelijk verantwoordelijk voor alle persoonsgegevens binnen uw bedrijf. Ook als die door externe partijen worden beheerd. Zorg er daarom bijvoorbeeld voor dat u niet het invullen van velden opneemt en dat alle persoonsgegevens zijn geanonimiseerd. 

  4. Zet de privacyinstellingen op het hoogste niveau, als u dat al niet zo heeft staan
    Dat betekent dat u niet ongevraagd iemands websitebezoek of IP-adres mag opslaan. De tekst “Doordat u deze website bezoekt, gaan we ervan uit dat u akkoord gaat met cookies” mag niet meer onder de GDPR. Voor iedere cookie die een bezoeker apart kan identificeren, moet toestemming worden gegeven. Ook heeft u een SSL-certificaat nodig voor uw website. Er komt dan HTTPS voor uw URL, waaraan bezoekers zien dat hun bezoek is beveiligd. Onder de GDPR bent u verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Als u formulieren of nieuwsbriefaanmeldingen opslaat, dan is HTTPS verplicht.

  5. Doe er alles aan om persoonsgegevens veilig te bewaren
    Heeft u toch een datalek omdat u bijvoorbeeld een USB-stick met persoonsgegevens bent kwijtgeraakt? Dan moet u dat binnen 72 uur melden bij de Autoriteit Persoonsgegevens.

Een goed begin is het halve werk

Bewustwording is een belangrijke stap in het toepassen van de GDPR. Met deze 5 stappen bent u een heel eind, maar er is meer. U moet bijvoorbeeld ook een beleid hebben, waarin wordt vastgelegd wat u doet bij een datalek. De GDPR is dus aardig wat werk, maar ook erg belangrijk. De Autoriteit Persoonsgegevens dat de GDPR handhaaft, kijkt vooral naar uw inspanningen. Heeft u al goede stappen ondernomen? Dan is de kans groot dat u eerder een waarschuwing krijgt bij een datalek of controle, dan de torenhoge boete van € 20 miljoen. Daarom geldt ook voor GDPR; een goed begin is daarom het halve werk.

Interessant artikel?