De Algemene Verordening Gegevensbescherming (GDPR/AVG) is van toepassing op elke onderneming die persoonsgegevens verwerkt.
Inventariseer je gegevensverwerkingen
Maak een register van welke persoonsgegevens je verzamelt.
Privacyverklaring op je website
Je site moet een duidelijke privacyverklaring hebben.
Beveilig je systemen
Sterke wachtwoorden, two-factor authenticatie, regelmatige software-updates.
Verwerkersovereenkomsten
Werk je samen met externe partijen die voor jou gegevens verwerken? Dan heb je verwerkersovereenkomsten nodig.
Rechten van betrokkenen
Mensen hebben recht op inzage, correctie, verwijdering, beperking en dataportabiliteit.
Personeel
Ook gegevens over je medewerkers vallen onder GDPR.
Boetes
Boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet.
GDPR is geen optie
Sinds mei 2018 is de Algemene Verordening Gegevensbescherming (GDPR) van kracht in heel Europa. Voor Belgische KMO’s geldt: ja, ook jij moet voldoen — ongeacht hoe klein je bent. Boetes kunnen oplopen tot € 20 miljoen of 4% van de jaaromzet.
Welke gegevens vallen eronder?
Persoonsgegevens zijn alle informatie waarmee een persoon geïdentificeerd kan worden: namen, adressen, e-mails, telefoonnummers, IP-adressen, koopgeschiedenis, foto’s. Anonieme of geaggregeerde data vallen niet onder GDPR.
Verwerkersregister
Bedrijven met meer dan 250 werknemers en alle bedrijven die structureel data verwerken (vrijwel iedereen) moeten een verwerkersregister bijhouden: welke data, voor welk doel, hoe lang bewaard, welke beveiliging. Een eenvoudige spreadsheet volstaat.
Privacyverklaring op website
Een duidelijke, leesbare privacyverklaring is verplicht. Beschrijf welke data je verzamelt, waarom, hoe lang, met wie je deelt, en welke rechten gebruikers hebben. Plaats de link in de footer en bij elk formulier.
Toestemming actief vragen
Vooraf ingevulde checkboxes zijn niet GDPR-compliant. Toestemming moet actief, geïnformeerd en specifiek zijn. Voor nieuwsbrieven: double opt-in. Voor cookies: een echte cookie banner met opt-out optie.
Datalekken: 72 uur
Bij een datalek met risico voor betrokkenen heb je 72 uur om de Gegevensbeschermingsautoriteit (GBA) te informeren. Bij hoog risico ook de getroffen personen zelf. Bouw een procedure: wie merkt het op, wie meldt het, wie beslist?
Verwerkersovereenkomsten
Werk je met externe partijen die persoonsgegevens verwerken (cloudleveranciers, marketing software, boekhouder)? Dan moet je een verwerkersovereenkomst (DPA) afsluiten. De meeste grote leveranciers (Microsoft, Google, MailChimp) bieden er een aan.
DPO of niet?
Een Data Protection Officer (DPO) is verplicht als je grootschalig gevoelige data verwerkt. Voor de meeste KMO’s niet vereist, maar wel aan te raden om één persoon (intern of extern) verantwoordelijk te maken voor GDPR. Lees ook onze gids over e-mail marketing voor ondernemers.