Open in app

Sign in

Write

Sign in

SHORT-READ: Waarom GDPR voor kleine KMO’s een GVR is

Bernard De Ruyver
Grow With the Flow
Published in
6 min readMay 23, 2018

Voor de klanten van Yools — een jong, Brussels bedrijf dat authentieke websites maakt — heeft Bernard zich als een echte wetstraatjournalist verdiept in de alomtegenwoordige GDPR of privacywetgeving. Zijn conclusie: “Het is als KMO minder ingrijpend dan je denkt!”. En zo is de GDPR eigenlijk meer een Grote Vriendelijke Reus!

Om met de deur in huis te vallen: Storm. In.Een.Glas.Water.

GDPR zeg je?

GDPR, 4 letters die je misschien de laatste weken al veel hebt horen vallen. Het zijn de letters van de nieuwe (Europese) wet die regelt wat er zoal mag en niet mag met persoonsgegevens. Dat zijn gegevens zoals je voornaam en geboortedatum maar ook je IP-adres of zelfs je nummerplaat.

Weeral een nieuwe wet hoor ik je denken? Wel, de oude privacywet is al van kracht sinds 1995. Jawel, uit de tijd dat internet en computers nog niet waren doorgebroken of er nog geen sprake was van Facebook. De dag van vandaag gebeurt er enorm veel online, dus begrijpelijk dat er een update moest komen van de wetgeving. Zeker in Europa, waar elk land nog aparte regels had.

Trouwens, voor de quiz-fanaten, GDPR staat voor General Data Protection Regulation. Nu, ik hou het liever op het volgende: Gezond verstand — Duidelijke communicatie — Pragmatische aanpak — Relatief eenvoudig. Zo kan het dus ook.

GDPR zorgt voor wat paniek

GDPR zorgt voor wat paniek

Grappige anekdote die ik je niet wil onthouden: ik werd — ironisch genoeg — getarget op Facebook met een gesponsorde post over “GDPR voor KMO’s”. Ideale en waardevolle leeslectuur denk je dan. Maar het algemene probleem drong zich ook bij dit artikel op: het is niet concreet genoeg. Niemand wil de praktische vertaling maken, in de hoop geen verkeerde info te delen.

Oh wacht, wat ben ik hier dan aan het doen?

Enfin, in diezelfde blog werd ik geteased om ook hun e-book over GDPR te downloaden. Naast m’n naam en mailadres (ter bevestiging dat ik het was en om me het e-book te kunnen sturen) vroegen ze ook mijn beroep, bedrijfsnaam, geboortedatum én telefoonnummer. Wel dat, beste concullega, dat is nu net wat de essentie is van GDPR: stop met random data op te vragen om je statistieken te spijzen of om me daarna op te bellen met een ‘interessant’ businessvoorstel.

GDPR doet je nadenken over welke gegevens je kan en mag opvragen (en stelt ook enkele limieten).

1. Persoonsgegevens

GDPR gaat dus over persoonsgegevens. Dat is bewust breed geïnterpreteerd. Van voornaam tot geboortedatum, van je ID-adres tot zelfs cookies op je website. Uiteraard mag je niet zomaar eender welke gegevens opvragen.

Een voorbeeld: een luchtvaartmaatschappij mag wel jouw geboortedatum opvragen omwille van dounarechten, maar niet om je te spammen met verleidelijke acties op je verjaardag, tenzij je hiervoor expliciet toestemming geeft. Of bol.com mag wel je adres opvragen om je pakketje te kunnen bezorgen, maar niet jouw gezinssituatie om je nadien te targeten met bijvoorbeeld babyproducten.

Er circuleren trouwens wilde verhalen op het internet die vertellen dat de GDPR niet van toepassing zou zijn op kleine bedrijven zoals het jouwe. Dat is dus niet het geval, maar niet alle regeltjes zijn even streng.

2. Welke gegevens mag je zoal opvragen?

In een contactformulier mag je uiteraard wel vragen naar naam, voornaam, mailadres en/of telefoonnummer omdat de klant jou contacteert voor een offerte. Dezelfde redenering geldt bijvoorbeeld voor een sollicitatie.

Onder zo’n invulformulier kan je een vakje toevoegen “ja ik wil graag aanbiedingen of promoties via e-mail ontvangen”. Dit onaangevinkt (!) vakje biedt je klant expliciet de kans jou toestemming te geven om hem te mailen.

Met klanten die jou vorig jaar hebben gemaild voor een offerte mag je trouwens ook gerust het gesprek verderzetten. Maar ook daar zijn natuurlijk limieten aan verbonden. Zo mag je ze niet mailen met een totaal andere aanbieding.

3. Een nieuwe brief als nieuwsbrief

Wil dat dan zeggen dat je geen mails meer mag sturen naar je klanten? Zoals bij alles in het leven, ligt de waarheid in het midden. GDPR maakt immers een onderscheid tussen mails met of zonder commercieel aspect.

E-mails naar je klanten sturen is niet verboden, uiteraard.
  • E-mails naar je klanten sturen is niet verboden, uiteraard.
  • Een factuur opsturen heeft weinig met privacy te maken. Je mag dus gerust deze gegevens opvragen, omdat de economische wet je dat verplicht.
  • Een mail versturen naar al je klanten om hen te informeren over je inspanningen rond GDPR heeft weinig commerciële inhoud en is dus perfect in orde.
  • Een e-mail met een speciale prijzenactie naar je hele adresboek versturen mag dan weer niet, daarvoor is een actieve toestemming (“opt-in”) nodig.
  • Een bakker die naar z’n huidige klanten stuurt dat hij vanaf volgende week ook verse patisserie verkoopt, in plaats van enkel brood, mag dan weer wel.
  • Ook mails versturen naar een info@ mailadres zonder naamsvermelding is mogelijk, want hier zijn geen persoonsgegevens mee gemoeid.

Uiteraard is in alle bovenstaande voorbeelden, zoals reeds vroeger het geval was, een “schrijf-mij-uit-knop” verplicht.

Verstuur je toch veel nieuwsbrieven naar je klanten, dan raden we je aan om nog tot 25 mei volop je best te doen om een actieve bevestiging van hen te krijgen dat je ze mag blijven mailen. Doe dit op een originele, pragmatische manier. Elke consument wordt dezer dagen overladen met privacy-mails. En dat net door een wetgeving die de consument moest behoeden voor overbodige mails.

Je inschrijven op een nieuwsbrief doe je vanaf 26 mei via een bewuste, duidelijke en bevestigende actie.

4. Dataregister & Data Protection Officer

Er is ook een verplichting om een dataregister op te zetten. Een soort boekhouding waarin je noteert welke gegevens je van wie bijhoudt, om welke reden, hoe lang je deze bewaart en welke maatregelen je genomen hebt als bedrijf om een datalek te voorkomen. Voor bedrijven onder de 250 werknemers is er strikt gezien een uitzondering. De Belgische Privacy Commissie raadt echter zoiets wel aan en heel eerlijk, ik zou het je ook aanraden. Met een portie gezond verstand is dit zeker geen grote oefening. Bovendien denk je bewust even na over de gegevens van je klanten, werknemers en leveranciers. Die denkoefening op zich is al bijzonder waardevol en net de filosofie van de wetgeving. Verder is ook het aanstellen van een Data Protection Officer (hoe cool de titel ook klinkt), enkel besteed aan de zeer grote bedrijven.

5. Administratie & documenten

GDPR is zoals je boekhouding, niet leuk. Niemand wil het doen, maar achteraf ben je wel blij dat je het gedaan hebt. Gouden tip: alles wat je doet of gedaan hebt om je naar de nieuwe wetgeving te schikken, pen je best even neer op papier. Beter save than sorry.

Nog papierwerk dus: een privacy policy op je website!

Maar waar zijn die cookies dan?

Cookies zijn, op dit moment, nog een moeilijk geval. Zeker omdat Europa en de politiek zich daar van hun sterkste kant laten zien. GDPR zet al een aantal cookies op te helling, maar een volledig nieuwe e-privacy richtlijn specifiek over cookies zit er aan te komen eind dit jaar, waarbij er ‘t één en ‘t ander globaler en grondiger geregeld zal worden.

Een nieuwe e-privacy wetgeving komt eraan!

All’s well that ends well

GDPR kan dus zeker een positieve beïnvloeder voor je zijn. Je toont aan dat je het vertrouwen van je klanten niet zal schaden. Bovendien verhoogt het ook de transparantie in de bedrijfswereld, iets waar wij bij Yools alleen maar blij van worden.

Gdpr
Short Read
Entrepreneurship
Privacy

--

--

Bernard De Ruyver
Grow With the Flow

Written by Bernard De Ruyver

14 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams