GDPR. AVG. Wet op de privacy. Volgens een recente bevraging in opdracht van Unizo zouden 9 op 10 bedrijven twijfelen of ze in orde zijn met de regelgeving omtrent gegevensbescherming. 1 op 3 wéét zelfs niet of deels in orde te zijn. Hoe is het bij jou gesteld? Want jij stuurt toch ook facturen uit, verwerkt lonen van je medewerkers of maakt gebruik van klantenkaarten? Dus verwerk je persoonsgegevens én is het belangrijk dat ook jij stilstaat bij de manier hoe jij omgaat met deze data.
We zetten de grootste misvattingen van zelfstandigen en kmo’s op een rijtje.
1. Ik ben maar een (kleine) zelfstandige, die wetgeving is enkel voor grote bedrijven en multinationals als Google en Facebook.
De Algemene Verordening Gegevensbescherming, beter gekend onder zijn Engelse term GDPR, is van toepassing op iedereen die persoonsgegevens verwerkt. Ook al heb je nog een houten bak met klantenkaarten, óók dan verwerk je gegevens. Eigenlijk doe je dat continu, zonder je er bewust van te zijn:
- Klantgegevens noteren en bewaren voor offertes, leveringen of reservaties
- Een telefoonnummer noteren om een klant even terug te bellen
- Uitnodigingen uitsturen voor solden of opendeurdagen
- E-mailadressen verzamelen voor de maandelijkse newsletter
- Klanteninformatie verzamelen aan de hand van klantenkaarten en/of het inlezen van de identiteitskaart
- Facturen uitsturen naar je klanten voor bestellingen of gerealiseerde diensten
- …
Om die reden is het vandaag belangrijk dat óók jij even stilstaat met hoe jij omgaat met deze informatie en deze spelregels vastlegt in o.a. een privacy beleid en een register.
2. Mijn klanten zijn bedrijven, ik werk B2B, dus ik hoef hiermee geen rekening te houden.
In de wetgeving spreekt men vaak over individuen, burgers of consumenten. Daardoor krijg je de indruk dat je misschien buiten schot valt. Maar dat is niet zo: ook B2B-bedrijven moeten dezelfde regels volgen. De medewerkers van je klanten hebben immers ook specifieke persoonsgegevens (waarmee je iemand kan identificeren) zoals een gsm-nummer of e-mailadres. Bovendien gaat het om persoonsgegevens: je verwerkt misschien ook de lonen van je medewerkers. Ook dat is zeer gevoelige en voldoende af te schermen informatie.
3. Voldoen aan de GDPR-wetgeving kost mijn bedrijf alleen maar geld.
Uiteindelijk draait het allemaal om goeie wil. Een klein bedrijf, een zelfstandige of een kleine kmo kan je niet vergelijken met een multinational. Wellicht verwerk je ook maar een beperkt aantal gegevens en hoef je enkel maar een goeie privacy policy en een register samen te stellen om conform te zijn. Voor de autoriteiten is het al belangrijk te zien dat je er als ondernemer werk van maakt. En daarvoor hoef je niet meteen dure specialisten te raadplegen. Met onze eigen juridisch medewerkster heeft Ondernemingscoach een oplossing uitgewerkt waarbij we onder andere een goeie basispolicy afstemmen op jouw specifieke situatie. En zo kan je 100% compliant zijn aan een zeer beperkt budget.
4. Het is mijn software leverancier die verantwoordelijk is voor de gegevens die erin bewaard worden.
Iedereen die persoonsgegevens in handen krijgt is verantwoordelijk. Wist je trouwens dat de grootste fouten door mensen gemaakt worden en niet door computersystemen? Als zaakvoerder ben jij dus verantwoordelijk voor alle persoonsgegevens en wat je ermee doet. Met betrekking tot de opslag en de veiligheid van gegevens is er inderdaad ook een verantwoordelijkheid bij je leverancier. Ga daarom alleen maar in zee met partners en leveranciers die 100% compliant zijn.
5. Ik hoef me geen zorgen te maken over boetes, want als klein bedrijf val ik minder op als een multinational.
Je hoeft maar één iemand tegen de benen te schoppen: een concurrent, een persoonlijke ruzie of ontevreden klant, en een klacht is een feit. Dus buiten schot ben je nooit. Consumenten zijn vandaag mondiger geworden, je hoeft maar één keer onrechtmatig een e-mailadres te gebruiken en je riskeert een klacht van de betrokken persoon. Zo zijn er vandaag al boetes uitgedeeld aan Belgische webshops, zelfstandigen en kleine bedrijven voor:
- Fouten in de privacyverklaring en het vergaren van cookies op de website zonder toestemming
- Het versturen van een enquête naar klanten (waarvan minderjarigen) zonder toestemming van de ouders
- Geen rekening gehouden met de wens van de klant om geen direct mailings meer te ontvangen
- Het actief houden van een mailbox van een ex-werknemer
- Het versturen van een nieuwsbrief waarvan alle bestemmelingen in CC stonden (en e-mailadressen dus zichtbaar voor iedereen)
- Het verzamelen van data voor commercieel gebruik zonder toestemming van de betrokkene
- Het gebruik van tracking devices in bedrijfswagens en het bewaren van de gegevens gedurende 2 jaar
Ons advies luidt daarom: kijk toch maar even na hoe ver je staat met je privacy verklaring. Niet alleen vanuit juridisch oogpunt moet dit in orde zijn, ook je klanten verwachten dat je vandaag hierover transparant bent. Dus ook commercieel gezien heb je er alle belang bij om dit even in handen te nemen.
Je hoeft dit zeker niet alleen te doen. Onze juridisch medewerkster Fien kan je hierin bijstaan. En nadien kan je ermee uitpakken, zodat je klanten ook weten dat hun gegevens bij jou in goeie handen zijn.