Sinds 25 mei 2018 zijn we allemaal verplicht om verzamelde data beter te beveiligen. Op straffe van zware boetes, zo wordt geschreven. En dus zit de schrik voor boetes er bij veel kleinere ondernemers goed in. Maar is deze schrik terecht? Hoe overtreedt u als bakker, slager of andere kleine zelfstandigen voortaan de wet niet meer? Dé 10 vragen rond GDPR. © HANS HERMANS
Waar gaat het juist om? GDPR in dé 10 vragen die er om doen.
Specialist Herman Maes van de techblog Dailybits geeft u antwoorden.
Vraag 1. Wat verandert er op 25 mei 2018?
Herman Maes: “Inhoudelijk verandert er niets tegenover de bestaande privacywetgeving die sinds 1992 geldt. Wel zullen er sancties worden uitgesproken tegen bedrijven die de privacywetgeving overtreden. De Belgische privacycommissie kan een soort gasboetes uitschrijven. Al zullen ze naar kleine zelfstandigen eerder met waarschuwingen werken.
Ook verwacht ik geen proactieve controles. Wel zal er gecontroleerd worden bij ondernemingen waarover klachten ingediend worden door consumenten die steeds kritischer worden.”

Vraag 2. Voor wie geldt de privacywet?
Herman Maes: “Deze GDPR of Algemene Verordening Gegevensbescherming geldt voor iedereen die persoonsgegevens verzamelt. Bijvoorbeeld: de bakker die tijdens de braderij een wedstrijd organiseert en hiervoor mailadressen vraagt. Of de kledingwinkel die een mailing stuurt naar iedereen in de regio. Of het advocatenkantoor dat gevoelige informatie van zijn klanten beheert, de notaris, de boekhouder, enzovoort.”
Vraag 3. Wat mag niet meer met gegevens van klanten?
Herman Maes: “De geest van de wet wil voorkomen dat we blijven omgaan met gegevens zoals we dat vandaag doen."
"Zelfstandigen en kleine ondernemers gaan vandaag met klantgegevens om zoals ze zelf niet willen dat hun eigen telefoon- en mailgegevens behandeld worden."
"Zo sturen ze mailings waarop u zich niet kan uitschrijven, bewaren ze klantgegevens zonder beveiliging op hun computers en stapelen ze de papieren dossiers soms gewoon op naast de voordeur.”
Vraag 4. Welke fouten ziet u dagelijks?
Herman Maes: “Ik kwam onlangs voor De Digitale Versnelling, het Telenet-project waarbij we ondernemers helpen met hun digitale uitdagingen, bij iemand die zijn site gehackt was. Niet onlogisch, omdat zijn paswoord ‘test123’ was en hij al 3 jaar geen updates meer had uitgevoerd. Gebeurt dat met een webshop, dan liggen alle klantgegevens op straat. Vaak zie ik ook dat mensen eenzelfde paswoord voor hun Facebook gebruiken als voor hun online CRM. Of het boekhoudkantoor dat de account van iemand die drie jaar geleden ontslagen is nog niet heeft ingetrokken. Hierover moeten we toch eens nadenken.”
Vraag 5. Moet elke zelfstandige op zijn hoede zijn?
Herman Maes: “Ja. Iedereen zal zijn beveiliging moeten opdrijven. Al is de context waarin u opereert bepalend. Medische, financiële en persoonlijke informatie over geaardheid, afkomst en van kinderen moeten sterker beveiligd worden."
"De slager die online bestellingen aanneemt bezit minder gevoelige informatie dan de apotheek ernaast. Ook de binnenspeeltuin met informatie over kinderen onder de 16 jaar moet meer moeite doen om alle gegevens te beschermen.”
Vraag 6. Hoe beveiligen we beter onze klantgegevens?
Herman Maes: “Alles kan gehackt worden. Iedereen kan zijn laptop eens verliezen. En dus moet u alles beveiligen, regelmatig van paswoorden wisselen en software updaten. Denk daarnaast ook aan de nodige back-ups.”

Vraag 7. Wat doe ik als mijn data gelekt is?
Herman Maes: “Datalekken en hacks moet u aangeven bij uw lokale politiekantoor. Daarnaast houdt deze GDPR wetgeving ook een meldplicht in bij de privacycommissie binnen 72u na ontdekking van het datalek. Ook wanneer u een laptop met informatie van uw klanten verliest of er iemand dossiers bij u steelt, moet u dit melden.”
Vraag 8. Mag ik nog steeds iedereen in mijn database mailen?
Herman Maes: “Ik leg het uit in een paar gradaties. Zo doet een ondernemer die zijn eigen klanten mailt over zijn producten en diensten niets mis. Hij of zij moet zich geen zorgen maken. Ook een groot boekhoudkantoor dat een maandelijkse nieuwsbrief stuurt naar iedereen die zich heeft ingeschreven, hoeft ook geen problemen te vrezen. Op voorwaarde dat iedereen die de nieuwsbrief ontvangt zich steeds vlot kan uitschrijven.
Wel problematischer wordt het wanneer iemand een wedstrijd organiseert en achteraf intensief mailt op de verzamelde gegevens."
"Mailings waarvoor u geen toestemming gekregen hebt en waarop niet uit te schrijven is, mogen niet.”
Vraag 9. Wat met adresbestanden die ik gekocht heb?
Herman Maes: “Een database kopen, is om problemen vragen. U mag, bijvoorbeeld, niet meer alle HR- of IT-managers ongevraagd mailen. Ze hebben u namelijk nooit hun toestemming gegeven om in zo’n lijst opgenomen te worden. Met andere woorden: u mag nog enkel naar gekochte info@- en bedrijfsadressen mailen, tenzij u 100% zeker bent dat de personen op een aangekochte lijst hun toestemming gaven voor de verkoop van hun gegevens.

Zo moet u ook mensen die deelnemen aan uw wedstrijd informeren over wat u met hun gegevens wil doen.”
Vraag 10. Welke boetes moet ik vrezen?
Herman Maes: “De boetes zijn heel hoog en schrikken terecht af. Ze lopen op tot 20 miljoen euro of 4% van de globale omzet. Nu hoeven kleine zelfstandigen deze niet te vrezen.
Een bakker die ongevraagde nieuwsbrieven uitstuurt of gegevens laat lekken, zal waarschijnlijk eerst een waarschuwing krijgen. Wel zal een ziekenhuis dat al 10 jaar geen updates meer deed en bedrijven die flagrant weigeren om de wetgeving te volgen, harder gestraft worden.
Daarnaast zijn er wel commerciële gevolgen te vrezen. Wanneer consumenten u aan de schandpaal nagelen, draagt u natuurlijk de commerciële gevolgen. Denk maar aan de boekhouder van wie geweten zal zijn dat die gevoelige financiële gegevens zomaar laat rondslingeren.”
Stel u nu in orde met GDPR. Lees ons artikel U overtreedt sneller dan u denkt de GDPR-privacywetgeving. Wat nu?
© Dit is een artikel van Hans Hermans, geschreven op maat van Telenet Business. Contacteer freelance business journalist Hans voor je eigen unieke en sterke zakelijke content.