GDPR geldt voor elke onderneming die persoonsgegevens verwerkt, en dat zijn er meer dan je denkt. Wie de regels negeert, riskeert boetes tot 4 procent van de jaaromzet en, vaak nog erger, reputatieschade als er een datalek bekend wordt. Tien praktische stappen om compliant te worden, plus wat je daarna nog hoort te weten.
1. Inventariseer welke data je verwerkt
Begin bij de bron. Welke gegevens verzamel je van klanten, leveranciers, sollicitanten, werknemers en prospects? Voor elke groep: welk type data, met welk doel, hoe lang bewaar je het en wie heeft toegang? Pas als dit overzicht klopt, kun je gericht beslissen wat moet veranderen.
2. Maak een verwerkingsregister
Een register is verplicht zodra je 250 werknemers telt, maar voor elke KMO een goede gewoonte. Documenteer je verwerkingen in een Excel of een GDPR-tool zoals OneTrust, Compliancy of GDPR365. Houd het levend, niet als eenmalige opdracht voor de juridische map.
3. Update je privacyverklaring
Op je website verplicht. Zet erin: wie je bent, welke data je verzamelt, waarom, hoe lang je bewaart, met wie je deelt en welke rechten de betrokkene heeft. Verwijs naar de Belgische Gegevensbeschermingsautoriteit voor klachten en geef een concreet contactadres.
4. Cookie-melding op je website
Functionele cookies mag je standaard plaatsen. Voor analytische, marketing- en social-media-cookies heb je actieve toestemming nodig, geen pre-checked vinkjes. Tools zoals Cookiebot, Complianz of Cookieyes regelen het netjes en houden bovendien een logboek bij voor inspectie.
5. Toestemming bij e-mailmarketing
Wie zich inschrijft voor je nieuwsbrief, doet dat actief en vrijwillig. Bewaar het bewijs: timestamp, IP en het opt-in-formulier. Een afmeldlink moet in elke mail aanwezig zijn en in een klik werken, anders riskeer je een klacht.
6. Data-overeenkomsten met leveranciers
Leveranciers die data voor jou verwerken (je IT-partner, mailingsoftware, boekhoudpakket) zijn verwerkers. Sluit met elk een verwerkersovereenkomst, ook DPA genoemd. Standaardtemplates vind je bij de meeste tools zelf, je hoeft het wiel niet opnieuw uit te vinden.
7. Datalek-procedure
Bij een datalek heb je 72 uur om de Gegevensbeschermingsautoriteit te informeren. Leg vooraf vast wie binnen je bedrijf het beslist, wat er gemeld wordt en hoe je betrokkenen bereikt. Een korte beslisboom op een A4 volstaat in de meeste situaties.
8. Beveiliging
Sterke wachtwoorden, tweestapsverificatie, schijfversleuteling op laptops, periodieke back-ups en automatische schermvergrendeling. Voor cloudtools: kies leveranciers met data binnen de EU en check hun certificeringen. ISO 27001 is een goede minimum-garantie voor SaaS-partners.
9. Bewaarbeleid
Bewaar gegevens niet langer dan nodig. Klantgegevens vaak zeven jaar, gekoppeld aan boekhouding, sollicitanten maximaal twee jaar mits expliciete toestemming, prospects een tot drie jaar. Stel waar mogelijk automatische opschoonregels in zodat je niet handmatig moet opruimen.
10. Rechten van betrokkenen respecteren
Inzage, correctie, verwijdering, beperking, dataportabiliteit en bezwaar: die rechten kan elke betrokkene op elk moment uitoefenen. Antwoord binnen een maand. Plan een vast intern proces zodat je niet elke vraag opnieuw uitvindt en zodat termijnen niet stilletjes verlopen.
DPO nodig?
Een Data Protection Officer is verplicht voor publieke instanties, organisaties met grootschalige verwerking van bijzondere data en stelselmatige monitoring. Voor de meeste KMO s hoeft het niet, maar een vast aanspreekpunt voor privacy-vragen werkt altijd beter dan iedereen erbij betrekken.
Bewustmaken team
GDPR is geen jurist-aangelegenheid maar dagelijks gedrag. Een korte sessie per jaar voor je team plus een welkomstdocument voor nieuwkomers voorkomt het grootste deel van de incidenten. Phishing, verkeerd geadresseerde mails en USB-sticks zijn de klassiekers.
Audit
Na de eerste opzet plan je elke twaalf tot achttien maanden een interne check. Loop je register na, kijk welke nieuwe tools erbij zijn gekomen en pas je documenten aan. Externe audits zijn nuttig bij sterke groei, een fusie of een aankomende overname.
Tools
Voor kleine KMO s volstaan een goed Excel-register, een degelijke cookie-tool en standaard-DPA s. Wie groter wordt, schakelt naar dedicated software zoals OneTrust of GDPR365. Kies pragmatisch, niet duurder dan nodig en niet ingewikkelder dan je team aankan.
Klacht door klant
Een klacht bij de Gegevensbeschermingsautoriteit komt zelden uit de lucht vallen. Reageer altijd binnen redelijke termijn op verzoeken van betrokkenen, zelfs als je twijfelt. De toon van je antwoord is vaak doorslaggevend voor of het verder escaleert.
GDPR is geen project met een einddatum, maar een gewoonte. Begin bij wat je vandaag al verwerkt, maak het zichtbaar in een register en leg drie of vier vaste procedures vast. Wie dat fundament heeft, slaapt rustiger, ook als er ooit eens iets misgaat.
