Kak je in je broek door GDPR?

Deel dit artikel:

Even aanhalen dat ik niet dé GDPR expert van België ben. Ik heb me verdiept om info door te nemen, samen te vatten en te implementeren wat noodzakelijk is voor een klein bedrijf.

GDPR basisbeleid

Europese Privacy Verordening, de algemene verordening gegevensbescherming (AVG) of de General Data Protection Regulation (GDPR). (= 3 verschillende namen voor hetzelfde :) )

1. Inventariseer de gegevens: Leg een dataregister aan

Een dataregister is een overzicht van alle geinventariseerde persoonsgegevens die jij verwerkt.

Hierin wordt vermeld :

  • vanwaar persoonsgegevens komen
  • met wie persoonsgegevens worden gedeeld
  • op welke manier deze gegevens worden beschermd.

Dit register moet een recent overzicht geven. Verzameld het hoogst nodige van gegevens.

  1. Controleer overeenkomsten of contracten
  • Check alle overeenkomsten met klanten, leveranciers, freelancers of medewerkers.
  • Is er een geheimhoudingscontract met freelancers en medewerkers?
  • Zijn de freelancers, sollicitanten, medewerkers,… op de hoogte wat je met hun gegevens doet?

Voor medewerkers en freelancers:

Maak een checklist als je iemand aanneemt of inhuurt

  • Wie heeft toegang tot de ruimtes en systemen?
  • Welke emailaccounts maak je aan?
  • Wie heeft een sleutel?
  • Check betrouwhaarheid medewerker door vb referenties, ..

Vul checklist in als iemand weggaat

  • Sleutel terug?
  • Alle wachtwoorden veranderen of accounts deleten?

Voor leveranciers:

Stel lijst op van alle leveranciers waar je persoonsgegevens mee deelt (boekhouder, listbuilder, VA’s,…)

  • Leg bij VA ook geheimhoudingscontract af.
  • Maak concrete afspraken ivm persoonsgegevens: Hoe verwerken ze de gegevens en wat zijn verwerkingsovereenkomsten?
  • Welke info beheren je leveranciers, hoe lang en hoe beveiligen ze die?
  • Denk ook aan vb de schoonmaker die bij computer kan.

2. Beveilig de gegevens

  • Maak een plan van aanpak hoe je omgaat met beveiliging vb telefoons, laptop, pc’s, server, tablet,…
  • Toon aan wie aan welke gegevens kan.
  • Wat moet er precies gebeuren bij een datalek? Welke partij moet ingelicht worden?
  • Hoe is informatieoverdracht geregeld en hoe is deze beveiligd?
  • Wat zijn goede loggins?
  • Wat gebeurt er concreet met gegevens als er iets met jou gebeurt?
  • Documenteer de controles en herhaal ze jaarlijks.

Online (in the cloud) opslaan bestanden:

  • Dropbox: qua veiligheid: wordt beter maar is niet helemaal veilig.
  • Google drive is een probleem ivm privacy.
  • One drive is goede oplossing ivm privacy.
  • Zelf werk ik met Nomadesk.

3. Vraag toestemming

Verandering ivm Emailmarketing

  • Zorg dat je toestemming hebt in het opt-in formulier voor gratis ebook of webinar.
  • Vraag aparte toestemming voor de nieuwsbrief in het aanmeldingsformulier met een apart vinkje.
  • Je moet de letterlijke toestemmingstekst bewaren, dit kan in je listbuilder bestand.
  • Werk met dubbel opt-in (het is nog steeds geen verplichting)
  • Je hoeft voor je huidige e-maillijst niet opnieuw toestemming te vragen als je ze vroeger om toestemming vroeg.
  • Zit je met een lijst (van voor 25/5/2018) waar je nog niet veel mee gemaild hebt, mails ze dan een paar keer ervoor.
  • Je klanten zelf mag je toevoegen op je lijst mits het gaat om mailings in dezelfde trant van hun aangekocht product of dienst.
  • Als je contacts importeert vanuit een andere listbuilder systeem vb mailchimp, ymlp, aweber, ea,…waar toestemming is gegeven tracht het IP adres mee te importeren en je hoeft niet opnieuw toestemming te vragen.
  • Als je een marketing automation systeem hebt waarbij je als men klikt in de mail nog paar vervolgmailtjes stuurt dan mag dit mits het duidelijk staat in het privacy beleid.

Autorespond.nl is erg goed mee met de GDPR. Voor andere listbuilders bekijk je best zelfs hoe het geregeld is ivm toestemming. Zeker voor leveranciers buiten Europa.

Wat als je via een ander systeem mensen op je emaillijst krijgt?

  • Vb via een webinar, via een affiliate waarvan je lijst krijgt, via andere opt-in,..?

Het ander systeem moet de toestemming goed geregeld hebben en een goed verwerkingssysteem hebben.

Hoe vraag je toestemming in een correct opt-in formulier?

Door toestemming te vragen zowel voor gratis weggever, extra vinkje voor de vervolgnieuwsbrief en een vinkje dat ze akkoord gaan met het privacy beleid.

Mijn opt-in is nog niet 100% in orde:

Er moet nog 1 extra vinkje bij ivm ‘ik wil de nieuwsbrief ontvangen’.

Wat doe je als je gegevens vb gaat retargetting ivm facebook?

Neem dit op in het privacybeleid dat je dit gaat doen en met welke leverancier je dit deelt.

Dit zijn privacy beleids van verschillende social media. Andere niet opgenomen leveranciers kun je vinden door op hun website te zoeken.

Google analytics: https://www.google.nl/intl/nl/policies/privacy/

Facebook: https://www.facebook.com/privacy/explanation

Linkedin: https://www.linkedin.com/legal/privacy-policy/

Youtube: https://www.youtube.com/static?template=privacy_guidelines

Instagram: https://help.instagram.com/155833707900388

Google plus: https://www.google.com/policies/privacy/

Twitter: https://twitter.com/privacy?lang=en

Pinterests: https://policy.pinterest.com/en/privacy-policy

Maken van foto’s en video’s

Je mag foto’s en video’s maken, als je iemand kunt herkennen moet je vragen om toestemming. Als die toestemming gegeven werd is het oké.

Controleer datastromen naar niet EU landen

Als je data verwerkt of doorgeeft buiten de EU (vb cloud servers) moet je nagaan of die landen over eenzelfde soort privacywetgeving beschikken als in de EU.

4. Communiceer helder over het privacybeleid.

Het privacy beleid op de website moet voldoen aan bepaalde richtlijnen.

  • Het moet in een eenvoudige, begrijpbare taal opgesteld zijn: Zie voorbeeld: https://www.sabinevanmeenen.be/nl/privacy
  • Identiteitsgegevens verwerker
  • Waarom je de gegevens verwerkt
  • Duur bijhouden gegevens
  • Op welke manier de personen hun gegevens kunnen laten aanpassen of verwijderen
  • Hoe iemand kan klacht indienen bij de privacy commissie
  • Staat er een cookie beleid op de website?

FAQ

Heb je een functionaris gegevensbescherming nodig?

  • Dit geldt vooral voor overheidsinstanties
  • Als je regelmatig observaties op grote schaal uitvoert heb je dit nodig.
  • Bij het op grote schaal verwerken van bijzondere of strafrechtelijke persoonsgegevens als hoofdactiviteit is dit nodig.

Is een cyberverzekering nodig?

In wezen hoeft het niet als je bovenstaande stappen genomen hebt als kleiner bedrijf.
Grotere organisaties nemen dit best wel.

Meer info en bronnen over GDPR:
https://gdpr-eu.be/wat-is-gdpr/
www.unizo.be
www.autorespond.nl

Deel dit artikel

Download GRATIS E-book + 3 Video’s

"BREEK DOOR met 11 praktische Business-Strategieën"

en ontvang OndernemersTips voor een beter Resultaat