GDPR klinkt complex maar de basis is goed te overzien voor kleine bedrijven. Wat in de pers vooral aandacht krijgt zijn boetes van miljoenen aan grote spelers. Voor een Belgische kmo of zelfstandige is de praktische realiteit simpeler: enkele duidelijke verplichtingen die je in een paar uur kan inrichten, en die je voor jaren beschermen.
Wat je verwerkt
Adressen, e-mails, telefoonnummers — al die data valt onder GDPR. Inventariseer wat je opslaat. Maak een eenvoudig overzicht per systeem: nieuwsbriefsoftware, CRM, boekhouding, contactformulier op de website, klantendossiers in een map. Voor elk: welke gegevens, hoe lang bewaar je ze, met welke partijen zijn ze gedeeld?
Dit overzicht heet officieel een “verwerkingsregister” en is verplicht voor bedrijven boven 250 medewerkers — maar in de praktijk vraagt de Gegevensbeschermingsautoriteit het ook van kleinere bedrijven bij een controle of klacht. Een Excel-document van één pagina volstaat. Eenmaal gemaakt, hou je het bij wanneer je een nieuwe tool introduceert.
Toestemming
Voor marketing-mails moet je expliciete toestemming hebben. Pre-checked checkboxes mogen niet. De klant moet actief het vinkje aanzetten, en je moet kunnen aantonen wanneer en hoe die toestemming gegeven is. Mailchimp, MailerLite en gelijkaardige tools registreren dit automatisch — een handgeschreven lijst van mailadressen kan je niet meer gebruiken voor marketing zonder hernieuwde opt-in.
Een klantmail sturen ná aankoop voor opvolging of een product-update is geen marketing en mag wel zonder expliciete toestemming. Maar zodra je een nieuwsbrief of promotie wil sturen, moet de klant daar apart “ja” voor hebben gezegd. De grens is grijs en het is veiliger om altijd op te vragen.
Privacyverklaring
Een duidelijke privacyverklaring op je website is verplicht. Vermeld wat je verzamelt en waarom, hoe lang je het bewaart, met wie je het deelt, en welke rechten de bezoeker heeft. Geen jargon — een gewone klant moet hem begrijpen.
Hergebruik geen privacyverklaring van een ander bedrijf. Naast dat het juridisch mank kan lopen omdat hun verwerkingen anders zijn, valt het de Gegevensbeschermingsautoriteit op wanneer twee bedrijven exact dezelfde tekst hanteren. Schrijf hem zelf, of laat hem opstellen door een advocaat. Reken op honderd tot driehonderd euro voor een opzet op maat.
Datalek
Bij een datalek moet je dit binnen tweeënzeventig uur melden bij de Gegevensbeschermingsautoriteit. Een gehackte mailbox, een verloren laptop met klantendata, een bestand dat per ongeluk publiek toegankelijk werd — allemaal datalekken in de zin van GDPR. Niet melden kan boetes opleveren die hoger zijn dan de schade van het lek zelf.
Hou een eenvoudig protocol klaar: wie meldt het lek intern, wie beoordeelt of het meldenswaardig is, wie doet de melding bij de Gegevensbeschermingsautoriteit (via gegevensbeschermingsautoriteit.be, online formulier). Eén keer doordenken op een rustig moment voorkomt paniek wanneer het echt gebeurt.
