Steunpunt Korte Keten,

jouw eerste aanspreekpunt
voor vragen over de korte keten.

Verplichtingen bij GDPR

Wie persoonsgegevens van klanten bijhoudt of verwerkt, is je verplicht om zich in orde te stellen met de GDPR-regelgeving. Recent kregen we een melding dat er commerciële bedrijven de boer op gaan en foutieve informatie zouden verspreiden over de bestaande verplichtingen. Daarom zetten we de verplichting hier nog eens uiteen:

Wetgevende kader: Art. 32, lid 1 stelt jou als ondernemer verantwoordelijk voor het nemen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen. Concreet kan dat bijvoorbeeld gaan over mailadressen van klanten die je eventueel zou bijhouden.

De overheid bepaalt bewust niet welke specifieke technische en organisatorische maatregelen je zou moeten nemen om persoonsgegevens te beveiligen. Aan jou wordt gevraagd om te kijken naar de ernst van de risico’s voor de rechten en vrijheden van de betrokkene en hoe waarschijnlijk het is dat deze risico’s zich ook manifesteren. Voortgaand op het voorbeeld hierboven: hoe ernstig is het lekken van een mailadres en hoe groot is de kans dat men deze specifieke groep van adressen ook zal willen stelen van jouw computer?

Hoe hoger de risico’s die verbonden zijn aan gegevensverwerking en hoe groter de kans dat dit zich ook zal manifesteren, hoe sterker de beveiligingsmaatregelen moeten zijn en hoe meer maatregelen moeten worden genomen.

Bedrijven die op een agressieve manier verkondigen dat hun product een wettelijke verplichting zou zijn, verspreiden dus foutieve informatie. Nergens wordt immers gespecifieerd hoe gegevensbescherming er uit zou moeten zien. Wel bestaat wetgeving rond het beschermen van persoonsgebonden data die jij mogelijks bijhoudt. Het is de verantwoordelijkheid van jou als ondernemer om hierin een keuze te maken, in verhouding tot het reële risico dat je loopt.