Sinds 2018 is GDPR (AVG) van kracht. De handhaving in België door de Gegevensbeschermingsautoriteit (GBA) wordt steeds actiever, met boetes die zelfs voor KMO’s al stevig aantikken. Wat moet je minimaal in orde hebben?
Verwerkingsregister
Elke onderneming met personeel of relevante verwerkingen houdt een verwerkingsregister bij: welke data, voor welk doel, hoelang bewaard, wie heeft toegang. Een eenvoudig Excel volstaat voor kleine KMO’s. Bij een controle is dit het eerste document dat de GBA opvraagt.
Privacyverklaring op je website
Een complete privacyverklaring vermeldt welke data je verzamelt (cookies, contactformulier, accounts), waarvoor, met wie je deelt, hoe lang je bewaart, welke rechten de gebruiker heeft (inzage, correctie, wissing), en hoe je contact opneemt met de gegevensbeschermingsautoriteit. Templates kopiëren zonder aanpassing is een risico — controleer of de inhoud klopt voor jouw activiteit.
Verwerkingsovereenkomsten met leveranciers
Werk je met cloud-tools (Microsoft 365, Mailchimp, Yuki, klantadministratie)? Sluit een Data Processing Agreement (DPA) af. Dit ligt vaak standaard klaar bij de leverancier en dekt jouw verantwoordelijkheid als verwerkingsverantwoordelijke.
Datalekken melden
Bij een datalek met risico voor de betrokken personen heb je 72 uur om dit te melden aan de GBA. Niet melden of te laat melden levert de hoogste boetes op. Hou daarom een eenvoudige incidentprocedure klaar — ook al verwacht je nooit een lek.