Ben jij al mee met GDPR?
GDPR, je hebt deze afkorting waarschijnlijk al ergens gelezen en misschien weet je ook dat het te maken heeft met de nieuwe privacywetgeving. Maar hoe moet je daar als tuinaannemer mee omgaan? Kris Vansteenbeeck van KBC legt uit wat GDPR inhoudt. Betty Van Eyken staat klaar om de leden van Groen Groeien te adviseren.
Je hoort de laatste tijd vaak spreken over GDPR. Waarvoor staat die afkorting precies? En waarom is er nu plots zoveel om te doen?
Kris Vansteenbeeck: “GDPR staat voor General Data Protection Regulation, een nieuwe wet die op 25 mei officieel van kracht wordt. We hadden natuurlijk al wel wetgeving rond de opslag en bescherming van persoonsgegevens, maar tot nu toe was die nationaal. GDPR is nieuwe, Europees overkoepelende wetgeving. Die was nodig omdat de nationale wetgevingen verouderd waren. Tegenwoordig wordt er immers met zoveel big data gewerkt en de veiligheid van die gegevens garanderen is niet vanzelfsprekend. Het was tijd dat de rechten van de persoon die zijn gegevens deelt weer centraal kwamen te staan.”
Onlangs kwam de sociaalnetwerksite Facebook in opspraak voor de manier waarop ze omgaat met de gegevens van haar gebruikers. Moeten tuinaannemers dezelfde behandeling verwachten van de controlediensten?
Kris: “De wetgeving is voor elk bedrijf van toepassing, maar de impact is veel groter voor bedrijven die massa- en/of gevoelige gegevensverwerking als hoofdactiviteit hebben. Ik veronderstel dat de focus van de controlediensten veeleer op die laatste groep van bedrijven zal liggen. Dat wil wel niet zeggen dat je je als kmo of tuinaannemer niets van de nieuwe wet hoeft aan te trekken.”
Als een goede huisvader
Je verzorgde onder andere presentaties voor KBC, waarin je zelfstandigen informeerde over GDPR. Welke vragen kreeg je het meest voorgeschoteld?
Kris: “Mensen vroegen zich vooral af of ze nog wel een commerciële mailing naar hun klanten mogen doen en of hun manier van zakendoen niet in het gedrang komt. Ik kan hen geruststellen. GDPR en zakendoen werken elkaar absoluut niet tegen. Het gaat er vooral om je klanten goed te informeren over wat je met hun gegevens doet. Een andere vraag die ik vaak krijg, is wat er bedoeld wordt met de ‘redelijke bewaartermijn’ waarin je klantgegevens mag bijhouden na een aankoop. Daar kan ik geen vaste regel op plakken. Belangrijk is gewoon dat je die termijn kunt motiveren.”
Dat lijkt erg vaag. Hoe zit dat dan concreet voor onze tuinaannemers?
Kris: “Verkoop je bijvoorbeeld een wasmachine, dan is het redelijk om de klant af en toe te informeren tijdens de eerste jaren dat hij die machine gebruikt. Gaat het om een verbruiksgoed als een vleespakket, dan moet je er misschien over nadenken of het te verdedigen is dat je die klant nog contacteert jaren na zijn laatste aankoop.”
Betty Van Eyken: “Hetzelfde geldt bijvoorbeeld voor tuinaannemers die gegevens bijhouden van werknemers. Je houdt gegevens van ex-werknemers natuurlijk graag bij, om hen opnieuw te contacteren. Maar het is beter om ze niet onnodig lang bij te houden als die personen geen intentie meer hebben om nog bij jou te komen werken. Je bekijkt de invulling van de wetgeving het best met gezond verstand. Dan kan je je keuzes ook verantwoorden bij een eventuele controle.”
Kris: “Vergeet ook niet dat je als een goede huisvader moet omgaan met de gegevens die je bewaart. Dat betekent dat je ze niet zonder de toestemming van de betrokken persoon mag delen met derden, tenzij dat vastligt in een contract. Dat geldt ook voor je buurman die een bedrijf gestart is en graag het adressenbestand wil gebruiken dat jij uitgebouwd hebt. Ook al doe je dat met goede bedoelingen, het is niet wettig om informatie ongevraagd te delen met anderen.”
Niet alleen plichten, ook rechten
Laten we de zaak ook eens omdraaien. Heel wat tuinaannemers hebben vaste leveranciers. Die beschikken dan ook over hun gegevens. Wat zijn hun rechten?
Betty: “De redenering geldt inderdaad ook omgekeerd. De leveranciers zullen vanaf nu bewuster moeten omgaan met de gegevens van hun klanten. Het is dus waarschijnlijk dat jouw leverancier binnenkort contact met je opneemt om toestemming te vragen voor het bewaren van je gegevens. Weet dat je dus niet alleen plichten hebt, maar ook rechten. Alles hangt af van het contract dat je met het bedrijf hebt.
Een bedrijf dat gegevens bewaart in het kader van een verkoop hoeft hiervoor geen extra toestemming te vragen.Neem je na die bewaartermijn nog contact op met die persoon en wil je hem of haar commercieel benaderen, dan heb je toestemming nodig.”
Wanneer tuinaannemers hun GDPR-beleid in overeenstemming willen brengen met de nieuwe wet, hoe beginnen ze daar dan aan?
Betty: “We willen bij Boerenbond onze leden zo goed mogelijk bijstaan met praktisch advies. Daarom organiseerden we op 27 maart een webinar. Dat is een online-uitzending waarin we enkele praktische voorbeelden uitwerken en waarbij mensen ook interactief vragen kunnen stellen. Daarnaast vind je in dit nieuwsbericht een checklist, die je in enkele simpele stappen wegwijs maakt.”
Kris: “Evenmin als de meeste kmo’s hoef je als tuinaannemer niet te panikeren. Het belangrijkste is dat je kunt aantonen dat je met de materie bezig bent. Een simpel Exceldocument en een privacy policy kunnen daarvoor al een goede basis zijn. Vermeld welke gegevens je bewaart, waarom en hoe lang. Daarnaast moet je het akkoord van de klant of werknemer vragen om zijn gegevens te mogen bewaren. Voldoe je aan die twee eisen, dan ben je al een heel eind op de goede weg.”
Heb je het live webinar gemist? Hier kan je het terugkijken.
Checklist
Voldoet jouw bedrijf al aan de nieuwe privacyregels?
Op 25 mei zal de nationale privacywetgeving vervangen worden door GDPR, de nieuwe regelgeving van de Europese Unie. Als je als tuinaannemer bepaalde persoonsgegevens bijhoudt of verwerkt ben je verplicht om je in orde te stellen met deze nieuwe regels. Dit kan gaan om e-mailadressen en telefoongegevens van de klanten tot adressen van medewerkers die je tewerkstelt.
Gelukkig kan je je onderneming met een aantal eenvoudige aanpassingen klaarmaken voor deze veranderingen. Heel wat andere verplichtingen zijn trouwens niet van toepassing op tuinaanlegbedrijven maar enkel op ondernemingen met marketing als hoofdtaak. Wij goten de belangrijkste aandachtspunten voor de land- en tuinbouw alvast in een checklist.
Welke data bewaar je?
In het geval dat je controle over de vloer zou krijgen, is het goed om in een excel-bestand een overzicht te hebben van welke soort data je bewaart, van wie ze zijn en wat je er mee doet. Vermeld ook hoe je aan die gegevens bent gekomen, hoe lang en waar je ze bewaart, wie toegang heeft tot de databank en of de gegevens gedeeld worden met andere bedrijven.
Heb je die gegevens nodig?
Wanneer je tuinonderhoud doet is het natuurlijk normaal dat je de adressen van je klanten opslaat. Hetzelfde geldt voor een werkgever die de gegevens van zijn werknemers moet doorgeven aan de sociale zekerheid. Je bent niet per se in fout wanneer je gegevens bewaart die je niet rechtstreeks nodig hebt voor je bedrijfsvoering, maar in dat geval heeft de betrokkene meer recht om de verwijdering van zijn gegevens te vragen, ook nadat hij of zij hier toestemming voor heeft gegeven.
Bewaar je gevoelige informatie?
Het bewaren van gevoelige informatie over personen ligt, zoals je al kon denken, gevoelig. Specifieke regels zijn hiervoor van toepassing, zoals de toestemming van de persoon in kwestie. Ga ook zeer discreet met deze informatie om. Dit gaat bijvoorbeeld over religie, politieke voorkeur, ras, gezondheidsinformatie, seksuele geaardheid of lidmaatschap van een vakbond.
Vraag je op een correcte manier toestemming?
Dit is een erg belangrijk punt. De betrokkene moet uitdrukkelijk toestemmen met de bewaring van zijn gegevens en hij of zij moet geïnformeerd worden over wat je ermee van plan bent. Een vooraf aangevinkt vakje is niet toegelaten: er moet actief een keuze gemaakt worden. Het intrekken van de toestemming moet ook even gemakkelijk zijn als het geven ervan. Dit alles moet controleerbaar zijn. Hou dus een document bij van wie je toestemming gegeven heeft. Gegevens van -16 jarigen mogen pas na akkoord van de ouders of voogd bewaard worden.
Respecteer je alle rechten?
Je mag geen gegevens bewaren zonder dat de betrokkene hiermee akkoord is. Indien die later op zijn beslissing terugkomt, moet je op het verzoek reageren en bijvoorbeeld de gegevens op de correcte manier verwijderen, aanpassen of de persoon inzage geven. De basisregel is dat je geen gegevens mag verwerken zonder dat er een wettelijke basis voor is.
Wat bij een datalek?
Wordt je systeem bijvoorbeeld gehackt, dan moet je binnen de 72 uur de Privacycommissie op de hoogte brengen. De persoon wiens gegevens gehackt werden moet je enkel op de hoogte brengen als er een aanzienlijke impact kan zijn op zijn of haar privacy.
Is je privacy policy up-to-date?
Je privacy policy is het document dat je online of op papier laat lezen door de betrokkene voor je enige informatie over hem of haar opslaat. Dit moet duidelijk en beknopt geformuleerd zijn, maar ook alle nodige informatie bevatten over de verwerker, de rechten van de betrokkene, het doel van de gegevensbewaring, met wie de data gedeeld worden en hoe lang je ze bewaart. Dit geldt ook voor contracten die je bijvoorbeeld afsluit met leveranciers met wie je gegevens deelt. Je moet namelijk kunnen garanderen dat je werkt met ‘veilige’ bedrijven die correct omgaan met de gedeelde informatie.
Dit lijkt misschien een hele boterham, maar als je op basis van deze checklist een aantal kleine aanpassingen doet, is er geen reden tot ongerustheid. Heb je vragen of heb je nood aan persoonlijke ondersteuning, doe dan indien nodig een beroep op een gespecialiseerd advocatenkantoor of IT-consultant. Ook bij Boerenbond staan we je als lid van Groen Groeien graag bij met goede raad specifiek voor tuinaannemers. Je kan terecht bij Betty Van Eyken, stafmedewerker Dienstbetoon.
Standaardregister
Standaardinformatieclausule
"Uw persoonsgegevens worden door [NAAM Bedrijf/bedrijfsleider] verwerkt, voor klantenbeheer op basis van de contractuele relatie als gevolg van uw bestelling/aankoop en voor direct marketing (/om u nieuwe producten of diensten aan te bieden) op basis van ons gerechtvaardigd belang om te ondernemen. Indien u niet wil dat wij uw gegevens verwerken met het oog op direct marketing, volstaat het ons dat mee te delen op [email toevoegen]. Via dat adres kan u ook altijd vragen welke gegevens wij over u verwerken en ze verbeteren of laten wissen. Als u het niet eens bent met de manier waarop wij uw gegevens verwerken, kan u zich wenden tot de Gegevensbeschermingsauthoriteit (Drukpersstraat 35 te 1000 Brussel). Ons beleid op het vlak van gegevensverwerking vindt u op [website toevoegen]."
Bron en beelden: Boerenbond