Kun jij 4% van je jaaromzet missen?

Risico op boetes GDPR gelden ook voor jouw bedrijf.

Dit moet je als directeur weten: geen business as usual, je moet nu aan de slag.

Sinds 25 mei 2018 is ernstige reputatieschade niet meer het enige dat je riskeert bij een datalek. Sindsdien is namelijk de GDPR in werking getreden: Europese wetgeving waarmee persoonlijke gegevens worden beschermd. Met torenhoge boetes als strafmiddel voor bedrijven die de privacy van hun klanten negeren. Zes feiten die je als directeur nu moet weten.

1. GDPR is niet vrijblijvend. Je loopt risico op hoge boetes

We kennen in Nederland al de meldplicht Datalekken. Maar de GDPR gaat verder: het wil Europese burgers de controle teruggeven over hun persoonlijke gegevens. GDPR staat voor General Data Protection Regulation en legt strenge voorwaarden op voor het verzamelen, verwerken en doorgeven van die gegevens. De maximale boete kan oplopen tot maar liefst 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet. Afhankelijk van wat hoger uitvalt.

2. De GDPR telt ook voor jouw bedrijf

Verzamelt jouw bedrijf persoonsgegevens van Europese burgers? Dan moet je voldoen aan de GDPR. Met persoonsgegevens wordt bedoeld: een naam, telefoonnummer, e-mailadres, adres, foto, etc. Daarmee geldt de GDPR dus voor:

  • B2C én B2B-bedrijven;
  • Kleine bedrijven;
  • Bedrijven buiten de EU;
  • Bedrijven die offline data opslaan.

Jouw bedrijf is verantwoordelijk voor de bescherming van persoonsgegevens. En dat is, door de groei in cyberhacking en datalekken, een steeds grotere uitdaging.

3. Meer verplichtingen voor persoonsgegevens

De GDPR heeft een groot aantal nieuwe verplichtingen met zich mee gebracht. Zo moet jouw bedrijf bijvoorbeeld:

  • Privacy als uitgangspunt nemen bij het verzamelen van toestemming en het verwerken en inzetten van persoonsgegevens;
  • Kunnen aantonen dat alle opgeslagen persoonsgegevens voldoen aan de GDPR. Of dit nu in datacenters of bij een cloud provider buiten de EU staat;
  • Een protocol datalekken opstellen en een zogeheten privacy impact assessment uitvoeren voor dataprocessen.

4. Gezocht: Data Protection Officer

Als data een van de kernactiviteiten is van jouw bedrijf, dan ben je ongeacht de grootte verplicht om een Data Protection Officer aan te stellen. Alleen een aangepaste privacyverklaring met een cookiebanner is echt niet meer voldoende om een megaboete te voorkomen.

5. Niks doen is geen optie

Anders kun je per direct je database niet meer gebruiken voor je verkoop- en marketingactiviteiten. Je businessmodel staat hiermee onder druk. Voldoen aan GDPR betekent bedrijfsprocessen onder de loep nemen, technische maatregelen nemen en de organisatie blijvend aanpassen. Klanten, partners en aandeelhouders verwachten dat van jouw bedrijf.

6. Het is de hoogste tijd

Je bedrijf moet volledig GDPR-compliant worden. Wacht langer, want er is werk aan de winkel en de gevolgen voor jouw bedrijf kunnen ernstig zijn. Wil jij voldoen aan de GDPR-wetgeving? Download direct het GDPR Directie Actieplan om jouw bedrijf klaar te stomen voor GDPR.

Download het GDPR actieplan voor directies

Zo zorg jij dat jouw bedrijf GDPR-proof is