Zijn zakelijke e-mailadressen ook persoonsgegevens?

Ja. Een e-mailadres als jan.jansen@bedrijf.nl bevat een naam en is daarmee een persoonsgegeven. Zelfs een generiek adres als info@bedrijf.nl kan een persoonsgegeven zijn als je weet wie erachter zit.

Ik ben zzp'er zonder personeel. Heb ik dan ook GDPR-data?

Ja. Je hebt klanten waarvan je gegevens bijhoudt (naam, adres, e-mail, bankrekening voor facturen). Je hebt leveranciers of opdrachtgevers met contactgegevens. En je hebt waarschijnlijk een mailinglijst of contactenlijst. Dat zijn allemaal persoonsgegevens.

Zijn bedrijfsnamen ook persoonsgegevens?

Een bedrijfsnaam op zich niet. Maar de contactpersoon bij dat bedrijf, met naam, e-mail en telefoonnummer, dat zijn wel persoonsgegevens. En bij eenmanszaken is de bedrijfsnaam vaak gelijk aan de naam van de eigenaar.

Wat als ik alleen B2B werk?

Ook in B2B verwerk je persoonsgegevens. De contactpersonen bij je klanten en leveranciers zijn natuurlijke personen. Hun namen, e-mailadressen en telefoonnummers zijn persoonsgegevens die onder de GDPR vallen.

Geen GDPR Data? Wees Niet zo Zeker - Elk Bedrijf Heeft Persoonsgegevens

Elk bedrijf verwerkt persoonsgegevens. Klantnamen, e-mailadressen, personeelsdossiers, leverancierscontacten - het zijn allemaal persoonsgegevens die onder de GDPR vallen. Dit artikel laat zien waarom jij ook GDPR-data hebt.

De misvatting

“De GDPR? Dat is niet op ons van toepassing. Wij verzamelen geen persoonsgegevens.”

Dit is misschien wel de gevaarlijkste misvatting op deze lijst. Niet omdat het bedrijf kwade bedoelingen heeft, maar omdat het er volledig naast zit en daardoor nul maatregelen neemt. De GDPR (in Nederland ook bekend als de AVG) heeft een veel bredere definitie van “persoonsgegevens” dan de meeste ondernemers denken.

Wat zijn persoonsgegevens eigenlijk?

De GDPR definieert persoonsgegevens als: alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon. Dat klinkt abstract, maar in de praktijk is het heel concreet:

Namen van klanten, medewerkers, leveranciers
E-mailadressen, ook zakelijke adressen zoals pieter@bedrijfsnaam.nl
Telefoonnummers, zowel zakelijk als prive
Adressen, zowel woon- als bedrijfsadressen van eenmanszaken
Bankrekeningnummers op facturen
IP-adressen van websitebezoekers
Foto’s waarop personen herkenbaar zijn
KvK-nummers van eenmanszaken (want die zijn direct herleidbaar tot een persoon)

De lijst is lang. En vrijwel elk bedrijf heeft met meerdere van deze categorieen te maken.

Laten we het concreet maken

Hier zijn drie voorbeelden van bedrijven die dachten dat ze geen persoonsgegevens hadden.

De loodgieter

“Ik ben loodgieter. Ik maak leidingen. Ik heb geen data.”

Maar hij heeft:

Een telefoon vol contacten van klanten en leveranciers
Facturen met namen, adressen en bankrekeningnummers
Een agenda met afspraken bij klanten thuis
Een WhatsApp-geschiedenis vol berichten met klantgegevens
Een Google-account met contacten en e-mails

Dat zijn honderden persoonsgegevens.

Het architectenbureau

“Wij werken B2B. Onze klanten zijn bedrijven, geen personen.”

Maar het bureau heeft:

Contactpersonen bij elke opdrachtgever, met naam, e-mail en telefoonnummer
Personeelsdossiers van eigen medewerkers
Freelancercontracten met BSN-nummers en bankgegevens
Sollicitatiebrieven en CV’s van kandidaten
Foto’s van projecten waarop soms bewoners of voorbijgangers zichtbaar zijn

De webshop

“Wij verkopen producten, geen data.”

Maar de webshop verwerkt:

Klantgegevens: naam, adres, e-mail, telefoonnummer bij elke bestelling
Betalingsgegevens: bankrekening of creditcardgegevens
Bestelhistorie: wat iemand koopt zegt iets over die persoon
IP-adressen en cookies via de website
Klantenservicegesprekken: e-mails en chatberichten met persoonlijke informatie

Waarom dit gevaarlijk is

Als je denkt dat je geen persoonsgegevens hebt, neem je geen maatregelen om ze te beschermen. Dat betekent:

Geen verwerkingsregister, dus je weet niet welke gegevens je hebt en waar ze staan
Geen beveiliging, dus gegevens liggen onbeschermd op laptops, telefoons en in e-mailaccounts
Geen bewaartermijnen, dus je bewaart gegevens voor altijd zonder reden
Geen procedures als er iets misgaat, zoals een verloren telefoon of een gehackt e-mailaccount

En als het dan misgaat, is de schade groter dan nodig.

Een voorbeeld: een kleine aannemer verloor zijn telefoon. Daarop stonden contactgegevens van 200 klanten, inclusief adressen (hij kwam immers bij ze thuis). Omdat hij dacht dat hij “geen data” had, was de telefoon niet beveiligd met een pincode. Dit is een datalek dat gemeld moet worden bij de toezichthouder.

Wat je nu kunt doen

Accepteer allereerst dat je persoonsgegevens verwerkt, want dat doe je. En neem dan deze stappen:

Inventariseer: loop je telefoon, e-mail, computer en papieren administratie door. Schrijf op welke persoonsgegevens je tegenkomt
Beveilig de basis: zet een pincode op je telefoon, gebruik sterke wachtwoorden, en bewaar gevoelige documenten in een afgesloten kast
Ruim op: verwijder gegevens die je niet meer nodig hebt. Die offerteaanvraag van vijf jaar geleden? Weg ermee
Stel bewaartermijnen vast: bepaal per type gegeven hoe lang je het bewaart en zet een herinnering om op te ruimen
Maak een verwerkingsregister: het klinkt groter dan het is. Voor een klein bedrijf past het op twee A4-tjes

Je hoeft geen privacyexpert te worden. Maar je moet wel weten welke persoonsgegevens je hebt en ze fatsoenlijk beschermen. Dat is de kern van de GDPR.

auto_awesome Wil je weten welke gegevens je verwerkt?

GDPRWise scant je website en brengt in kaart welke persoonsgegevens je verzamelt, met wie je ze deelt, en wat je nog moet regelen.

Gratis scan starten

Misvatting: Ik Heb Geen GDPR Data