Zijn zakelijke e-mailadressen persoonsgegevens?

Ja. Een e-mailadres als jan.jansen@bedrijf.nl bevat een naam en is daarmee een persoonsgegeven. Zelfs generieke adressen als info@bedrijf.nl kunnen persoonsgegevens zijn als je weet welk individu erachter zit.

Moet ik een verwerkingsregister bijhouden als ik alleen B2B werk?

Ja. Je verwerkt persoonsgegevens van contactpersonen, werknemers en mogelijk leveranciers. Al die verwerkingen horen in je verwerkingsregister, inclusief het doel, de rechtsgrond en de bewaartermijn.

Mag ik zakelijke contacten zomaar in mijn CRM zetten?

Ja, maar je hebt wel een rechtsgrond nodig. Meestal is dat gerechtvaardigd belang (je hebt een legitiem zakelijk belang bij het bijhouden van je relaties). Je moet dit documenteren en de contactpersonen informeren via je privacyverklaring.

Geldt de GDPR ook voor eenmanszaken en zzp'ers waarmee ik samenwerk?

Ja. Bij eenmanszaken en zzp'ers zijn de bedrijfsgegevens vaak gelijk aan de persoonsgegevens van de eigenaar. Naam, adres, bankrekening, het zijn allemaal persoonsgegevens.

GDPR en B2B - Waarom de AVG ook voor B2B-bedrijven Geldt

Een veelgehoorde misvatting: de GDPR geldt niet voor B2B-bedrijven. Maar ook in B2B verwerk je persoonsgegevens van contactpersonen, werknemers en leveranciers. Lees waarom GDPR ook voor jou geldt.

Kort antwoord: ja

Het korte antwoord op de vraag in de titel is ondubbelzinnig: ja. De GDPR (in Nederland en Belgie ook AVG genoemd) geldt voor elk bedrijf dat persoonsgegevens verwerkt, ongeacht of je klanten consumenten of bedrijven zijn. En als B2B-bedrijf verwerk je meer persoonsgegevens dan je denkt.

De misvatting

De redenering gaat vaak zo: “De GDPR beschermt consumenten. Mijn klanten zijn bedrijven, geen consumenten. Dus de GDPR geldt niet voor mij.”

Die redenering klopt niet, op twee punten.

Ten eerste: de GDPR beschermt geen consumenten. De GDPR beschermt natuurlijke personen. Dat is een belangrijk verschil. Een consument is iemand die als particulier iets koopt. Een natuurlijk persoon is elk levend mens. Dus ook de contactpersoon bij je klant, de medewerker die je factuur ontvangt, de directeur die je offerte ondertekent.

Ten tweede: zelfs als je nooit met consumenten te maken hebt, verwerk je als B2B-bedrijf gegarandeerd persoonsgegevens. Laten we eens kijken waar die zitten.

Waar zitten je persoonsgegevens?

Klantcontacten

Je hebt een CRM of op zijn minst een adresboek. Daarin staan namen, e-mailadressen, telefoonnummers en functies van contactpersonen bij je klanten. jan.jansen@klantbedrijf.nl is een persoonsgegeven. Het telefoonnummer van de inkoper is een persoonsgegeven. De notitie “Jan is maandag altijd vrij” is een persoonsgegeven.

Werknemers

Als je personeel hebt, verwerk je een berg persoonsgegevens: naam, adres, BSN/rijksregisternummer, salaris, ziekmeldingen, beoordelingen, kopie identiteitsbewijs. Dit zijn zelfs bijzondere of gevoelige categorieen. De GDPR is hier volledig van toepassing.

Leveranciers en partners

Je boekhouder, je IT-leverancier, je freelancers - van al deze partijen heb je contactgegevens. En bij zzp’ers en eenmanszaken zijn de bedrijfsgegevens vaak identiek aan de persoonsgegevens van de eigenaar.

Sollicitanten

Ontvang je af en toe een open sollicitatie of CV? Dat zijn persoonsgegevens. En ze hebben een bewaartermijn: je mag een CV niet onbeperkt bewaren.

Websitebezoekers

Ook als je website puur op zakelijke bezoekers is gericht, verwerk je IP-adressen, cookiegegevens en mogelijk formulierdata. IP-adressen zijn persoonsgegevens.

Wat moet je als B2B-bedrijf regelen?

Precies dezelfde dingen als elk ander bedrijf. De GDPR maakt geen onderscheid tussen B2B en B2C. Concreet:

Verwerkingsregister - documenteer al je verwerkingsactiviteiten. Klantencontacten bijhouden, salarisadministratie, facturatie, marketing, websiteanalytics - het hoort er allemaal in.

Privacyverklaring - informeer betrokkenen over wat je met hun gegevens doet. Dat geldt voor je websitebezoekers, maar ook voor je zakelijke contacten. Veel B2B-bedrijven hebben een privacyverklaring op hun website, maar vergeten dat hun zakelijke contacten daar ook over geinformeerd moeten worden.

Verwerkersovereenkomsten - heb je een verwerkersovereenkomst met je CRM-leverancier? Je boekhouder? Je cloudprovider? In B2B wordt hier vaak makkelijker over gedacht dan in B2C, maar de verplichting is identiek.

Rechtsgronden - voor elke verwerking heb je een rechtsgrond nodig. Voor klantrelatiebeheer is dat meestal gerechtvaardigd belang. Voor salarisadministratie een wettelijke verplichting. Voor een nieuwsbrief toestemming.

Bewaartermijnen - je mag gegevens niet eindeloos bewaren. Die offerte-aanvraag van vijf jaar geleden waarop nooit een opdracht is gevolgd? Daar zit waarschijnlijk geen rechtsgrond meer achter.

B2B-specifieke aandachtspunten

Er zijn een paar zaken die in B2B-context extra aandacht verdienen:

LinkedIn en netwerken - visitekaartjes die je verzamelt op een beurs of contacten die je via LinkedIn toevoegt aan je CRM: dat is een verwerking van persoonsgegevens
Referenties en aanbevelingen - als je klantreferenties op je website plaatst met naam en functie, verwerk je persoonsgegevens
Gedeelde mailboxen - een gedeelde inbox als sales@jouwbedrijf.nl bevat e-mails met persoonsgegevens van zakelijke contacten
Oude data - B2B-bedrijven bewaren relatie-informatie vaak jarenlang “voor het geval dat”. Zonder geldige rechtsgrond mag dat niet

Het goede nieuws

De basis van GDPR-compliance is voor B2B-bedrijven niet anders dan voor B2C. Sterker nog, het is vaak eenvoudiger. Je verwerkt waarschijnlijk minder gegevens, minder bijzondere categorieen en hebt minder betrokkenen. Maar “minder” is niet “geen”. En de toezichthouder maakt geen onderscheid.

auto_awesome Weet je welke gegevens je verwerkt?

GDPRWise brengt al je verwerkingen in kaart, ook de B2B-gegevens die je waarschijnlijk over het hoofd ziet. In 15 minuten een compleet verwerkingsregister.

Gratis scan starten

Ik Werk Alleen B2B, Moet ik dan Iets met GDPR?