Hoe beïnvloedt GDPR B2B

Ja. De GDPR is van toepassing overal waar u persoonlijke gegevens verwerkt. Dit betekent dat als u een individu direct of indirect kunt identificeren, de GDPR van toepassing is. Persoonsgegevens omvatten alles wat iemand identificeerbaar maakt, inclusief (maar niet beperkt tot) namen, telefoonnummers, IP-adressen en persoonlijke e-mailadressen.

Ja. Voordat u een koude e-mail stuurt, moet u nagaan of u volgens de GDPR contact mag opnemen. Er zijn zes manieren om een wettelijke basis vast te stellen om iemands persoonsgegevens te verwerken: toestemming, contract, wettelijke verplichting, vitale belangen, publieke taak en legitiem belang.

Bij het versturen van koude e-mails naar een zakelijk e-mailadres (bijv. john.doe@company.com) moeten B2B-bedrijven kunnen vertrouwen op legitiem belang.

Onder gerechtvaardigd belang moeten de gegevens worden gebruikt op een manier die mensen redelijkerwijs verwachten, maar ook met minimale gevolgen voor de privacy (in gevallen waarin iemands rechten worden geschonden, gaan hun rechten boven uw gerechtvaardigd belang). Eenvoudig gezegd: u moet ervoor zorgen dat u de juiste mensen e-mailt met een boodschap die zij graag willen horen.

Als u ook controleerbare toestemming hebt gekregen via een aanmeldingsformulier, kunt u aan de slag.

Beslissingen over welke rechtsgrondslag van toepassing is, kunnen echter lastig zijn en daarom raden wij u ten zeerste aan hierover een advocaat te raadplegen.

Houd er ten slotte rekening mee dat als het e-mailadres niet aan een persoon gebonden is (bv. info@company.com), het zelfs buiten het toepassingsgebied van “persoonsgegevens” kan vallen.

• Als u zich beroept op een rechtmatig belang voor direct marketing, moet u de verwerking stopzetten wanneer iemand bezwaar maakt.
• Als u zich baseert op toestemming, heeft de betrokkene het recht zijn toestemming te allen tijde in te trekken. U moet de verwerking stopzetten wanneer de betrokkene zijn toestemming intrekt.
• Als uw gegevensverwerkingsactiviteiten niet incidenteel zijn (of als uw bedrijf meer dan 250 werknemers heeft), moet u een “volledig en uitgebreid” actueel register bijhouden van de specifieke gegevensverwerkingsactiviteiten die u uitvoert.

• Pas het principe van gegevensminimalisatie toe – hoe meer soorten gegevens u verwerkt, hoe groter het risico. Strategiseer en plan met het risico in gedachten.
• Identificeer en/of herzie uw rechtsgrondslag voor de verwerking van persoonsgegevens, idealiter met een jurist.
• Een conform privacybeleid hebben: volgens de GDPR moet het privacybeleid gemakkelijk te lezen en te begrijpen zijn, gemakkelijk toegankelijk zijn, de juiste informatie bevatten en moeten up-to-date zijn.
• Controleer uw systemen voor het respecteren van GDPR gebruikersrechten.
• Een geldige registratie bijhouden van uw gegevensverwerkingsactiviteiten (inclusief interne records van de verwerking).
• Beheer toestemming op een compliant manier en onderhoud geldige records van toestemming.

De gevolgen voor niet-naleving kunnen boetes omvatten tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet (de hoogste van de twee). Niet alle GDPR-inbreuken leiden tot boetes: sancties kunnen bestaan uit officiële berispingen, periodieke gegevensbeschermingsaudits (die kunnen leiden tot een verbod op het gebruik van gegevens die verband houden met de inbreuk – inclusief volledige e-maillijsten) en schadevergoeding wegens aansprakelijkheid.