Skip to content
Stap 1 /
hub De essentie

De vier regels van de GDPR

De GDPR draait om één ding: persoonlijke data. Daar legt ze vier grondregels rond op. In deze module en de volgende twee nemen we ze één voor één door. We starten met data minimalisatie.

group Persoonlijke data
  1. 1 Data minimalisatie deze module
  2. 2 Transparantie
  3. 3 Beveiliging
  4. 4 Rechten van betrokkenen
flag Introductie

Data minimalisatie

De eerste van de vier grondregels. Het idee is simpel: verzamel zo weinig mogelijk gegevens. Minder gegevens betekent minder risico, voor jou bedrijf én voor de betrokkenen.

target Wat je leert in deze module
  • check_circle Wat 'strikt noodzakelijk' betekent
  • check_circle Waarom elk gebruik een bedrijfsdoel én een rechtsgrond nodig heeft
  • check_circle Hoe je dit praktisch aanpakt in je eigen onderneming
menu_book Theorie · 1 van 3

Gebruik enkel wat strikt noodzakelijk is

Je mag enkel persoonlijke data verzamelen die strikt noodzakelijk is voor het beoogde bedrijfsdoel. Minder gegevens betekent minder risico’s voor alle partijen.

target Gelinkt aan een bedrijfsdoel

Elk bedrijfsproces dat persoonlijke data gebruikt, moet een gedocumenteerd bedrijfsdoel hebben. Voorbeeld: het facturatieproces gebruikt betalingsgegevens om een factuur te kunnen innen. Zo vermijd je dat er zomaar gegevens worden vergaard zonder specifiek doel.

menu_book Theorie · 2 van 3

Onderbouwd met een rechtsgrond

Elk gebruik van persoonlijke data heeft ook een geldige GDPR-rechtsgrond De wettelijke basis waarop je een verwerking steunt. De GDPR voorziet er in totaal zes; voor de KMO zijn dit de vier meest voorkomende. De 6 rechtsgronden uitgelegdarrow_forward nodig. De vier meest voorkomende:

  • Contractuele overeenkomst: nodig om je contract met de klant uit te voeren.
  • Wettelijke verplichting: de wet verplicht je de gegevens bij te houden.
  • Toestemming van de betrokkene: vrij gegeven, en even vrij weer intrekbaar.
  • Gerechtvaardigd belang: bv. het aanprijzen van gelijkaardige producten. Niet geldig voor gevoelige gegevens.
menu_book Theorie · 3 van 3

Praktisch: zo pak je het aan

  • Maak een inventaris van alle bedrijfsprocessen die persoonlijke data gebruiken en hun doel.
  • Bevestig dat je enkel data gebruikt die strikt noodzakelijk is.
  • Ga na of er voor elk gebruik wel een rechtsgrond bestaat.
  • Spreek je softwareleverancier aan om overbodige velden van het scherm te verwijderen.
info Onthoud

Verzamel je een gegeven “voor het geval dat”? Dan ontbreekt waarschijnlijk een doel én een rechtsgrond.

cases Voorbeeld · 1 van 2

Eén klantenkaart, twee processen

Je wil trouwe klanten een korting geven na 10 aankopen en je wil de klant ook een prettige verjaardag wensen.

Proces 1 Trouwe klanten belonen met korting

Doel: een loyaliteitskorting toekennen op basis van aankopen.

check_circle Strikt noodzakelijk: naam, adres en aankoophistoriek. Rechtsgrond: contractuele overeenkomst, de verkoopovereenkomst stelt dat je bij x aankopen korting krijgt.
cases Voorbeeld · 2 van 2

Hetzelfde bestand, ander doel en dus ander proces

Proces 2 Een verjaardags-e-mail sturen

Doel: klanten een verjaardags-e-mail sturen.

check_circle Strikt noodzakelijk: e-mail, naam en verjaardag (bv. 5 Mei). Het geboortejaar is niet noodzakelijk en verzamel je dus best niet. Rechtsgrond: toestemming of gerechtvaardigd belang, met een opt-out in de e-mail.

Zo’n verjaardags-e-mail is een vorm van Direct marketing Commerciële of promotionele berichten gericht aan een persoon, nieuwsbrieven, promo's, verjaardagsmails … Hiervoor heb je een geldige rechtsgrond nodig (toestemming of gerechtvaardigd belang) én moet de ontvanger zich altijd eenvoudig kunnen uitschrijven (opt-out). Direct marketing en GDPRarrow_forward .

quiz Zelftest · vraag 1 van 2
info Niet voor punten, kies het juiste antwoord om verder te gaan
"Je software biedt een veld 'geslacht' voor de klantenkaart, maar je hebt het nergens voor nodig. Wat zegt dataminimalisatie?"
Juist: ontbreekt een doel en rechtsgrond, dan verzamel je het gegeven beter niet. Vraag je softwareleverancier om overbodige velden te verwijderen.
quiz Zelftest · vraag 2 van 2
"Wat geldt er voor toestemming als rechtsgrond?"
Juist: toestemming moet vrij gegeven zijn en moet even vrij weer ingetrokken kunnen worden. Is dat niet zo, dan is de toestemming niet geldig.
summarize Samenvatting

Wat je onthoudt uit module 3

  • bolt Verzamel zo weinig mogelijk: enkel data die strikt noodzakelijk is voor het doel.
  • bolt Elk proces met persoonsgegevens heeft een gedocumenteerd bedrijfsdoel.
  • bolt Elk gebruik steunt op een geldige rechtsgrond (contract, wettelijke plicht, toestemming of gerechtvaardigd belang).
  • bolt Toestemming moet vrij gegeven én vrij intrekbaar zijn; gerechtvaardigd belang geldt niet voor gevoelige gegevens.
workspace_premium Module afgerond

Module 3 voltooid 🎉

Je weet nu wat dataminimalisatie inhoudt en hoe doel en rechtsgrond samenhangen. In module 4 kijken we naar de tweede regel: transparantie.

lock_open 3 van 8 modules

Op weg naar je certificaat “GDPR voor de KMO”

Rond alle 8 modules af en slaag voor het eindexamen (minimaal 70%). Daarna ontvang je een persoonlijk certificaat op naam, met verifieerbare code.

check_circle Modules 1-3 voltooidradio_button_unchecked Modules 4-8radio_button_unchecked Eindexamen ≥ 70%
workspace_premium