GDPR en klantgegevens: wat mag je bewaren als aannemer?

Je hebt een Excel met 200 klanten: naam, adres, telefoonnummer, e-mail. Mag dat? Kort antwoord: ja, maar met spelregels.

📋 Samenvatting: Als aannemer mag je klantgegevens bewaren die je nodig hebt voor je werk, zo lang als je ze nodig hebt. Financiële documenten bewaar je 7-10 jaar (wettelijk verplicht). GDPR is voor aannemers vooral basishygiëne: bewaar alleen wat nodig is, beveilig het redelijk, en respecteer verzoeken van klanten tot inzage of verwijdering.

De GDPR (of AVG in het Nederlands) geldt voor elk bedrijf dat persoonsgegevens verwerkt. Als aannemer verwerk je gegevens van klanten, werknemers en onderaannemers. Dat betekent dat de GDPR op jou van toepassing is.

Dat klinkt zwaarder dan het is. Voor een aannemer met 5-20 werknemers gaat het om basishygiëne, niet om een juridische nachtmerrie.

Wat mag je bewaren?

Je mag de gegevens bewaren die je nodig hebt voor je werk. Naam, adres en contactgegevens van klanten: nodig voor offertes, facturen en communicatie. BTW-nummer: nodig voor facturatie. Bankgegevens: nodig voor betalingen. Foto's van de werf: nodig voor documentatie en bewijs.

De basisregel is: bewaar wat je nodig hebt, zo lang als je het nodig hebt, en niet meer.

Hoe lang mag je bewaren?

Facturen en financiële documenten: 7 jaar (wettelijke bewaarplicht). Bij onroerend goed: 10 jaar. Klantgegevens na het laatste project: zolang er een geldige reden is. Als een klant 5 jaar geleden een project heeft laten doen en je wil hem kunnen contacteren voor toekomstig werk, is dat een geldige reden (gerechtvaardigd belang).

Maar als een klant vraagt om zijn gegevens te verwijderen en je hebt geen lopend project of wettelijke bewaarplicht, moet je dat doen.

Wat mag je niet doen?

Gegevens delen met derden zonder reden. Je klantlijst verkopen aan een marketingbedrijf is niet toegestaan. Je klantgegevens delen met een leverancier voor commerciële doeleinden ook niet.

Gegevens gebruiken voor een ander doel dan waarvoor ze verzameld zijn. Je hebt het e-mailadres van de klant voor de offerte. Het gebruiken om hem elke week een nieuwsbrief te sturen zonder zijn toestemming is niet OK.

Meer gegevens bewaren dan nodig. Je hebt de geboortedatum van je klant niet nodig voor een verbouwing. Bewaar het niet.

Wat moet je concreet doen?

Weet welke gegevens je bewaart. Klantgegevens, werknemersgegevens, leveranciersgegevens. In welk systeem staan ze? Wie heeft er toegang toe?

Beveilig ze redelijk. Een Excel op een gedeelde computer zonder wachtwoord is niet redelijk. Een softwarepakket met logingegevens per gebruiker is wel redelijk. Een map met klantdossiers in een afgesloten kast is ook redelijk.

Informeer je klanten. Je hoeft geen 20 pagina's privacybeleid te schrijven. Een kort privacybeleid op je website of in je algemene voorwaarden volstaat: welke gegevens je verzamelt, waarvoor, hoe lang, en hoe de klant contact kan opnemen bij vragen.

Reageer op verzoeken. Als een klant vraagt welke gegevens je van hem hebt, moet je dat kunnen tonen. Als hij vraagt om verwijdering en je hebt geen wettelijke reden om te bewaren, moet je verwijderen.

In de praktijk

De meeste aannemers hoeven zich geen zorgen te maken over GDPR, zolang ze basishygiëne toepassen: bewaar alleen wat nodig is, beveilig het redelijk, en respecteer verzoeken van klanten.

In software als Enfin worden klantgegevens per organisatie bewaard, met toegangsrechten per gebruiker. Verwijdering van klantgegevens is mogelijk met behoud van geanonimiseerde financiële data (want die moet je 7 jaar bewaren).

GDPR is geen monster. Het is basisfatsoen met een wettelijk kader.