Je rijdt elke dag naar klanten, maakt foto's van de werkplek, slaat adressen op in je telefoon en stuurt offertes per e-mail. Dat klinkt normaal — en dat is het ook. Maar de AVG (Algemene Verordening Gegevensbescherming — de Nederlandse privacywet) zegt precies hoe je dit moet doen. Doe je het fout, dan kan de Autoriteit Persoonsgegevens (AP — de toezichthouder op privacyregels in Nederland) je een boete geven die je bedrijf serieus raakt.
Waarom geldt de AVG ook voor een kleine installateur?
Je bent geen grote techgigant. Je hebt misschien drie medewerkers en een busje. Toch geldt de AVG voor ieder bedrijf dat persoonsgegevens verwerkt — en dat doe jij elke dag. Een naam, een adres, een telefoonnummer: dat zijn al persoonsgegevens volgens de wet.
De AP controleert niet alleen grote bedrijven. Klachten van consumenten leiden steeds vaker tot onderzoek bij kleine bedrijven in de bouw en installatiesector. Een klant die kwaad is over je service kan een klacht indienen. Dan wil je dat alles op orde is.
Het goede nieuws: de regels zijn niet ingewikkeld als je ze eenmaal kent. Dit stappenplan legt je in gewone taal uit wat je moet doen.
Inzicht
In 2023 ontving de AP ruim 3.500 klachten van consumenten over bedrijven die persoonsgegevens verkeerd gebruikten. Een deel daarvan betrof kleine dienstverleners — zoals aannemers en installateurs die klantgegevens deelden met derde partijen zonder toestemming.
Welke gegevens verwerk jij als installateur eigenlijk?
Veel installateurs denken dat de AVG over grote databases gaat. Maar kijk eens naar wat jij dagelijks doet. Je verzamelt meer gegevens dan je denkt.
| Wat je doet | Welke gegevens je verwerkt | AVG van toepassing? | |---|---|---| | Offerte opmaken | Naam, adres, e-mail, telefoonnummer | ✅ Ja | | Foto's maken van de werkplek | Soms mensen op de foto, interieur thuis | ✅ Ja | | Klant opslaan in je telefoon of CRM | Naam, adres, notities over het huis | ✅ Ja | | ISDE-subsidie aanvragen voor klant | BSN, adres, energiegegevens | ✅ Ja | | Nieuwsbrief sturen na installatie | E-mailadres | ✅ Ja | | Factuur sturen via boekhoudsoftware | Naam, adres, IBAN | ✅ Ja |
Een CRM (Customer Relationship Management — software om klantgegevens bij te houden) is handig, maar valt ook onder de AVG. Je mag het gebruiken, maar alleen als je een duidelijke reden hebt én de gegevens niet te lang bewaart.
Tip
Actie voor morgen: Open je telefoon en kijk in je contacten. Staan daar klanten bij met notities als "slecht betaler" of "hond in de tuin"? Dat zijn ook persoonsgegevens. Schrijf op welke gegevens je opslaat — dat is de eerste stap naar een AVG-proof werkwijze.
Wat mag je wel en niet zeggen over gegevensverwerking?
Dit is waar veel installateurs de fout ingaan: ze denken dat een privacystatement alleen voor webshops geldt. Dat klopt niet. Als jij een contactformulier op je website hebt, of klanten per e-mail benadert, ben je verplicht een privacystatement te publiceren.
Wat je MAG doen:
- Je mag persoonsgegevens (naam, adres, e-mail) verzamelen voor het opmaken van offertes en het uitvoeren van installaties. Dat is een "gerechtvaardigde grondslag" — een wettelijke reden om gegevens te mogen gebruiken.
- Je mag foto's maken van de werkplek voor de opdracht, bijvoorbeeld voor de offerte of als bewijs van kwaliteit. Maar alleen als de klant daar expliciet toestemming voor heeft gegeven. Mondeling is niet genoeg — zorg voor een schriftelijke of digitale bevestiging.
- Je mag een CRM gebruiken om leads bij te houden, mits je alleen de gegevens opslaat die je echt nodig hebt voor de opdracht.
- Je mag subsidies zoals de ISDE (Investeringssubsidie Duurzame Energie — een Nederlandse subsidie voor warmtepompen en zonneboilers) aanvragen namens je klant. Zorg wel dat je alleen feitelijke informatie geeft over de voorwaarden. Je mag nooit zeggen dat de subsidie "gegarandeerd" wordt toegekend.
Wat je NIET mag doen:
- Klantgegevens gebruiken om hen later te benaderen voor andere producten, tenzij ze daar apart toestemming voor hebben gegeven.
- Een aanmeldformulier tonen waarbij de opt-in (toestemming voor marketing) alvast is aangevinkt. Dat is verboden.
- Claimen dat er "nooit datalekken zijn" als je dat niet kunt bewijzen. Je hebt een documentatieplicht.
- Je privacy statement weglaten of het zo vaag houden dat klanten niet begrijpen wat je met hun gegevens doet.
Inzicht
Een subsidieclaim als "wij regelen uw ISDE-subsidie — gegarandeerd goedgekeurd" is juridisch gevaarlijk. De RVO (Rijksdienst voor Ondernemend Nederland — de organisatie die subsidies toekent) beslist zelf. Schrijf altijd: "Subsidietoewijzing is afhankelijk van de voorwaarden van de RVO; wij geven geen garantie op goedkeuring."
Hoe ziet een correct privacy statement eruit voor een installateur?
Je privacy statement hoeft niet twintig pagina's te zijn. Het moet wel duidelijk zijn. Dit zijn de onderdelen die erin moeten staan:
1. Wie ben je? Naam van je bedrijf, adres, KvK-nummer, contactgegevens.
2. Welke gegevens verzamel je? Benoem concreet: namen, adressen, e-mailadressen, telefoonnummers, foto's van de werkplek.
3. Waarom verzamel je ze? Verwerkingsdoel — schrijf dit duidelijk op. Bijvoorbeeld: "voor het opmaken van offertes, het uitvoeren van warmtepompinstallaties en het aanvragen van subsidies."
4. Hoe lang bewaar je ze? Bewaartermijn — de meeste gegevens mag je maximaal 7 jaar bewaren vanwege de fiscale bewaarplicht. Daarna moeten ze worden verwijderd.
5. Deel je gegevens met anderen? Als je een boekhouder, CRM-software of onderaannemers gebruikt, moeten die worden vermeld. Dit heet "derde partijen."
6. Wat zijn de rechten van de klant? De klant mag altijd vragen om inzage, correctie of verwijdering van zijn gegevens. Dat noem je de "inzage- en verwijderrechten."
7. Wie is de toezichthouder? Vermeld altijd: "De Autoriteit Persoonsgegevens (AP) is de toezichthouder in Nederland. U kunt een klacht indienen via autoriteitpersoonsgegevens.nl."
Wat doe je met foto's van de werkplek?
Dit is een onderwerp waar veel installateurs onbewust de fout ingaan. Je maakt foto's van een geïnstalleerde warmtepomp of zonnepanelen. Logisch — voor je portfolio of voor de offerte. Maar als er mensen op staan, of als het duidelijk herkenbaar is welk huis het is, dan is dat een portretrecht- en AVG-kwestie.
Stap 1: Vraag schriftelijk toestemming. Gebruik een eenvoudig formulier of een digitale bevestiging. Schrijf erin waarvoor je de foto's gebruikt: "voor de offerte," "voor onze website," "voor kwaliteitscontrole." Elke reden moet apart worden aangevinkt — dat heet een dubbele opt-in (twee afzonderlijke toestemmingen voor twee verschillende doelen).
Stap 2: Gebruik de foto's alleen voor het doel waarvoor je toestemming hebt. Heb je toestemming voor de offerte, maar niet voor je website? Dan mag je de foto niet op je website plaatsen. Klinkt streng, maar het is de wet.
Stap 3: Leg toestemmingen vast. Sla het formulier op — digitaal of fysiek. Als de AP een klacht onderzoekt, moet jij kunnen bewijzen dat je toestemming hebt gevraagd én gekregen.
Stap 4: Verwijder foto's na de bewaartermijn. Heb je toestemming gegeven voor drie jaar? Zet dan een herinnering in je agenda om de foto's daarna te verwijderen.
Tip
Actie voor morgen: Maak een simpel WhatsApp-bericht dat je stuurt voor je foto's maakt: "Ik maak graag foto's van de installatie voor [doel]. Mag ik die gebruiken voor [doel]? Reageer met 'akkoord' als je het goedvindt." Sla het gesprek op als bewijs. Dit kost je tien seconden en beschermt je tegen claims.
Hoe houd je je CRM AVG-proof?
Een CRM is als een digitaal adresboekje — alleen met veel meer informatie. Veel installateurs gebruiken systemen als HubSpot, Teamleader of zelfs een Excel-bestand. Allemaal prima, maar alleen als je het goed inricht.
Wat je moet regelen:
- Verwerkersovereenkomst: Als je een CRM-pakket gebruikt dat in de cloud staat (dus niet op je eigen computer), moet je een verwerkersovereenkomst afsluiten met de leverancier. Dit is een contract waarin staat hoe zij met jouw klantgegevens omgaan. De meeste grote CRM-aanbieders hebben dit kant-en-klaar.
- Toegangsbeveiliging: Zorg dat niet iedereen in je CRM kan. Gebruik sterke wachtwoorden en tweestapsverificatie (een extra code via je telefoon bij het inloggen).
- Minimale gegevens: Sla alleen op wat je nodig hebt. "Klant heeft een grote hond" is geen relevant gegeven voor een warmtepompinstallatie. Schrap dit soort notities.
- Datalekprocedure: Als je CRM gehackt wordt of als je laptop met klantgegevens gestolen wordt, moet je dat binnen 72 uur melden bij de AP. Weet jij nu al hoe je dat doet? Schrijf het op.
Dit sluit aan bij een breder vraagstuk: hoe zorg je dat jouw bedrijf niet alleen AVG-proof is, maar ook online goed gevonden wordt? Want een klant die jou niet kan vinden, belt de concurrent. Lees meer over waarom 87% van lokale aannemers onzichtbaar is in AI — en installateurs de prijs betalen.
Wat moet er op je website staan om AVG-compliant te zijn?
Je website is het visitekaartje van je bedrijf. Maar het is ook een plek waar je automatisch gegevens verzamelt — via contactformulieren, cookies en analytics. Dit zijn de stappen die je moet zetten.
Stap 1: Publiceer een privacystatement. Dit is verplicht zodra je een contactformulier hebt of analysesoftware gebruikt. Zie de onderdelen hierboven.
Stap 2: Voeg een cookiemelding toe. Gebruik je Google Analytics of Facebook Pixel (software om websitebezoekers te volgen)? Dan heb je een cookiemelding nodig waarbij bezoekers actief akkoord gaan. Een balk onderaan de pagina met alleen "OK" is niet genoeg — er moet ook een optie zijn om te weigeren.
Stap 3: Zet een disclaimer bij subsidie-informatie. Schrijf je op je website over de ISDE of SDE++ (subsidie voor zonnepanelen op bedrijfsdaken)? Voeg dan altijd toe: "Subsidietoewijzing is afhankelijk van de voorwaarden van de RVO; wij geven geen garantie op goedkeuring." Dit beschermt je ook tegen claims van klanten die de subsidie niet krijgen.
Stap 4: Zorg voor een veilig contactformulier. Gebruik HTTPS (een beveiligde verbinding — te herkennen aan het slotje in de browser). Sla formulierinzendingen niet onbeveiligd op. Verwijder oude formulierdata regelmatig.
Wil je ook dat je website gevonden wordt door AI-systemen zoals ChatGPT? Dan heb je meer nodig dan alleen een privacystatement. Bekijk de AEO checklist voor installateurs: 12 stappen om gevonden te worden door ChatGPT voor een compleet overzicht.
Inzicht
Structured data (gestructureerde data — extra code op je website die zoekmachines en AI-systemen helpt begrijpen wat jij doet) helpt niet alleen bij Google. JSON-LD is als een visitekaartje dat alleen ChatGPT kan lezen: het vertelt de AI precies wie je bent, wat je installeert en in welke regio je werkt. Een AVG-compliant website met goede structured data scoort beter in AI-zoekopdrachten.
Stappenplan: wat doe je deze week?
Hier is een concreet plan dat je in vijf stappen kunt uitvoeren. Geen marketingjargon, geen juridisch geneuzel — gewoon doen.
Stap 1 (maandag): Breng in kaart welke gegevens je verwerkt. Maak een lijst van alle plekken waar klantgegevens staan: je telefoon, je e-mail, je CRM, je boekhoudsoftware, je WhatsApp. Dat is je startpunt.
Stap 2 (dinsdag): Schrijf of update je privacystatement. Gebruik de structuur hierboven. Je hebt geen advocaat nodig voor een basisdocument. Er zijn gratis templates beschikbaar via de AP-website. Publiceer het op je website.
Stap 3 (woensdag): Maak een toestemmingsformulier voor foto's. Eén A4 of een digitaal formulier. Verwerkingsdoel erin, handtekeningveld eronder. Gebruik dit voortaan bij elke opdracht.
Stap 4 (donderdag): Check je CRM-leverancier. Heeft jouw CRM een verwerkersovereenkomst? Zoek het op in je account of stuur een e-mail naar de klantenservice. Sla het contract op in je administratie.
Stap 5 (vrijdag): Stel een datalekprocedure op. Eén pagina. Wat doe je als je laptop gestolen wordt? Schrijf op: meld het binnen 72 uur bij de AP via autoriteitpersoonsgegevens.nl, informeer de betrokken klanten, leg alles vast in een logboek.
Meer weten over hoe je jouw website ook technisch goed inricht voor zowel AVG als AI-vindbaarheid? Lees dan Kan ik AEO ook doen met mijn bestaande WordPress- of Wix-site? voor een praktische vergelijking.
Veelgestelde vragen
Moet ik een DPO (Data Protection Officer — een functionaris gegevensbescherming) aanstellen? Voor de meeste kleine installatiebedrijven is dit niet verplicht. Een DPO is alleen verplicht als je op grote schaal gevoelige gegevens verwerkt (zoals medische of financiële gegevens) of als je een overheidsorganisatie bent. Als eenmanszaak of klein mkb volstaat een goed privacystatement en een intern registratiedocument.
Wat als ik klantgegevens al jaren in Excel bewaar — moet ik die nu verwijderen? Niet allemaal meteen. Kijk per rij hoe oud de gegevens zijn en waarvoor je ze nog nodig hebt. Gegevens ouder dan 7 jaar (zonder actieve opdracht) kun je in de meeste gevallen verwijderen. Maak dit een jaarlijkse taak: elke januari de database opschonen.
Mag ik een WhatsApp-groep gebruiken voor communicatie met klanten? Ja, maar wees voorzichtig. In een groepsapp kunnen anderen de gegevens van je klanten zien. Gebruik liever individuele chats voor gevoelige informatie zoals adressen of BSN-nummers. Weet ook dat WhatsApp gegevens deelt met Meta — vermeld dit in je privacystatement als je WhatsApp zakelijk gebruikt.
Wat als een klant vraagt om zijn gegevens te verwijderen? Dan moet je dat doen — tenzij je een wettelijke verplichting hebt om ze te bewaren (zoals voor de belastingdienst). Je hebt één maand om te reageren op zo'n verzoek. Leg het verzoek en je actie altijd schriftelijk vast.
Geldt de AVG ook voor gegevens van zakelijke klanten (bedrijven)? De AVG geldt voor persoonsgegevens van natuurlijke personen. Bij een eenmanszaak is de eigenaar een natuurlijk persoon — dus de AVG geldt. Bij een bv of nv gelden de regels minder streng, maar contactpersoongegevens (naam, e-mail van de inkoper) vallen wel onder de AVG.
De AVG klinkt ingewikkeld, maar voor een installateur komt het neer op drie dingen: weet welke gegevens je verzamelt, leg uit waarom je ze gebruikt, en verwijder ze als je ze niet meer nodig hebt. Sieng helpt installateurs met websites die niet alleen AVG-compliant zijn, maar ook gevonden worden door AI-systemen zoals ChatGPT en Google SGE — zodat jouw bedrijf de opdrachten krijgt die anders naar de concurrent gaan.
Wil je weten of jouw bedrijf al zichtbaar is bij AI-zoekopdrachten? Doe de gratis check op sieng.nl of plan een vrijblijvend gesprek.