AVG klinkt als een probleem voor grote bedrijven. Dat is het niet. De Algemene Verordening Gegevensbescherming geldt voor elk bedrijf dat persoonsgegevens verwerkt — en dat doe jij. Klantnamen, adressen, e-mails, telefoonnummers, foto's van gevels (soms met zichtbare personen), factuurgegevens. Allemaal persoonsgegevens.

Wat AVG vereist

1. Register van verwerkingsactiviteiten

Je moet documenteren welke gegevens je verwerkt, waarom, hoe lang, en wie er toegang toe heeft. Een eenvoudige tabel volstaat: "Klantgegevens — Orderafhandeling — 10 jaar (bewaarplicht) — Eigenaar + Kantoor".

2. Verwerkersovereenkomst (VOK)

Met elke cloudprovider die jouw gegevens verwerkt, heb je een VOK nodig. Je boekhoudsoftware, e-mailtool, websitehosting, en branchesoftware. PlotonIQ biedt een VOK — vraag je andere providers ernaar.

3. Serverlocatie

Hier wordt het kritiek. Als je shopVOX gebruikt (VS-servers), Trello (VS-servers), of Google Drive (wereldwijd verspreid), dan staan jouw klantgegevens in de VS. Sinds de Schrems II-uitspraak zijn gegevensoverdrachten naar de VS juridisch problematisch.

Veiligste oplossing: Europese servers. PlotonIQ draait op Hetzner in Falkenstein, Duitsland. ISO 27001 gecertificeerd. Geen gegevensoverdracht naar derde landen.

4. Versleuteling

Gegevens moeten versleuteld worden tijdens transport (TLS) en in rust (AES-256). Wachtwoorden moeten gehashed worden (bcrypt, niet MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT met refresh token rotation.

5. Bewaartermijnen

Je mag gegevens niet eeuwig bewaren. Belastingrecht: 10 jaar voor facturen, 6 jaar voor zakelijke correspondentie. Daarna: verwijderen. Locatiefoto's: verwijderen na projectafronding tenzij de klant instemt met langere bewaring.

6. Rechten van betrokkenen

Jouw klant heeft recht op inzage, rectificatie, verwijdering, en gegevensoverdraagbaarheid. Je moet binnen 30 dagen reageren.

Veelgemaakte fouten in reclamebedrijven

WhatsApp voor zakelijk gebruik: WhatsApp deelt metadata met Meta. Telefoonnummers van klanten worden overgedragen naar VS-servers. Niet AVG-conform zonder Business API en VOK. Alternatief: PlotonIQ klantenportaal met digitale goedkeuring en tijdstempel.

Foto's op privételefoons: Als jouw monteur locatiefoto's maakt op zijn privételefoon, staan klantgegevens op een onbeheerd apparaat. Oplossing: foto's direct maken in de PlotonIQ app — versleutelde upload, nooit opgeslagen op apparaat.

Geen trackingdocumentatie: Google Analytics, Facebook Pixel — elke trackingtool heeft toestemming en documentatie nodig. PlotonIQ: geen Google Analytics, geen trackingpixels, geen niet-essentiële cookies.

10-punten checklist

1. Maak register van verwerkingsactiviteiten. 2. Teken VOK's met alle cloudproviders. 3. Privacyverklaring op website. 4. EU-servers. 5. Bepaal bewaartermijnen. 6. Controleer versleuteling. 7. Toegangscontroles (wie ziet wat). 8. Foto's alleen in beheerde apps. 9. Vervang WhatsApp door professionele tools. 10. Impactbeoordeling voor GPS-tracking/geofencing.

Conclusie

AVG is geen rocket science. Met de juiste software is het meeste automatisch: versleuteling, serverlocatie, bewaartermijnen, toegangscontroles. De grootste hefboom: weg van VS-tools en WhatsApp, naar een Europese brancheoplossing waar AVG geen functie is — het is de standaard.