1. Verwerkingsregister
Verplicht onder Art. 30 GDPR — ook voor kleine bedrijven. Documenteer: welke gegevens, doel, wettelijke basis, bewaarperiode, ontvangers. Een simpele tabel volstaat. PlotonIQ genereert dit overzicht automatisch.
2. Verwerkersovereenkomsten (VVG)
Verplicht bij elke clouddienst die jouw klantgegevens verwerkt: boekhoudsoftware, emailtools, hosting, branchesoftware. PlotonIQ voorziet in een VVG. Vraag er een aan bij al je andere leveranciers.
3. Privacyverklaring
Specifiek: welke cookies, welke analytics, welke derde partijen, contactgegevens verwerkingsverantwoordelijke.
4. EU-servers
Klantgegevens op Amerikaanse servers zijn problematisch na Schrems II. Veiligst: Duitse servers. PlotonIQ: Hetzner Falkenstein, ISO 27001 gecertificeerd. Geen overdrachten naar derde landen.
5. Bewaarperiodes
Fiscaal recht: 10 jaar voor facturen, 6 jaar voor zakelijke correspondentie. Locatiefoto's: verwijderen na project + garantieperiode. Sollicitantgegevens: 6 maanden na afwijzing.
6. Versleuteling
Transport: TLS 1.2+ (bij voorkeur 1.3). Opslag: AES-256. Wachtwoorden: bcrypt of Argon2. API-sleutels: versleuteld, nooit platte tekst.
7. Toegangscontrole
Niet elke monteur heeft toegang tot alle facturen nodig. Rollensysteem: Beheerder (alles), Kantoor (klanten, offertes, facturen), Monteur (eigen opdrachten, tijdregistratie).
8. Foto's alleen in beheerde apps
Locatiefoto's op persoonlijke telefoons = klantgegevens op onbeheerde apparaten. Oplossing: vastleggen in PlotonIQ app — versleutelde upload, nooit opgeslagen op apparaat.
9. WhatsApp vervangen
WhatsApp deelt metadata met Meta. Niet GDPR-conform zonder Business API + VVG. Voor goedkeuringen: PlotonIQ klantportaal met digitale ondertekening en tijdstempel.
10. Effectbeoordeling voor geofencing
GPS-tracking voor monteurs vereist een gegevensbeschermingseffectbeoordeling onder Art. 35 GDPR. Documenteer: doel, wettelijke basis, waarborgen. Werknemers moeten geïnformeerd worden.