Mag ik klantgegevens in een Excel-bestand bewaren?

Dat mag, maar beveilig het. Zet een wachtwoord op het bestand, sla het op een versleuteld apparaat op, en deel het niet via onbeveiligde kanalen zoals WeTransfer of een onbeveiligde USB-stick. Een CRM met ingebouwde beveiliging is een betere keuze als je regelmatig met klantdata werkt.

Moet ik een apart zakelijk e-mailaccount hebben?

De AVG schrijft het niet voor, maar het is sterk aan te raden. Een zakelijk account (Google Workspace, Microsoft 365) biedt een verwerkersovereenkomst, betere beveiliging, en scheiding van privé en zakelijk. Bij een gratis Gmail-account is Google zelf verwerkingsverantwoordelijke, wat het lastiger maakt om aan de AVG te voldoen.

Hoe lang mag ik klantgegevens bewaren na afloop van een project?

De AVG geeft geen vaste termijn. De vuistregel: bewaar gegevens zolang je ze nodig hebt voor het doel waarvoor je ze hebt verzameld. Na afloop van een project kun je contactgegevens bewaren voor eventueel vervolgwerk, maar verwijder projectdetails die je niet meer nodig hebt. Factuurgegevens moet je 7 jaar bewaren (fiscale bewaarplicht).

Wat als ik klantgegevens per ongeluk heb gedeeld met de verkeerde persoon?

Dat kan een datalek zijn. Beoordeel de ernst: welke gegevens, hoeveel personen, hoe gevoelig? Bij een hoog risico voor de betrokkene moet je het melden bij de AP (binnen 72 uur) en bij de betrokkene zelf. Documenteer wat er is gebeurd en welke stappen je hebt genomen.

Je slaat klantgegevens op

Q: Mag ik WhatsApp gebruiken voor klantcommunicatie?

WhatsApp is end-to-end versleuteld, maar Meta (het moederbedrijf) verwerkt metadata. De gewone WhatsApp-app heeft geen verwerkersovereenkomst die aan de AVG voldoet. Voor incidenteel contact is het risico beperkt. Voor structurele verwerking van klantgegevens is het niet ideaal. Overweeg Signal of een zakelijke communicatietool.

Je verstuurt facturen met namen en adressen. Je bewaart e-mails van klanten. Je hebt een spreadsheet met contactgegevens, een boekhoudpakket met betaaldata, en WhatsApp-gesprekken met projectdetails. Klantgegevens staan overal. De vraag is niet of je ze hebt, maar of je weet waar ze allemaal staan.

Dat weten de meeste ZZP'ers niet. En dat is precies waar het probleem begint. Want de AVG vraagt niet alleen dat je klantgegevens hebt. De AVG vraagt dat je weet waar ze staan, waarom je ze hebt, hoe lang je ze bewaart, en hoe je ze beschermt.

Waar staan je klantgegevens eigenlijk allemaal?

Bij de gemiddelde freelancer staan klantgegevens op minstens zes of zeven plekken. Vaak meer. En de meeste zijn niet bewust gekozen.

Je inbox. Elke e-mail met een klantnaam, adres, of projectdetail is een opslag van persoonsgegevens. Je inbox is een van je grootste dataopslagplaatsen, en de meeste ZZP'ers behandelen het niet als zodanig. Zoekopdrachten op klantnamen leveren soms jaren aan correspondentie op.

Je telefoon. WhatsApp-gesprekken met klanten. Contacten in je adresboek. Foto's van documenten, visitekaartjes, whiteboards met namen erop. Je telefoon is een mobiele database die je overal mee naartoe neemt.

Je boekhoudpakket. Moneybird, Exact, e-Boekhouden. Namen, adressen, KvK-nummers, betaalgegevens. Dit is vaak de meest gestructureerde plek, met een verwerkersovereenkomst en beveiligde toegang. Maar het is niet de enige plek.

Cloud-opslag. Google Drive, Dropbox, OneDrive. Offertes, contracten, projectbestanden, presentaties. Overal waar je een document opslaat dat een klantnaam bevat.

CRM en projecttools. HubSpot, Notion, Airtable, Trello, Basecamp. Klantprofielen, contactmomenten, projectnotities, taken met klantreferenties.

Je laptop zelf. Downloads-map, Bureaublad, lokale documenten. En als je geen schijfencryptie hebt ingeschakeld, is al die data onbeschermd als je laptop wordt gestolen.

Papier. Ja, echt. Geprinte contracten, handgeschreven notities, briefjes met telefoonnummers. De AVG geldt ook voor papieren verwerkingen.

En vergeet de minder voor de hand liggende plekken niet. Agenda-items met klantafspraken. Slack- of Teams-kanalen waar je projectdetails deelt. De Notes-app op je telefoon. Een gedeelde Google Sheet met een collega-freelancer.

Maak een keer de exercitie. Loop een werkdag door en noteer elke plek waar je een klantnaam tegenkomt. De lijst is waarschijnlijk langer dan je dacht.

Hoe lang mag je klantgegevens bewaren?

De AVG geeft geen vaste bewaartermijn. Het principe is: bewaar gegevens niet langer dan noodzakelijk voor het doel waarvoor je ze hebt verzameld. Maar "noodzakelijk" wordt beïnvloed door andere wetten.

Factuurgegevens: 7 jaar. De fiscale bewaarplicht uit de Algemene wet inzake rijksbelastingen vereist dat je administratie (inclusief facturen met persoonsgegevens) 7 jaar bewaart. Hier gaat de belastingwet boven de AVG.

Projectgegevens: tot het project is afgerond plus een redelijke termijn. Voor eventuele claims of garantiekwesties is het verstandig om projectdocumentatie een beperkte periode te bewaren. Twee tot vijf jaar is gangbaar, afhankelijk van je branche en contractuele verplichtingen.

Nieuwsbriefgegevens: tot uitschrijving. Zodra iemand zich uitschrijft, verwijder je het e-mailadres. Bewaar eventueel een hash of notitie dat de persoon zich heeft uitgeschreven (om niet opnieuw te mailen), maar niet het e-mailadres zelf.

Offertes die niet zijn geaccepteerd: kort. Een offerte die niet tot een opdracht leidt, hoef je niet jaren te bewaren. Zes maanden is in de meeste gevallen voldoende.

Contactgegevens van oud-klanten: het hangt ervan af. Als je een doorlopende relatie hebt (jaarlijkse opdrachten), mag je contactgegevens bewaren op basis van gerechtvaardigd belang. Als je al drie jaar niets van iemand hebt gehoord, is het tijd om op te ruimen.

De fout die de meeste ZZP'ers maken: alles bewaren voor onbepaalde tijd "voor het geval dat." Dat is geen geldige grondslag onder de AVG. Stel voor je belangrijkste gegevenstypen een bewaartermijn vast, schrijf die op (in je verwerkingsregister of een simpele notitie), en houd je eraan. Een jaarlijkse opschoonronde in januari werkt goed.

Welke beveiliging verwacht de AVG van een ZZP'er?

Artikel 32 AVG vereist "passende technische en organisatorische maatregelen." Dat klinkt vaag, en dat is het ook. De AVG schrijft niet voor welke specifieke maatregelen je moet nemen. Het hangt af van de aard van de gegevens, de risico's, en de stand van de techniek.

Voor een ZZP'er of klein bedrijf komt het in de praktijk neer op een handvol maatregelen:

Schijfencryptie. FileVault (Mac) of BitLocker (Windows). Schakel het in op elk apparaat waar klantgegevens staan. Als je laptop wordt gestolen, zijn de gegevens dan niet leesbaar zonder je wachtwoord. Dit is de maatregel met de meeste impact. Bij een gestolen laptop zonder encryptie heb je vrijwel zeker een meldplichtig datalek. Met encryptie waarschijnlijk niet.

Tweefactorauthenticatie (2FA). Op je e-mail, je cloudopslag, je boekhoudpakket, je CRM. Overal waar klantgegevens staan. Een wachtwoord alleen is niet meer voldoende. De meeste datalekken bij kleine bedrijven beginnen met een gecompromitteerd wachtwoord.

Sterke, unieke wachtwoorden. Gebruik een wachtwoordmanager (Bitwarden, 1Password, KeePass). Niet hetzelfde wachtwoord voor je e-mail en je boekhoudpakket. Als één dienst wordt gehackt, blijven je andere accounts veilig.

Software up-to-date. Besturingssysteem, browser, apps. Beveiligingsupdates dichten bekende kwetsbaarheden. Stel automatische updates in waar mogelijk. Een verouderde browser is een open deur voor aanvallers.

Zakelijke accounts, niet persoonlijke. Gebruik geen gratis Gmail voor zakelijke e-mail. Geen persoonlijk Dropbox-account voor klantbestanden. Zakelijke accounts bieden verwerkersovereenkomsten, betere beveiliging, en scheiding van privé en zakelijk. Het verschil in kosten is een paar euro per maand. Het verschil in risico is groot.

De plekken waar het misgaat

Sommige gewoontes zijn zo normaal dat niemand er bij stilstaat. Maar vanuit de AVG zijn ze problematisch.

WeTransfer voor klantbestanden. WeTransfer Free is niet versleuteld en heeft geen verwerkersovereenkomst. Je stuurt een bestand met klantgegevens via een link die iedereen met de URL kan openen. WeTransfer Pro biedt meer beveiliging, maar controleer de voorwaarden. Alternatieven: een gedeelde map in je (zakelijke) cloudopslag met toegangscontrole.

WhatsApp als klantkanaal. WhatsApp is end-to-end versleuteld, maar Meta verwerkt metadata (wie je spreekt, wanneer, hoe vaak). De gewone WhatsApp-app biedt geen verwerkersovereenkomst die aan de AVG voldoet. Voor incidenteel contact is het risico beperkt. Voor structurele klantcommunicatie met gevoelige gegevens is het niet de juiste tool.

Onbeveiligde spreadsheets. Een Excel-bestand met klantnamen, adressen en telefoonnummers op je Bureaublad. Zonder wachtwoord, zonder encryptie, op een laptop die je meeneemt naar de koffiebar. Als die laptop wordt gestolen, is elk record in die spreadsheet een potentieel datalek.

Persoonlijke accounts voor zakelijk gebruik. Je persoonlijke Google Drive met daarin een map "Klanten." Geen verwerkersovereenkomst, geen zakelijke beveiliging, en als Google je account opschort (het komt voor), ben je je klantdata kwijt.

USB-sticks en externe harde schijven. Onversleuteld, makkelijk te verliezen, zelden een backup van. Een USB-stick met klantbestanden die je in een taxi laat liggen is een datalek. Vermijd USB-sticks voor klantdata. Gebruik je cloudopslag met versiebeheer.

Gedeelde documenten zonder toegangscontrole. Een Google Doc met "iedereen met de link kan bewerken" waar klantgegevens in staan. Of een Notion-pagina die je hebt gedeeld met een oud-collega die allang ergens anders werkt. Check regelmatig wie toegang heeft tot gedeelde documenten en trek toegang in als die niet meer nodig is.

Wat als je klant om verwijdering vraagt?

Het recht op vergetelheid (artikel 17 AVG) geeft je klant het recht om te vragen dat je zijn gegevens verwijdert. Maar het is niet absoluut.

Je hoeft niet te verwijderen als:

Je een wettelijke bewaarplicht hebt (factuurgegevens: 7 jaar)
De gegevens nodig zijn voor een lopend juridisch geschil
Je een andere geldige grondslag hebt om de gegevens te bewaren

Je moet wel verwijderen als je geen geldige reden meer hebt om de gegevens te bewaren. In de praktijk: verwijder de projectgegevens en contactdetails, maar bewaar de factuurgegevens tot de fiscale termijn is verlopen.

Reageer binnen een maand op het verzoek. Documenteer wat je hebt verwijderd en wat je (met reden) hebt bewaard. En vergeet niet: verwijderen betekent overal verwijderen. Niet alleen uit je CRM, maar ook uit je e-mail, je cloudopslag, je telefooncontacten, en je backups waar dat haalbaar is.

Dit is overigens precies waarom die inventarisatie uit de eerste sectie zo belangrijk is. Als je niet weet waar klantgegevens staan, kun je ze ook niet verwijderen als iemand erom vraagt.

Hoe je het in twee uur op orde krijgt

Uur 1: Inventariseer en schoon op. Loop door je tools en apparaten. Noteer per plek welke klantgegevens er staan. Verwijder gegevens die je niet meer nodig hebt: oude projectmappen, verlopen offertes, contacten van eenmalige klanten van jaren geleden. Minder data is minder risico.

Uur 2: Beveilig de basis. Schakel schijfencryptie in op je laptop (FileVault of BitLocker, duurt 10 minuten). Zet 2FA aan op je e-mail, cloudopslag en boekhoudpakket. Installeer een wachtwoordmanager als je die nog niet hebt. Check of je verwerkersovereenkomsten op orde zijn bij je belangrijkste tools. Noteer je bewaartermijnen per gegevenstype.

Dat is het. Geen waterdicht systeem, maar een basis die je kunt uitleggen als iemand ernaar vraagt.

De AVG verwacht geen perfectie. De AVG verwacht dat je nadenkt over wat je doet met klantgegevens en dat je redelijke maatregelen neemt. Twee uur werk. Daarna heb je de basis staan. Je weet waar je data staat, hoe lang je het bewaart, en hoe je het beschermt. En je kunt elke vraag van een klant, opdrachtgever of de AP met een gerust hart beantwoorden.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.