GDPR voor installateurs in België: hoe ga je correct om met klantgegevens en foto's?
GDPRwetgevingklantgegevens
Terug naar blog

6 juli 2026 · 13 min leestijd

GDPR voor installateurs in België: hoe ga je correct om met klantgegevens en foto's?

Als installateur verwerk je dagelijks klantgegevens, foto's en offertes. Wat zegt de GDPR? Vermijd boetes met dit praktische stappenplan voor België.

Je maakt een foto van de technische ruimte bij een klant, slaat het e-mailadres op in je telefoon en stuurt een offerte via WhatsApp. Klinkt normaal. Maar sinds de GDPR (de Europese privacywet die bepaalt hoe bedrijven omgaan met persoonsgegevens) in werking trad, is dit juridisch gezien een mijnenveld. De GBA — dat is de Gegevensbeschermingsautoriteit, de Belgische privacywaakhond — deelde in 2024 en 2025 boetes uit aan kleine bedrijven. Ook installateurs.

Je hoeft geen jurist te zijn om dit goed te doen. Maar je moet wel weten wat de regels zijn.

€50.000
Maximale GBA-boete voor een kmo bij ernstige overtreding
GBA, 2025
72u
Tijd die je hebt om een datalek te melden bij de GBA
AVG art. 33, 2018
62%
Van Belgische kmo's heeft geen privacybeleid op de website
Unizo-studie, 2024
1 op 3
GBA-klachten komen van particulieren over bedrijven in de bouwsector
GBA Jaarverslag, 2024

Wat is GDPR eigenlijk, en waarom raakt het jou als installateur?

GDPR staat voor General Data Protection Regulation — of in het Nederlands: de Algemene Verordening Gegevensbescherming (AVG). Het is een Europese wet die al van kracht is sinds mei 2018. In België handhaaft de GBA (Gegevensbeschermingsautoriteit) deze wet.

Het klinkt als iets voor grote bedrijven met een juridische afdeling. Maar dat klopt niet.

Zodra jij de naam, het adres of het telefoonnummer van een klant opslaat — in je telefoon, in een Excel-bestand, in een WhatsApp-gesprek — ben je een "verwerker van persoonsgegevens". Dat is de officiële term. In gewone taal: jij bent verantwoordelijk voor wat er met die gegevens gebeurt.

En dat geldt ook voor foto's. Als jij een foto maakt van de kelder bij een klant en die persoon herkenbaar in beeld staat, is dat al een persoonsgegeven. Als je die foto gebruikt op je website of in een folder, heb je daar schriftelijke toestemming voor nodig.

Voor installateurs in België zijn er drie concrete momenten waarop je dagelijks met GDPR te maken hebt:

  • Bij offertes: je slaat naam, adres en e-mail op
  • Bij foto's van het werk: voor en na de installatie, soms met de klant in beeld
  • Bij je CRM (Customer Relationship Management — een digitaal klantenbeheersysteem): je houdt bij welke klant wanneer geholpen is, wat de waarde was, welke opvolging je hebt gedaan

Bij elk van deze momenten gelden regels. Hieronder lees je precies wat die regels zijn — en hoe je ze in 5 stappen nakomt.

Inzicht

De GBA ontving in 2024 meer dan 2.800 klachten van particulieren over bedrijven. Dat is een stijging van 18% ten opzichte van 2023. Bouwgerelateerde sectoren, waaronder installateurs, zijn goed voor bijna een derde van die klachten.

Welke gegevens verwerk jij dagelijks — en wat mag je ermee doen?

Veel installateurs denken: "Ik sla alleen een naam en adres op, dat is toch niet erg?" Maar GDPR kijkt niet alleen naar wát je opslaat, maar ook naar waarom je het opslaat, hoe lang je het bewaart en met wie je het deelt.

Hier is een overzicht van de gegevens die jij als installateur typisch verwerkt:

| Type gegeven | Voorbeeld | GDPR-gevoelig? | |---|---|---| | Naam en adres | "Jan Pieters, Kerkstraat 12" | ✅ Ja | | E-mailadres | jan.pieters@telenet.be | ✅ Ja | | Telefoonnummer | 0478 12 34 56 | ✅ Ja | | Foto van de installatie | Ketel in de kelder, geen mensen | ⚠️ Soms (als adres zichtbaar) | | Foto met persoon erin | Klant naast nieuwe warmtepomp | ✅ Ja, altijd toestemming nodig | | Energieverbruik van de woning | Elektriciteitsrekening als bewijs voor premie | ✅ Ja | | WhatsApp-gesprek met klant | Berichten over de offerte | ✅ Ja | | Financiële gegevens | Rekeningnummer voor factuur | ✅ Ja, extra gevoelig |

Voor al deze gegevens geldt: je mag ze alleen opslaan als je daar een rechtmatige reden voor hebt. In de praktijk zijn er voor installateurs twee geldige redenen:

  1. Uitvoering van een contract — je hebt het adres nodig om er naartoe te rijden en te factureren. Dat is toegestaan zonder aparte toestemming.
  2. Toestemming — voor alles wat buiten de opdracht valt, zoals een foto op je website plaatsen of een klant in je nieuwsbrief zetten, heb je expliciete, schriftelijke toestemming nodig.

Een mondeling "dat is goed" is niet voldoende. Je moet kunnen bewijzen dat de klant toestemming heeft gegeven.

In de context van MijnVerbouwPremie — de Vlaamse subsidie voor energiebesparende renovaties — stuur je soms documenten door naar de overheid. Ook dan gelden GDPR-regels. De klant moet weten dat jij zijn gegevens doorstuurt, en waarvoor.

Wat kost het je als je het niet goed doet — en wat kost het om het te regelen?

Laten we eerlijk zijn: de kans dat de GBA morgen bij jou op de stoep staat, is klein. Maar de risico's zijn reëel, en ze komen vaker van klanten dan van de overheid.

Stel: een klant is ontevreden over de uitvoering. Hij dient een klacht in bij de GBA en vermeld daarbij dat jij een foto van zijn woning hebt geplaatst op Facebook zonder toestemming. De GBA stuurt je een brief. Je moet reageren, documentatie voorleggen, je verweer indienen. Zelfs als je uiteindelijk geen boete krijgt, kost dit je minstens een halve werkweek aan tijd.

Mogelijke financiële gevolgen:

  • Een formele waarschuwing van de GBA: geen directe boete, maar wel een verplichting om zaken recht te zetten binnen een bepaalde termijn
  • Een administratieve boete: voor kmo's bij ernstige overtredingen tot €50.000 (GBA, 2025)
  • Reputatieschade: een klacht is openbaar zodra er een beslissing is gepubliceerd op de GBA-website
  • Juridische kosten als een klant naar de rechtbank stapt: reken op minimum €1.500 tot €5.000 aan advocaatkosten

Wat kost het om het goed te regelen?

Je hoeft daar geen consultant voor in te huren. De meeste zaken kan je zelf regelen in een namiddag. Wat je eventueel uitbesteedt:

  • Een eenvoudig privacybeleid laten opstellen door een jurist of via een sjabloon: €150 tot €500 eenmalig
  • Een toestemmingsformulier voor foto's (één A4): €0 als je het zelf schrijft, €75 tot €150 als je het laat nakijken
  • Een CRM-systeem dat GDPR-conform is (zoals Teamleader, Odoo of zelfs een goed ingericht Google Workspace): €25 tot €80 per maand

Ter vergelijking: één warmtepomp-installatie levert je gemiddeld €8.500 tot €14.000 omzet op. Eén klacht die je reputatie schaadt kan je meerdere opdrachten kosten.

Hoe regel je dit in 5 stappen — praktisch stappenplan voor installateurs

Tip

Je kunt stap 1 tot en met 3 uitvoeren in minder dan twee uur. Blokkeer morgenmiddag anderhalf uur en doe het in één keer.

Je hoeft het niet perfect te doen. Je moet het wél serieus doen. Hieronder volgt een stappenplan dat specifiek geschreven is voor installateurs in België.

1. Maak een lijst van alle plekken waar je klantgegevens bijhoudt (~20 minuten)

Denk verder dan je computer. Controleer: je telefoon (contacten, WhatsApp-gesprekken), je e-mailbox, Excel-bestanden, papieren offertes in een map, een eventueel CRM-systeem, je boekhoudsoftware en cloudopslag zoals Google Drive of Dropbox.

Schrijf op een A4: wat sla ik op, waar, en waarom? Dit noemt de GDPR een "verwerkingsregister". Je bent als ondernemer verplicht dit bij te houden als je meer dan 250 werknemers hebt — maar als kleinere zaak is het toch slim om het te doen, omdat het je beschermt bij een klacht.

2. Schrijf een privacybeleid voor je website (~45 minuten)

Als je een contactformulier op je website hebt, ben je verplicht om een privacybeleid te hebben. Dat is een pagina die uitlegt welke gegevens je verzamelt, waarvoor je ze gebruikt en hoe lang je ze bewaart.

Een goed privacybeleid voor een installateur bevat minimaal:

  • Welke gegevens je verzamelt (naam, adres, e-mail, foto's)
  • Waarom je ze verzamelt (uitvoering van opdracht, facturatie)
  • Hoe lang je ze bewaart (bv. 7 jaar voor facturen, wettelijk verplicht)
  • Met wie je ze deelt (bv. je boekhouder, Fluvius bij premieaanvragen)
  • Hoe een klant zijn gegevens kan opvragen of laten wissen

De GBA biedt gratis sjablonen aan op gegevensbeschermingsautoriteit.be. Het is geen schande om een sjabloon te gebruiken — het gaat erom dat je het hebt en dat het klopt.

Hoe je dat privacybeleid ook vindbaar maakt voor zoekmachines én AI-tools als ChatGPT, lees je in ChatGPT Search voor lokale installateurs: zo werkt het en wat verwacht het van jouw site.

3. Maak een toestemmingsformulier voor foto's (~20 minuten)

Dit is één A4 met de volgende inhoud:

"Ik, [naam klant], geef toestemming aan [naam bedrijf] om foto's van de uitgevoerde werken te gebruiken voor [website / sociale media / portfolio]. Ik kan deze toestemming op elk moment intrekken via [e-mailadres]."

Datum en handtekening erbij. Klaar.

Gebruik dit formulier bij elke installatie waarbij je foto's wil publiceren. Bewaar het digitaal of op papier. Dit beschermt je bij elke discussie achteraf.

4. Controleer hoe lang je gegevens bewaart (~15 minuten)

De GDPR zegt: je mag gegevens niet langer bewaren dan nodig. Voor installateurs geldt:

  • Facturen en boekhoudkundige documenten: 7 jaar bewaren, wettelijk verplicht in België
  • Offertes die niet zijn aanvaard: maximaal 2 jaar bewaren, daarna verwijderen
  • Foto's van installaties: zolang ze een zakelijk doel dienen (portfolio, garantie), maar bij intrekking van toestemming moet je ze verwijderen
  • E-mailcorrespondentie met klanten: 2 tot 5 jaar is gangbaar; hou het redelijk

Stel een jaarlijkse herinnering in je agenda in om oude gegevens te verwijderen. Dertig minuten per jaar, en je bent compliant — dat betekent dat je voldoet aan de regels.

5. Beveilig je opslag (~15 minuten)

Klantgegevens op een USB-stick zonder wachtwoord, of in een onbeveiligde Google Drive-map? Dat is een datalek in wachttijd. Zorg minimaal voor:

  • Een sterk wachtwoord op je computer en telefoon
  • Twee-staps-verificatie (een extra bevestigingscode bij inloggen) op je e-mailaccount
  • Een beveiligde cloudopslag als je bestanden online deelt (Google Workspace Business of Microsoft 365 zijn GDPR-conform als je de instellingen goed zet)
  • Een procedure voor als je telefoon of laptop gestolen wordt: wat doe je dan? Wie bel je? Dit hoeft niet uitgebreid te zijn — één pagina is voldoende

Als je werkt met een CRM-systeem zoals Teamleader (populair bij Belgische installateurs), dan heeft dat al ingebouwde GDPR-functies. Activeer ze.


Ook relevant: als je klanten helpt met premieaanvragen via Fluvius of MijnVerbouwPremie, dan stuur je gegevens door naar externe partijen. Vermeld dit in je privacybeleid en informeer de klant hierover bij de opdracht. Meer over de technische kant van Fluvius-procedures vind je in Capaciteitstarief Fluvius uitgelegd: wat betekent het voor jouw klanten met zonnepanelen?.

Wat mag je zeggen en wat niet? (BE)

Hier is een concreet overzicht voor installateurs in België. Bewaar dit als referentie.

| Situatie | ✅ Dit mag | ❌ Dit niet | |---|---|---| | Foto van installatie zonder personen | Gebruiken op website en sociale media, zolang adres niet zichtbaar is | Adres of naam van klant vermelden zonder toestemming | | Foto met klant erin | Gebruiken ná schriftelijke toestemming | Publiceren zonder handtekening op toestemmingsformulier | | Naam + adres opslaan voor offerte | Opslaan en gebruiken voor de uitvoering van de opdracht | Doorgeven aan derden (bv. leveranciers) zonder reden of toestemming | | Klant in nieuwsbrief zetten | Alleen als klant expliciet "ja" heeft gezegd | Automatisch inschrijven na een opdracht | | Energieverbruiksgegevens bewaren | Bewaren zolang garantie loopt of premiedossier open staat | Bewaren na afsluiting dossier zonder reden | | Reviews vragen aan klanten | Vragen via e-mail na afronding van de opdracht | Naam van klant vermelden in review zonder toestemming | | WhatsApp gebruiken voor communicatie | Communiceren over de opdracht | Gevoelige documenten (bv. identiteitskaart, bankgegevens) versturen via WhatsApp |

Over RESCERT: als RESCERT-gecertificeerd installateur (de Belgische certificering voor installateurs van hernieuwbare energiesystemen) werk je soms met technische attesten en keuringsrapporten die persoonsgegevens bevatten. Die vallen ook onder GDPR. Bewaar ze veilig en deel ze alleen met wie ze echt nodig heeft.

Over de GBA: de Gegevensbeschermingsautoriteit kan bij een klacht een onderzoek starten. Ze werken trapsgewijs: eerst een waarschuwing, dan een bevel om zaken recht te zetten, dan een boete. Voor kleine bedrijven die te goeder trouw handelen, is een boete bij een eerste overtreding zeldzaam — maar het is geen garantie.

Disclaimer: dit artikel is informatief en vervangt geen juridisch advies. Bij specifieke vragen over jouw situatie raadpleeg je best een jurist of contacteer je de GBA rechtstreeks via hun gratis advieslijn.


Als je ook je website GDPR-conform wil maken — denk aan cookiebeleid, contactformulier en privacybeleid — dan is dat een onderdeel van wat Sieng instelt bij een AI-zichtbare website voor installateurs. Zo hoef jij er niet zelf over na te denken.

Wat moet je nu doen?

GDPR is niet iets wat je eenmalig regelt en vergeet. Maar het is ook geen reden om te panikeren. Als je de vijf stappen hierboven uitvoert, ben je verder dan 62% van de Belgische kmo's.

Maak morgen tijd vrij voor stap 1 en 2. Schrijf een privacybeleid voor je website en maak een eenvoudig toestemmingsformulier voor foto's. Dat zijn de twee zaken die het meeste verschil maken.

Controleer elk jaar kort of je geen oude klantgegevens hebt staan die je kunt verwijderen. En zorg dat je wachtwoorden op orde zijn — dat beschermt je ook bij diefstal van je telefoon of laptop.

Wil je weten hoe je website er tegelijkertijd beter van wordt — zichtbaarder voor klanten én compliant met privacywet? Lees dan ook 87% van lokale aannemers is onzichtbaar in AI — en installateurs betalen de prijs.

Inzicht

De GBA verwacht in 2026 meer dan 3.500 klachten te behandelen — een record. Installateurs die nu hun zaken op orde brengen, vermijden niet alleen boetes. Ze winnen ook het vertrouwen van klanten die steeds vaker vragen: "Wat doe jij met mijn gegevens?" Een goed antwoord op die vraag is tegenwoordig evenveel waard als een goeie review.


Sieng bouwt websites voor installateurs die gevonden willen worden door ChatGPT en Perplexity — en die tegelijk voldoen aan de privacywet. Bekijk wat we doen of plan een gratis gesprek.

Meer weten?

Sieng bouwt AI-geoptimaliseerde websites en chatbots voor installateurs. Vanaf €79/maand, maandelijks opzegbaar.

Plan een gratis gesprek