"De AVG? Dat is toch die wet voor Google en Facebook? Wij zijn gewoon een installatiebedrijf, de toezichthouder komt heus niet bij ons kijken."

Als dit de gedachte is in uw bestuurskamer, loopt u een serieus risico. De tijd van waarschuwingen is voorbij. De Autoriteit Persoonsgegevens (AP) en andere Europese toezichthouders hebben hun capaciteit fors uitgebreid en richten hun pijlen steeds vaker op het mkb.

Waarom? Omdat juist bij mkb-bedrijven de basisbeveiliging vaak rammelt, terwijl de data goud waard is. Installateurs hebben toegang tot woonhuizen, beveiligingscodes, camerabeelden en reisbewegingen. Als die data lekt, is de impact enorm.

In dit artikel leest u geen abstract juridisch verhaal, maar de harde praktijk: waar worden boetes voor uitgedeeld en waar gaat het mis in de installatiesector?

1. Waar vallen de klappen? (Concrete boetevoorbeelden)

Het zijn vaak niet de hackers, maar de slordigheden die leiden tot boetes. Dit zijn de drie grootste risicogebieden voor uw branche:

Risico A: De "Slimme" Camera

U installeert beveiligingscamera’s bij een bedrijfspand of woning. De camera filmt ook een stukje van de openbare weg of de tuin van de buren.

• Het gevolg: Dit is een van de meest beboete overtredingen. De AP deelt regelmatig boetes uit (variërend van € 5.000 tot € 20.000) voor ongerechtvaardigd cameratoezicht.
• Uw risico: Als installateur bent u de expert. Als u de camera verkeerd afstelt, kan de klant de schade op u proberen te verhalen wegens wanprestatie.

Risico B: Onrechtmatige GPS-Tracking

U gebruikt een volgsysteem in de bussen om te kijken of monteurs wel doorwerken of om pauzes te controleren, zonder dat dit vooraf is vastgelegd en goedgekeurd.

• Het gevolg: Er zijn recente rechtszaken geweest waarbij werkgevers werden teruggefloten en schadevergoedingen moesten betalen aan werknemers wegens inbreuk op de privacy.
• De regel: Tracking mag voor planning en diefstal, niet voor het gluren naar gedrag.

Risico C: Het Datalek (De verloren tablet)

Een tablet met daarop de werkbon-app (met klantnamen, adressen en codes) wordt gestolen uit een bus. De tablet was niet versleuteld en had geen sterk wachtwoord.

• Het gevolg: Dit is een meldplichtig datalek. U moet de AP inlichten en mogelijk al uw klanten informeren. De reputatieschade is direct en pijnlijk.

2. De "Stille Killers" in de installatiebranche

Naast de grote boetes zijn er de dagelijkse fouten die uw bedrijf juridisch kwetsbaar maken. Herkent u deze?

• Excel-lijstjes op drift: De planning wordt even snel in een Excel-bestand gemaild naar een privé-adres van een monteur ("Gmail"). Vanaf dat moment heeft u geen controle meer over die data.
• De 'Meterkast-foto': Een monteur fotografeert een installatie, maar op de foto staan ook poststukken of foto's van de bewoner. Deze foto wordt via WhatsApp gedeeld. Dit is een onnodige verwerking van persoonsgegevens.
• Ontbrekende Verwerkerscontracten: U gebruikt een plannings-app, cloudopslag en een salarisadministrateur. Met geen van allen heeft u een getekende verwerkersovereenkomst. Bij een lek bij hen, bent u aansprakelijk.
• "Bewaardrift": U heeft in uw systeem nog sollicitatiebrieven van 5 jaar geleden en werkbonnen van klanten die al 10 jaar weg zijn. De AVG eist dat u data weggooit als het niet meer nodig is.

Shutterstock

3. De Echte Schade: Meer dan alleen de boete

Stel, de toezichthouder komt langs of u heeft een lek. Wat kost dat nu echt?

1. De Boete: Voor zware overtredingen (zoals onrechtmatige tracking of ontbrekende beveiliging) kan de boete oplopen tot 4% van de omzet. Voor een mkb’er liggen boetes in de praktijk vaak tussen de € 10.000 en € 500.000, afhankelijk van de ernst.
2. Reputatieschade: U moet uw klanten een brief sturen: "Sorry, uw alarmcodes en adresgegevens liggen op straat." Het vertrouwen is weg. Voor een installateur is dat dodelijk.
3. Herstelkosten: IT-forensisch onderzoek, juridisch advies en het opschonen van systemen kost vaak meer dan de boete zelf.
4. Stillegging: De AP kan u verbieden om bepaalde data nog te verwerken. Als u uw planningssoftware niet meer mag gebruiken omdat deze onveilig is, staat uw bedrijf stil.

4. Waarom de handhaving strenger wordt

De tijd van "we waarschuwen eerst" is voorbij.

• Meer capaciteit: De Autoriteit Persoonsgegevens groeit en krijgt meer budget.
• Klagende burgers: Klanten en ex-werknemers weten de weg naar de AP steeds beter te vinden. Een ontevreden ex-monteur die meldt dat hij onterecht gevolgd werd via GPS, is vaak de start van een onderzoek.
• Nieuwe wetgeving: De AVG wordt aangevuld met cybersecurity-wetten (NIS2). De eisen aan digitale veiligheid worden wettelijk hard afgedwongen.

5. Actieplan: Verklein uw risico’s VANDAAG nog

U hoeft geen dure consultant in te huren om de grootste gaten te dichten. Begin hier:

Stap 1: De Security-Check (Direct doen)

• Stel Multifactorauthenticatie (MFA) in op alle e-mailaccounts en planningssoftware. Dit voorkomt 99% van de hacks.
• Zorg dat alle laptops en tablets versleuteld zijn (BitLocker/FileVault) en een automatische schermvergrendeling hebben.

Stap 2: Schoon het schip (Deze week)

• Gooi oude sollicitatiebrieven (ouder dan 4 weken zonder toestemming) weg.
• Verwijder export-bestandjes (Excel) met klantdata van bureaubladen en 'Downloads'-mappen.

Stap 3: Check uw leveranciers (Deze maand)

• Heeft u een verwerkersovereenkomst met uw IT-beheerder en softwareleverancier? Zo nee, vraag deze vandaag nog op.
• Vraag uw softwareleverancier: "Waar staat onze data en hoe vaak maken jullie een back-up?"

Stap 4: Instructie aan het team

• Verbied het delen van klantfoto's via WhatsApp. Gebruik de zakelijke app.
• Leer monteurs dat ze nooit inloggen op openbare Wifi zonder VPN.

Conclusie

De AVG is geen papieren tijger meer. Voor installatiebedrijven, die werken met veel data en mobiele apparaten, is het risico op een incident reëel. Door nu de basisbeveiliging op orde te brengen en oude data weg te gooien, haalt u de grootste risico’s uit uw bedrijf. Wacht niet tot de brief van de toezichthouder op de mat valt.