Bij de afkorting AVG (Algemene Verordening Gegevensbescherming) denken veel installateurs direct aan papierwerk: contracten tekenen en namen op lijsten afvinken. "Wij hebben alleen NAW-gegevens voor de factuur," hoor je vaak.

Maar die gedachte is in de huidige tijd gevaarlijk achterhaald.

Als modern installatiebedrijf verzamel je – vaak onbewust – gigantische hoeveelheden data. Een monteur maakt een foto van een meterkast, een slimme thermostaat stuurt verbruiksdata naar de cloud en de GPS in de servicebus houdt bij waar je collega rijdt. Voor de wet zijn dit bijna allemaal persoonsgegevens.

Wat valt er nu precies onder? En wanneer loop je risico? In dit artikel zetten we de technische bril af en zetten we de privacy-bril op.

De simpele regel: "Is het te herleiden?"

De AVG is eigenlijk heel simpel. Een gegeven is een persoonsgegeven als je het kunt gebruiken om iemand te identificeren, direct of indirect.

• Direct: Naam, adres, telefoonnummer, e-mailadres. (Dit weet iedereen).
• Indirect: Een kenteken, een IP-adres, een serienummer van een apparaat dat aan een specifiek adres is gekoppeld, of een foto van een woonkamer.

Als je een serienummer van een warmtepomp hebt, lijkt dat 'gewoon techniek'. Maar als dat serienummer in jouw systeem gekoppeld is aan 'Familie Jansen, Dorpsstraat 1', dan wordt de data die die pomp verstuurt ineens een persoonsgegeven.

Shutterstock

De verborgen datastroom in jouw bedrijf

Laten we eens kijken wat een installatiebedrijf op een gemiddelde werkdag verzamelt, zonder dat het als 'administratie' voelt.

1. Foto’s van de klus (en de omgeving)

Je monteur vervangt een CV-ketel en maakt een foto van het leidingwerk voor in het dossier.

• Het risico: Staat er op de achtergrond een gezinsfoto op de plank? Ligt er post op de wasmachine? Is het huisnummer zichtbaar?
• AVG: Ja, dit is een persoonsgegeven. Zeker als de foto in een mapje 'Klant Jansen' wordt opgeslagen of via WhatsApp wordt gedeeld.

2. Camerabeelden en Videodeurbellen

Jullie installeren beveiligingscamera’s of slimme deurbellen. Tijdens het testen (of bij onderhoud) kijk je mee op de beelden.

• Het risico: Je ziet de bewoners, hun kinderen of de buren.
• AVG: Beeldmateriaal van personen is per definitie een persoonsgegeven (en zelfs een bijzonder persoonsgegeven vanwege biometrie als er gezichtsherkenning in zit).

3. Slimme thermostaten & Energiemanagers

Jullie plaatsen een hybride warmtepomp met een app. Het systeem houdt precies bij wanneer de verwarming aan gaat en hoeveel warm water er wordt getapt.

• Het risico: Deze data vertelt indirect alles over het leefpatroon van de klant. Wanneer staan ze op? Wanneer zijn ze op vakantie? Wanneer wordt er gedoucht?
• AVG: Gedrags- en verbruiksdata gekoppeld aan een huishouden zijn persoonsgegevens.

4. GPS-Trackers in de bus

Alle bussen hebben een 'black box' voor de rittenregistratie en planning.

• Het risico: Je weet niet alleen waar de bus is, maar ook welke monteur erin rijdt. Je ziet hoe hard hij rijdt, waar hij stopt voor de lunch en hoe laat hij thuis is.
• AVG: Dit zijn persoonsgegevens van je werknemer. Je mag dit niet zomaar gebruiken om iemand te controleren of te ontslaan zonder strikt protocol.

5. IP-adressen en Logfiles

Om een storing op afstand uit te lezen, log je in op de router of de gateway van de installatie. Je ziet IP-adressen en MAC-adressen.

• AVG: Een IP-adres is in juridische zin een persoonsgegeven, omdat het naar een specifieke internetaansluiting (en dus een persoon) leidt.

Wanneer is het GEEN persoonsgegeven?

Moet je nu panisch worden? Nee. Er is een grens. Data is géén persoonsgegeven als het volledig anoniem is en niet meer terug te herleiden is naar een individu.

• Voorbeeld: Als jij een rapport draait met: "In de wijk Zeeburg gaan warmtepompen gemiddeld 12 jaar mee", zonder namen of adressen, is dat statistiek. Geen AVG.
• Voorbeeld: Puur technische machine-data die losstaat van de gebruiker. Als een ventilator in jouw magazijn trillingsdata stuurt, en dit systeem staat los van werknemersregistratie, zegt dat niets over een persoon.

Let op: Het wordt vaak fout geïnterpreteerd. Een serienummer is 'anoniem' voor een buitenstaander, maar voor jou (die de klantenlijst heeft) is het een persoonsgegeven.

Waarom moet je dit weten? (De risico's)

Als je deze stromen niet ziet als persoonsgegevens, beveilig je ze waarschijnlijk niet goed genoeg. De risico's zijn concreet:

1. Datalekken: Een monteur verliest zijn tablet. Als daar alleen kale schema's op staan: jammer. Staan er foto's op van interieurs van klanten, rittenstaten en namen? Dan is het een datalek en moet je dit mogelijk melden bij de Autoriteit Persoonsgegevens.
2. Privacy-klachten: Een klant vraagt zijn gegevens op (recht op inzage). Als jij zegt "we hebben alleen uw factuur", maar de klant ontdekt later dat de fabrikant van de omvormer via jou al 3 jaar zijn verbruik monitort, heb je een vertrouwensprobleem.
3. Conflict met personeel: Gebruik je GPS-data om een monteur aan te spreken op zijn pauzes, zonder dat dit in het reglement staat? De rechter veegt dat bewijs van tafel wegens schending van de privacy.

4 Praktische Tips: Wat moet je doen?

Je bent installateur, geen jurist. Hoe regel je dit praktisch?

1. Dataminimalisatie (Minder is meer) Leer monteurs: maak foto's van de techniek, niet van de omgeving. Zoom in op de leiding, niet op de hele badkamer. Wat je niet hebt, kan ook niet lekken.

2. Scheid zakelijk en privé Gebruiken monteurs hun privé-telefoon voor werkfoto’s? Dat is een enorm risico. De foto’s van de meterkast staan dan tussen de vakantiefoto's in hun privé iCloud/Google Photos. Zorg voor zakelijke toestellen of een veilige app die foto's direct naar de zaak uploadt en niet lokaal opslaat.

3. Wees eerlijk tegen de klant Installeer je een slim apparaat dat data doorstuurt naar de fabrikant? Zeg het gewoon. "Mevrouw, deze thermostaat is slim. Hij leert van uw gedrag. Die data staat in de cloud bij fabrikant X. Hier is hun privacyverklaring."

4. Check je leveranciers (Verwerkersovereenkomst) Jij installeert de hardware, maar softwareleverancier X slaat de data op. Juridisch ben jij vaak het aanspreekpunt voor de klant. Zorg dat je een verwerkersovereenkomst hebt met je softwareleveranciers waarin staat dat zij veilig omgaan met de data van jouw klanten.

Conclusie

Persoonsgegevens in de installatiebranche zijn allang niet meer alleen de letters op de envelop. Het zijn de beelden, de logs en de gedragsdata die door jouw kabels en systemen stromen.

Door hier bewust van te zijn, voorkom je gedoe. Zie het niet als administratieve rompslomp, maar als een onderdeel van je vakmanschap: je gaat net zo zorgvuldig om met de data van de klant als met zijn interieur.