Stijn Belmans
Contactgegevens
Stijn Belmans
BTW-nummer: BE 0698.645.666
E-mailadres
info@stijnbelmans.be
Back
GDPR
13 min read

GDPR voor Horeca: Camera’s, Reserveringen en Klantendata

Leestijd: 10 minuten | Update: November 2025

Als horecaondernemer heb je dagelijks te maken met persoonsgegevens: reserveringen, bestellingen, loyaliteitsprogramma’s, camera’s aan de deur, WiFi-logins, en meer. Maar wist je dat elk van deze activiteiten onder de AVG of GDPR valt?

De Gegevensbeschermingsautoriteit (GBA) heeft horeca niet als prioritaire sector aangewezen, maar dat betekent niet dat je vrijgesteld bent. Integendeel: bij klachten of datalekken word je net zo hard aangepakt als andere sectoren.

In deze gids leg ik uit welke AVG-verplichtingen specifiek voor horeca gelden, en hoe je compliant wordt zonder je operatie te bemoeilijken.

De 5 Grootste AVG-Uitdagingen in Horeca

1. Reserveringssystemen

Wat verzamel je?

  • Naam, telefoonnummer, emailadres
  • Aantal gasten, speciale verzoeken (allergieën, verjaardag)
  • Voorkeuren (favoriete tafel, wijnkeuze)
  • Historiek (hoe vaak komt deze gast?)

Het probleem: Veel restaurants bewaren deze data eindeloos in systemen zoals OpenTable, Resengo, of Excel. Maar de AVG vereist dat je data niet langer bewaart dan noodzakelijk.

AVG-compliant reserveren:

  1. Rechtsgrond: Contractuele noodzaak – je hebt de data nodig om de reservering uit te voeren
  2. Bewaartermijn:
    • Actieve reservering: tot na het bezoek
    • No-show: 6-12 maanden (voor black-list)
    • Trouwe klanten: 2-3 jaar na laatste bezoek
    • Daarna: verwijderen of anonimiseren
  3. Informatieplicht:
    • Link naar privacyverklaring op je website
    • Bij telefonische reservering: “We bewaren je gegevens voor je reservering en tot [termijn] daarna”

Praktische tip: Gebruik een reserveringssysteem dat automatisch oude data verwijdert, zoals:

  • Resengo (Belgisch, €29/maand) – GDPR-compliant
  • Formitable (Nederlands, €39/maand) – Data-retentie instellingen
  • OpenTable – Check hun DPA (gratis beschikbaar)

Actie: Maak vandaag een notitie in je agenda: 1x per jaar oude reserveringen archiveren/verwijderen.

2. Camera’s / CCTV / Bewakingscamera’s

Dit is waarschijnlijk de meest complexe AVG-uitdaging voor horeca.

Waarom camera’s?

  • Veiligheid (diefstal voorkomen)
  • Bewijsmateriaal bij incidenten
  • Personeelscontrole

Het probleem: Camera’s zijn een intensieve inbreuk op privacy. De AVG stelt daarom strikte eisen.

Mag je camera’s gebruiken?

✅ Ja, als:

  • Er een gerechtvaardigd belang is (veiligheid, diefstal)
  • Er geen minder ingrijpend alternatief is
  • Je duidelijk signaleert dat er camera’s hangen
  • Je beelden niet langer bewaart dan noodzakelijk

❌ Nee, als:

  • Je personeel constant in beeld hebt (zonder goede reden)
  • Camera’s in toiletten, kleedkamers, of andere privéruimtes
  • Je beelden deelt zonder goede reden (bijv. op social media)

De 7 regels voor AVG-conforme camera’s:

Regel 1: Signalisatie

  • Plaats een duidelijk bord voordat mensen in beeld komen
  • Tekst: “Camera-bewaking | Voor vragen: [email/telefoon]”
  • Optioneel: QR-code naar camera-paragraaf in je privacyverklaring

Regel 2: Beperkte scope

  • Film alleen wat echt nodig is (entree, kassa, voorraad)
  • Vermijd het filmen van de publieke weg
  • Gebruik geen 360°-camera’s als een narrower view voldoende is

Regel 3: Korte bewaartermijn

  • Maximum: 1 maand (tenzij incident)
  • Ideaal: 7-14 dagen
  • Na bewaartermijn: automatisch overschrijven

Regel 4: Toegangsbeperking

  • Alleen de uitbater/manager mag beelden bekijken
  • Geen personeel dat “even wil kijken”
  • Beveiligde opslag (wachtwoord-beschermd systeem)

Regel 5: Geen audio

  • Geluid opnemen is veel invasiever dan beeld
  • Alleen toegestaan in uitzonderlijke gevallen
  • Regel: cameratoezicht zonder audio

Regel 6: Incident-protocol

  • Bij diefstal/incident: bewaar die specifieke beelden apart
  • Geef alleen aan politie mee (niet op sociale media!)
  • Verwijder andere beelden na standaard periode

Regel 7: Documentatie

  • Voeg camera-gebruik toe aan je AVG-register
  • Noteer: locaties, bewaartermijn, wie heeft toegang, waarom nodig

Template camera-beleid: Download gratis [link naar lead magnet]

Let op personeel: Als je personeel filmt, zijn er extra regels:

  • Informeer je personeel schriftelijk
  • Leg uit waarom het nodig is
  • Geef aan wie toegang heeft tot beelden
  • Personeel mag inzage vragen (recht op inzage)

3. Loyaliteitsprogramma’s en Klantprofielen

Veel restaurants bouwen klantprofielen op: vaste gasten krijgen een VIP-behandeling, je onthoudt hun favoriete wijn, je stuurt verjaardagswensen.

Wat verzamel je?

  • Persoonlijke voorkeuren (wijn, tafel, dieetwensen)
  • Bezoekfrequentie
  • Bestedingspatroon
  • Verjaardag, speciale gelegenheden

Het probleem: Dit gaat verder dan “noodzakelijk voor de dienstverlening”. Je hebt toestemming of gerechtvaardigd belang nodig.

AVG-compliant loyalty:

Optie 1: Toestemming vragen

"Mogen we je voorkeuren bijhouden zodat we je volgende bezoek 
nog beter kunnen maken? Je kunt dit altijd intrekken."

[ ] Ja, graag
[ ] Nee, dank je

Optie 2: Gerechtvaardigd belang Je mag redelijkerwijs aannemen dat gasten het op prijs stellen als je hun voorkeuren onthoudt. Zorg dat:

  • Het transparant is (vermeld in privacyverklaring)
  • Gasten kunnen weigeren/uitschrijven
  • Je het niet deelt met derden zonder toestemming

Praktische tips:

  • Gebruik een CRM zoals LightspeedHubSpot (gratis tier), of gewoon een Excel met wachtwoord
  • Verwijder data van gasten die >3 jaar niet geweest zijn
  • Stuur nooit ongevraagd marketing (nieuwsbrief) – dat vereist expliciete toestemming

4. WiFi en Social Media

Gratis WiFi: Veel horeca biedt gratis WiFi. Vaak met een “social login” (inloggen via Facebook/Google).

Het probleem:

  • Social login deelt data met Facebook/Google
  • Je verzamelt mogelijk emailadressen en namen
  • Je kunt surfgedrag tracken

AVG-compliant WiFi:

Optie A: Open WiFi zonder data-capture Gewoon gratis WiFi, geen inlog. Veiligst en minste gedoe.

Optie B: WiFi met voucher Gasten vragen aan de balie om een voucher (geen data-capture).

Optie C: Social/Email login

  • Vraag toestemming voor data-opslag
  • Leg uit waarvoor je het gebruikt (bijv. marketing opt-in)
  • Link naar privacyverklaring
  • Zorg voor een DPA met je WiFi-provider

Social media posts van gasten: Als je foto’s van gasten wilt delen op Instagram/Facebook:

  • Vraag mondeling en schriftelijk toestemming
  • “Mogen we deze foto op onze Instagram plaatsen?”
  • Bij twijfel: blur gezichten of vraag het niet

5. Leveranciers en Online Bestellingen

Je werkt met:

  • Online reserveringssystemen (OpenTable, Resengo)
  • Betalingsproviders (Stripe, Mollie, Worldline)
  • Boekhoudpakketten (Exact, Yuki)
  • Email marketing (Mailchimp, Sendinblue)

Het probleem: Al deze partijen verwerken persoonsgegevens in jouw opdracht. Je hebt verwerkersovereenkomsten (DPA’s) nodig.

AVG-compliant samenwerking:

  1. Inventariseer alle externe tools die data verwerken
  2. Check of je een DPA hebt (vaak gratis te downloaden van hun website)
  3. Onderteken en bewaar deze overeenkomsten
  4. Documenteer in je AVG-register

Veelgebruikte horeca-tools met DPA:

  • ✅ OpenTable – DPA beschikbaar
  • ✅ Resengo – GDPR-compliant
  • ✅ Stripe, Mollie, Worldline – DPA beschikbaar
  • ✅ Mailchimp – DPA beschikbaar (gratis)
  • ✅ Lightspeed – DPA beschikbaar

Praktische Checklist: AVG-Conforme Horeca

Gebruik deze checklist om je restaurant/café/bar AVG-proof te maken:

Basis

  • [ ] Ik heb een privacyverklaring op mijn website
  • [ ] De privacyverklaring is specifiek voor mijn zaak (geen copy-paste)
  • [ ] Ik informeer gasten hoe ik hun data gebruik (reserveringen, camera’s)

Reserveringen

  • [ ] Ik verwijder oude reserveringen na 2-3 jaar
  • [ ] Ik heb een DPA met mijn reserveringssysteem
  • [ ] Gasten kunnen hun data laten verwijderen op verzoek

Camera’s

  • [ ] Er hangen duidelijke borden dat er camera’s zijn
  • [ ] Ik bewaar beelden maximaal 1 maand
  • [ ] Alleen ik (en eventueel 1-2 personen) hebben toegang
  • [ ] Ik film geen personeel onnodig
  • [ ] Camera’s staan niet in toiletten/kleedkamers

Marketing & Loyalty

  • [ ] Ik stuur alleen marketing naar mensen die toestemming gaven
  • [ ] Elke email heeft een “uitschrijven” link
  • [ ] Ik verwijder data van inactieve gasten na 3 jaar

Leveranciers

  • [ ] Ik heb DPA’s met alle externe tools (reservering, betaling, email)
  • [ ] Ik heb een lijst van alle tools die data verwerken

Documentatie

  • [ ] Ik heb een AVG-register (overzicht van dataverwerkingen)
  • [ ] Ik weet hoe te reageren op privacy-verzoeken
  • [ ] Ik heb een datalek-protocol

Score:

  • 15-18 vinkjes: ✅ Je bent compliant!
  • 10-14 vinkjes: ⚠️ Bijna, nog wat werk
  • 0-9 vinkjes: ❌ Prioriteit! Begin vandaag

Veelvoorkomende Fouten in Horeca

Fout 1: Camera’s zonder signalisatie

Waarom fout: Mensen hebben recht om te weten dat ze gefilmd worden.

Oplossing: Koop een camera-bord (€10-20) en plaats het prominent bij de ingang.

Fout 2: Eindeloos reserveringen bewaren

Waarom fout: Je bewaart data langer dan nodig.

Oplossing: 1x per jaar oude reserveringen verwijderen (of anonimiseren: naam vervangen door “Gast #12345”).

Fout 3: Marketing zonder toestemming

Waarom fout: Je mag geen ongevraagde nieuwsbrieven sturen, zelfs niet naar vaste klanten.

Oplossing: Gebruik een opt-in formulier (“Wil je onze nieuwsbrief ontvangen?”) en respecteer uitschrijvingen.

Fout 4: Camera-beelden delen

Waarom fout: Je mag beelden alleen gebruiken waarvoor je ze verzamelde (veiligheid). Niet voor entertainment op social media.

Oplossing: Deel alleen met politie bij incidenten. Nooit online.

Fout 5: Geen DPA’s

Waarom fout: Je bent verantwoordelijk voor hoe derden jouw klantdata verwerken.

Oplossing: Download gratis DPA’s van je leveranciers en bewaar ze.

GDPR voor Specifieke Horeca-Types

Restaurants:

  • Focus op reserveringssystemen en loyaliteitsprogramma’s
  • Camera’s vooral bij kassa en ingang
  • Allergieën-data = gevoelige data (voorzichtig mee omgaan)

Café/Bar:

  • Camera’s belangrijker (diefstal, vechtersbazen)
  • Minder reserveringen = minder dataverwerking
  • Let op WiFi-logins

Fast food/Takeaway:

  • Online bestellingen via Deliveroo/Uber Eats → check hun DPA
  • Camera’s bij kassa en keuken
  • Klantprofielen in POS-systeem

Hotel/B&B:

  • Extra: logboek met gast-gegevens (wettelijk verplicht)
  • Camera’s in publieke ruimtes (geen kamers!)
  • Gasten-WiFi met disclaimers
  • Bewaartermijn facturen: 7 jaar

Evenementen/Catering:

  • Klantlijsten voor events (namen, dieetwensen, allergieën)
  • Foto’s van evenement → toestemming vereist voor publicatie
  • Kortere bewaartermijn (data alleen nodig tot na evenement)

Datalekken in Horeca: Wat Te Doen?

Voorbeelden van datalekken:

  • Laptop met klantgegevens gestolen
  • Hack van reserveringssysteem
  • Onbevoegde werknemer bekijkt camera-beelden
  • USB-stick met allergieën-data verloren

Protocol bij datalek:

Stap 1: Beoordeel de ernst (onmiddellijk)

  • Hoeveel mensen getroffen?
  • Wat voor data (naam/adres vs. allergieën/medisch)?
  • Risico voor getroffen personen?

Stap 2: Beveilig (binnen uren)

  • Stop het lek (wijzig wachtwoorden, sluit systeem)
  • Verzamel feiten: wat, wanneer, hoe, wie

Stap 3: Melden bij GBA (binnen 72 uur) Als er een risico is voor betrokkenen, moet je dit melden via het GBA-portaal: gegevensbeschermingsautoriteit.be

Stap 4: Informeer getroffen personen (indien nodig) Bij hoog risico moet je ook de getroffen gasten informeren.

Stap 5: Documenteer Bewaar alle documentatie over het datalek (voor GBA-inspectie).

Hulp Nodig met GDPR voor Jouw Horecazaak?

AVG-compliance hoeft niet moeilijk te zijn, maar het vraagt wel aandacht. Als je niet zeker weet of je compliant bent, of als je liever een expert laat kijken, help ik je graag.

Als DPO en EADPP-gecertificeerd consultant heb ik ervaring met AVG-implementatie voor verschillende sectoren, inclusief horeca.

Wat ik kan doen:

  • ✅ Quick scan van je huidige situatie (30 min gratis consult)
  • ✅ Privacyverklaring opstellen specifiek voor horeca
  • ✅ Camera-beleid en signalisatie advies
  • ✅ AVG-register opstellen
  • ✅ Training voor je personeel
  • ✅ Volledige AVG-compliance audit

Interesse?

Veelgestelde Vragen

Q: Hoeveel kost AVG-compliance voor een gemiddeld restaurant? A: Eenmalige setup: €500-1.000 (privacyverklaring, processen, templates). Daarna: 1-2 uur/jaar voor onderhoud.

Q: Moet ik gasten informeren dat er camera’s zijn als het heel duidelijk is? A: Ja, signalisatie is verplicht. “Het is duidelijk” is geen juridisch argument.

Q: Mag ik foto’s van gasten op mijn Instagram zonder te vragen? A: Nee, tenzij ze niet herkenbaar zijn (gezichten geblurred). Anders: vraag toestemming.

Q: Hoelang mag ik facturen bewaren met gast-gegevens? A: 7 jaar (wettelijke bewaarplicht boekhoudwetgeving). Dit gaat vóór AVG.

Q: Wat als een gast vraagt om zijn reserveringsdata te verwijderen, maar ik moet de factuur bewaren? A: Anonimiseer de factuur: vervang naam door “Verwijderde klant #12345”. Bewaar wel het factuurnummer en bedrag.

Q: Moet ik een externe DPO aanstellen als restaurant? A: Nee, voor de meeste horeca is dit niet verplicht. Je moet wel iemand aanwijzen die verantwoordelijk is voor AVG-naleving.

Stijn Belmans
Stijn Belmans
https://stijnbelmans.be
Next Post
De 8 Privacy Rechten van Klanten: Praktische Handleiding voor KMO’s

Related Posts

Verwerkersovereenkomst GDPR
  • Stijn Belmans
  • Posted by Stijn Belmans
november 23, 2025
14 min read

Verwerkersovereenkomst: Wanneer Verplicht?

Leestijd: 5 minuten | Update: November 2025 Je gebruikt waarschijnlijk tientallen online tools voor...

Read More
Privacyrechten GDPR AVG
  • Stijn Belmans
  • Posted by Stijn Belmans
november 23, 2025
16 min read

De 8 Privacy Rechten van Klanten: Praktische Handleiding voor KMO's

Leestijd: 5 minuten | Update: November 2025 “Ik wil weten welke gegevens jullie van...

Read More

Leave a Reply

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Ik gebruik cookies uitsluitend voor anonieme verwerking. Cookies Policy