Tijdens het onderzoek naar functionaliteiten voor Carsu spraken wij met een garageeigenaar in Duitsland die jarenlang klantgegevens had verzameld — Namen, servicegeschiedenis, contactgegevens, voertuiginformatie. Alles wat nodig was om seizoensherinneringen te versturen, na reparaties contact op te nemen en klanten terug te laten komen. Maar zij verstuurde nooit een enkel bericht. De reden? Zij waren bang voor schending van de GDPR.
Dit gesprek bleef bij ons hangen, omdat het een probleem vastlegt dat we in de sector veel zien. Garageeigenaren weten dat GDPR bestaat. Ze weten dat boetes echt zijn. Maar zonder duidelijke richtlijnen over wat zij daadwerkelijk mogen doen, is de standaardreactie om niets te doen — en verlies je de voordelen van relatiebeheer die uit goed beheerde klantgegevens voortvloeien.
Deze gids is voor elke garage in die positie. Als u in de EU of UK opereert, bent u een verwerkingsverantwoordelijke onder de Algemene Verordening Gegevensbescherming (GDPR/AVG). U verwerkt persoonsgegevens wanneer een klant een service boekt, een voertuig afgeeft of een factuur betaalt. Dat brengt specifieke wettelijke verplichtingen met zich mee — maar deze nakomen is eenvoudiger dan de meeste garageeigenaren verwachten. En zoals u hieronder zult zien: het goed doen voorkomt niet alleen boetes, het maakt ook jut mogelijk om uw klanten op de juiste manier te bereiken.
Per maart 2026 hebben Europese privacyautoriteiten meer dan 2.700 boetes uitgedeeld met een totaal van meer dan 6 miljard euro. De meest voorkomende schending? Onvoldoende rechtswettige grondslag voor gegevensverwerking — precies het soort lacune die deze checklist helpt te dichten.
Voor een breder perspectief op waarom GDPR belangrijk is voor de automotive aftermarket, lees The GDPR Opportunity No One in the Automotive Aftermarket Is Talking About.
Welke rechtswettige grondslag moet een garage gebruiken voor het verwerken van klantgegevens?
Onder artikel 6 van de GDPR/AVG heeft u een geldige reden nodig — een "rechtswettige grondslag" — om iemands persoonsgegevens te verwerken. Voor onafhankelijke garages dekken drie van de zes beschikbare grondslagen vrijwel alles:
Contract. Wanneer een klant zijn auto voor onderhoud brengt, heeft u een contract — ook als het informeel is. U hebt hun naam, contactgegevens en voertuiggegevens nodig om het werk uit te voeren. Dat is uw rechtswettige grondslag voor kernservicegegevens. Geen toestemmingsformulier nodig.
Gerechtvaardigd belang. Een herinnering versturen dat winterbanden verschuldigd zijn of dat een serviceinterval aanstaat? Dat is waarschijnlijk in zowel uw belang als dat van de klant. Gerechtvaardigd belang kan dit dekken, mits het voordeel voor uw bedrijf de privacy van de klant niet overstijgt. Een seizoensgebonden bandenherinnering naar een bestaande klant is een redelijk gebruik. Klantgegevens delen met ongereleerde derden niet — dat faalt op meerdere GDPR-gronden, niet alleen de afwegingstoets.
Toestemming. Marketingmailtjes, promotieberichten, nieuwsbrieven — alles buiten de directe serviceverhouding vereist doorgaans expliciete, vrijelijk gegeven toestemming. Een duidelijke opt-in. Niet een vooringevuld vakje. Niet een bepaling begraven in kleine lettertypes. Voor extra zekerheid kunt u double opt-in gebruiken — de klant bevestigt zijn inschrijving via een vervolgbericht voordat hij marketing ontvangt. Dit is niet verplicht volgens de GDPR in de meeste landen, maar het levert schonere toestemmingsgegevens op en elimineert klachten praktisch volledig.
De meest voorkomende fout: alles als toestemmingsbasis behandelen, wat onnodige papierwerk en risico's oplevert. Heeft u een contractuele basis, gebruik die dan. Reserveer toestemming voor situaties die hier echt behoefte aan hebben.
Wat gebeurt er als een klant een gegevensverzoek indient?
Een klant stuurt een bericht met de vraag: "Welke gegevens heb je over mij?" Onder de GDPR/AVG is dit een verzoek om inzage in persoonsgegevens. U hebt één maand om te antwoorden met:
- Welke persoonsgegevens u heeft
- Waarom u deze verwerkt
- Met wie u deze heeft gedeeld
- Hoe lang u van plan bent deze te bewaren
- Waar de gegevens vandaan komen
- Of er sprake is van geautomatiseerde besluitvorming
Denk nu na over waar uw garage gegevens opslaat. Liggen deze allemaal in één systeem? Of zijn ze verspreid over uw DMS, WhatsApp, e-mail, een spreadsheet en papieren facturen in een lade?
Kunt u geen volledig beeld maken binnen een maand, dan hebt u een structureel probleem. Hetzelfde geldt voor verzoeken om verwijdering — u moet de gegevens van een klant in alle systemen waar deze zich bevindt wissen.
Garages die dit goed aanpakken, zijn degenen met één centraal gegevenssysteem — één platform waar alle klantgegevens opgeslagen zijn, doorzoekbaar en exporteerbaar.
De GDPR-checklist: zeven stappen die elke garage moet nemen
1. Maak een gegevensinventaris. Kaart welke persoonsgegevens u heeft, waar deze opgeslagen zijn en waarom. Een eenvoudige spreadsheet met gegevenstypes, opslaglocaties, rechtswettige grondslag en bewaartermijnen is voldoende. Maar deze moet schriftelijk bestaan.
2. Publiceer een privacyverklaring. Vertel klanten wat u met hun gegevens doet. Een gedrukte mededeling in uw receptie, een pagina op uw website, of allebei. Duidelijke taal: wat u verzamelt, waarom, met wie u het deelt, hoe lang u het bewaart en hoe zij hun rechten kunnen uitoefenen.
3. Bewaar toestemmingsgegevens. Voor verwerking op basis van toestemming (marketing, nieuwsbrieven) bewaart u gegevens van wanneer en hoe toestemming werd gegeven. "Ze gaven mij hun e-mailadres" is geen toestemmingsgegevens. Een met tijdstempel voorziene opt-in is dat wel.
4. Stel een gegevensbewaarbeleid in. Bewaar gegevens niet voor altijd. Bepaal hoelang u records bewaart nadat de laatste serviceinspectie is geweest — drie jaar is gebruikelijk voor voertuigservicegegevens, maar bewaartermijnen hangen af van nationale vervoeringverjaring, die per land verschilt. Controleer uw lokale vereisten. Na de bewaartermijn verwijdert u of anonimiseert u gegevens.
5. Stel verwerkersovereenkomsten op. Elke cloudservice of derde partijplatform die uw klantgegevens verwerkt, is een verwerker. U hebt een verwerkingsovereenkomst (DPA) met elk nodig. De meeste gerenommeerde SaaS-providers nemen dit op in hun voorwaarden — maar controleer of de DPA de specifieke verwerkingsactiviteiten dekt die u het hulpmiddel voor gebruikt, niet alleen de standaardvoorwaarden.
6. Maak een inbreukresponsplan. Wanneer klantgegevens worden gecompromitteerd, hebt u 72 uur om dit te rapporteren aan uw toezichthoudende autoriteit. Stel een plan op voordat u het nodig hebt: met wie u contact opneemt, wat u documenternt en hoe u betrokken klanten informeert.
7. Bouw personeelsbewustzijn op. Iedereen die klantgegevens aanraakt, moet de grondbeginselen begrijpen. Serviceadviseurs moeten weten dat zij klantgegevens niet in open WhatsApp-groepen mogen delen. Administratief personeel moet weten hoe zij een gegevensverzoek herkennen en afhandelen. Een 30-minuten rondleiding eenmaal per jaar helpt enorm.
Wie is verantwoordelijk in Nederland?
Binnen de EU varieert handhaving per land. De Franse CNIL is agressief op cookies. De Italiaanse Garante heeft specifieke personeelsgegevensvereisten. De Spaanse AEPD heeft meer dan 1.000 boetes uitgedeeld — meer dan enig ander EU-autoriteit. Dezelfde regelgeving, verschillende handhavingsculturen. Houd hier rekening mee als u over grenzen uitbreidt.
Hoe Carsu GDPR voor garages afhandelt
Bij Carsu is GDPR-beheer ingebouwd in het garagebedrijfsplatform — niet als compliancetoevoeging, maar als de gegevensgovernancelaag die alles anders goed laat werken.
Hoe dat in de praktijk werkt: ingebouwd retentiebeleid, geautomatiseerde toestemmingstracking, verwerkingsovereenkomsten als standaard, en de mogelijkheid om op een gegevensverzoek van een klant te antwoorden met één export, in plaats van vijf systemen door te zoeken. Wanneer een klant vraagt "welke gegevens heb je over mij?" — het is één klik, niet een week graven door WhatsApp-berichten, spreadsheets en papieren bestanden.
Het compliancevoordeel is een neveneffect van het hebben van schone, gestructureerde, goed beheerde klantgegevens — één boekingsstroom in plaats van drie kanalen, één retentiebeleid in plaats van verspreid beleid over hulpmiddelen, één doorzoekbare klantrecord in plaats van fragmenten op vijf plaatsen.
Wilt u zien hoe dat werkt, neem dan contact met ons op.
Praktische AVG-checklist voor Nederlandse garages
Onderstaande checklist vertaalt de AVG-verplichtingen uit de tekst naar concrete acties die een Nederlandse garage vandaag kan nemen. Focus: veilig klantgegevens gebruiken voor serviceherinneringen, opvolging en marketing — zonder onnodige angst voor boetes.
1. Kies de juiste juridische grondslag per type verwerking
Maak een korte tabel (in een spreadsheet of notitie) met drie kolommen: soort gegevens, doel, juridische grondslag.
Gebruik in de praktijk meestal:
- Contract
- Voorbeelden: naam, contactgegevens, kenteken, VIN, onderhoudshistorie, factuurgegevens.
- Doelen: afspraken plannen, reparaties uitvoeren, factureren, garantie-afhandeling.
- Actie: geen extra toestemmingsvakjes nodig; verwijs in uw privacyverklaring naar deze contractuele noodzaak.
- Gerechtvaardigd belang
- Voorbeelden: seizoensherinneringen (winter-/zomerbanden), APK-herinneringen, service-interval reminders aan bestaande klanten.
- Actie: leg vast dat u een belangenafweging hebt gemaakt (korte notitie volstaat: belang klantveiligheid, voertuigonderhoud, redelijke verwachting van klant). Bied altijd een eenvoudige afmeldmogelijkheid.
- Toestemming
- Voorbeelden: algemene marketingnieuwsbrief, promoties, acties die niet direct gekoppeld zijn aan een concrete werkorder.
- Actie: gebruik een duidelijke opt-in (geen voorgevinkte vakjes). Bewaar bewijs (datum, kanaal, tekst bij de opt-in). Overweeg dubbele opt-in voor e-mail.
Valkuil om te vermijden: niet alles onder toestemming schuiven. Gebruik contract voor kernservice en gerechtvaardigd belang voor redelijke servicegerelateerde herinneringen.
2. Maak een eenvoudige gegevensinventaris
Open een spreadsheet en maak minimaal deze kolommen:
- Gegevenstype (bijv. naam, telefoonnummer, kenteken, onderhoudshistorie)