Horeca klantdata verzamelen AVG: gids 2026
Klantdata verzamelen in de horeca is gedefinieerd als het registreren van persoonsgegevens van gasten voor een specifiek, legitiem doel, met naleving van de Algemene Verordening Gegevensbescherming (AVG). Denk aan reserveringsgegevens, contactinformatie, dieetwensen en betalingshistorie. Systemen als OpenTable, GuestPlan en Resengo verwerken dagelijks zulke gegevens voor duizenden horecabedrijven. De AVG stelt duidelijke eisen: je verzamelt alleen wat nodig is, slaat het veilig op en verwijdert het na de wettelijke termijn. Deze gids legt stap voor stap uit hoe je dat in 2026 correct aanpakt.
Welke klantgegevens mag je verzamelen en op welke grondslag?
De AVG onderscheidt gewone persoonsgegevens en bijzondere persoonsgegevens. Gewone gegevens zijn naam, e-mailadres, telefoonnummer en reserveringsdetails. Bijzondere gegevens vereisen extra bescherming.
Dieetwensen vallen onder bijzondere persoonsgegevens omdat ze gezondheidsdata bevatten. Je mag ze alleen verwerken met expliciete toestemming van de gast, en het invulveld moet altijd optioneel zijn. Dit geldt ook voor allergieën en religieuze voedingsvoorschriften.
Voor gewone persoonsgegevens gelden vier wettelijke grondslagen die je als horecaondernemer het vaakst gebruikt:
- Toestemming: de gast geeft actief aan akkoord te gaan, bijvoorbeeld bij inschrijving op een nieuwsbrief.
- Uitvoering van een overeenkomst: je hebt de naam en het telefoonnummer nodig om een reservering te bevestigen.
- Wettelijke verplichting: factuurgegevens bewaar je zeven jaar voor de Belastingdienst.
- Gerechtvaardigd belang: je stuurt een eenmalige tevredenheidsmail na een bezoek, mits de gast dit redelijkerwijs verwacht.
Dataminimalisatie is de kern van de AVG. Je verzamelt alleen wat je écht nodig hebt voor het opgegeven doel. Vraag je een geboortedatum bij een reservering? Dan moet je kunnen uitleggen waarom dat noodzakelijk is. Kun je dat niet, dan mag je het niet vragen.
Pro-tip: Maak in je reserveringsformulier een duidelijk onderscheid tussen verplichte velden (naam, telefoonnummer) en optionele velden (dieetwensen, speciale verzoeken). Zo voldoe je direct aan de eisen voor bijzondere persoonsgegevens zonder extra aanpassingen achteraf.
Hoe lang bewaar je horeca klantdata avg-proof?
Bewaartermijnen zijn de meest gemaakte fout in de horeca. Veel horecawebsites bewaren reserveringsdata onbeperkt, wat een directe overtreding van de AVG is. De Autoriteit Persoonsgegevens kan hiervoor boetes opleggen.
De regels zijn concreet en toepasbaar:
| Soort data | Bewaartermijn | Grondslag |
|---|---|---|
| Reserveringsgegevens zonder factuur | Tot bezoek + 30 dagen | Overeenkomst |
| Reserveringsgegevens met factuur | 7 jaar | Wettelijke verplichting |
| Dieetwensen en allergieën | Tot bezoek + 30 dagen | Toestemming |
| No-show administratie | Maximaal 1 jaar | Gerechtvaardigd belang |
| Camerabeelden | Maximaal 4 weken | Gerechtvaardigd belang |
Reserveringsgegevens zonder factuur bewaar je tot bezoek plus 30 dagen. Zodra er een factuur is, geldt de fiscale bewaartermijn van zeven jaar. Dit onderscheid is cruciaal voor je dagelijkse processen.
Splits je data in twee categorieën: operationele data en fiscale data. Operationele data, zoals namen en telefoonnummers voor reserveringen, verwijder je na 30 dagen. Fiscale data, zoals factuurgegevens, bewaar je zeven jaar in een afgeschermd systeem. Systemen als OpenTable, GuestPlan en Resengo bieden instellingen voor automatische verwijdering. Gebruik die actief.
Pro-tip: Stel in je reserveringssysteem een automatische verwijderingstaak in voor 31 dagen na het bezoek. Koppel dit aan je kassasysteem zodat factuurdata automatisch wordt overgezet naar een fiscaal archief. Zo hoef je nooit handmatig te controleren.
Welke documenten moet je bijhouden voor avg-compliance?
AVG-compliance in de horeca draait niet alleen om wat je doet, maar ook om wat je vastlegt. Vier documenten zijn verplicht of sterk aanbevolen.
-
Verwerkingsregister: Artikel 30 van de AVG verplicht horecabedrijven die structureel persoonsgegevens verwerken een verwerkingsregister bij te houden. Dit register bevat reserveringen, personeelsgegevens, camerabeelden, wifi-gebruik en bezorgplatforms. KHN (Koninklijke Horeca Nederland) biedt modeldocumenten aan die je direct kunt invullen.
-
Privacyverklaring: Sinds 2026 is een privacyverklaring verplicht voor alle digitale contactmomenten. De verklaring moet het doel van de verwerking, de bewaartermijnen en de betrokken derde partijen benoemen. Plaats hem op je website en in elk digitaal formulier.
-
Verwerkersovereenkomsten: Werk je met OpenTable, Thuisbezorgd, Deliveroo of een ander extern platform? Dan ben jij de verwerkingsverantwoordelijke en zijn zij de verwerker. Je bent verplicht een verwerkersovereenkomst te sluiten. Zonder overeenkomst riskeer je boetes, ook als het platform zelf de fout maakt.
-
Procedure voor klantrechten: Gasten hebben het recht op inzage, correctie en verwijdering van hun gegevens. Leg vast hoe je deze verzoeken behandelt en binnen welke termijn (maximaal één maand). Wijs één contactpersoon aan die deze verzoeken afhandelt.
-
Datalekkenregister: Elk datalek moet je intern registreren. Lekken met een hoog risico voor betrokkenen meld je binnen 72 uur bij de Autoriteit Persoonsgegevens. Stel een intern protocol op zodat medewerkers weten wanneer en hoe ze een lek melden.
Een verwerkingsregister klinkt bureaucratisch, maar het is ook een praktisch overzicht van alle systemen die jouw klantdata verwerken. Dat overzicht helpt je bij audits, bij het wisselen van leveranciers en bij het snel reageren op klantverzoeken.
Welke systemen helpen bij veilig data verzamelen in de horeca?
De juiste technologie maakt AVG-compliance aanzienlijk eenvoudiger. Eén centraal systeem is beter dan meerdere losse tools.
Centrale klantdata beheren via één kassasysteem voorkomt data-eilanden en vereenvoudigt verwijder- en exportverzoeken. Juka.Retail is een voorbeeld van een kassasysteem dat klantbeheer, reserveringen en facturatie integreert. Zo heb je altijd één overzicht en hoef je niet in drie systemen te zoeken als een gast zijn gegevens wil laten verwijderen.
Aandachtspunten bij het kiezen van systemen:
- Verwerkersovereenkomst aanwezig: Controleer altijd of de leverancier een verwerkersovereenkomst aanbiedt. Zonder overeenkomst mag je het systeem niet gebruiken voor klantdata.
- Data binnen de EU: Sla klantdata op servers binnen de Europese Unie op. Data buiten de EU vereist aanvullende waarborgen die voor de meeste horecabedrijven te complex zijn.
- Automatische verwijdering: Kies systemen met instelbare bewaartermijnen en automatische verwijdering.
- Toegangsbeheer: Beperk wie toegang heeft tot klantdata. Niet elke medewerker hoeft alle gegevens te zien.
AI-toepassingen zijn toegestaan onder de AVG mits de grondslag, doelbinding, privacyverklaring en verwerkersovereenkomsten correct zijn geregeld. Wil je AI gebruiken voor persoonlijke aanbevelingen of marketingautomatisering? Zorg dan dat de data binnen de EU blijft en dat je een verwerkersovereenkomst hebt met de AI-leverancier.
Pas ook op met tools die je misschien niet als dataverzameling beschouwt. Google Maps op je website verwerkt automatisch IP-adressen, wat een persoonsgegeven is onder de AVG. Zonder voorafgaande toestemming van de bezoeker is dit een overtreding. Gebruik een cookiebanner die Google Maps pas laadt na expliciete toestemming.
Pro-tip: Maak een lijst van alle tools en platforms die je gebruikt, van je kassasysteem tot je wifi-provider. Controleer voor elk of je een verwerkersovereenkomst hebt. Ontbreekt die, neem dan contact op met de leverancier of zoek een alternatief dat wel AVG-conform is.
Belangrijkste inzichten
AVG-compliant klantdata verzamelen in de horeca vereist een combinatie van de juiste grondslag, strikte bewaartermijnen, verplichte documentatie en gecentraliseerde systemen.
| Punt | Details |
|---|---|
| Grondslag bepalen | Kies per type data de juiste AVG-grondslag: toestemming, overeenkomst, wettelijke verplichting of gerechtvaardigd belang. |
| Bewaartermijnen handhaven | Verwijder reserveringsdata na 30 dagen; bewaar factuurdata zeven jaar in een afgeschermd fiscaal archief. |
| Dieetwensen apart behandelen | Dieetwensen zijn bijzondere persoonsgegevens en vereisen expliciete toestemming en een optioneel invulveld. |
| Documentatie op orde | Stel een verwerkingsregister, privacyverklaring en verwerkersovereenkomsten op voor alle externe platforms. |
| Centrale systemen gebruiken | Eén geïntegreerd kassasysteem voorkomt data-eilanden en vereenvoudigt verwijder- en exportverzoeken. |
Transparantie werkt beter dan angst voor de AVG
Ik zie bij veel horecaondernemers twee reacties op de AVG: paniek of ontkenning. Beide zijn begrijpelijk, maar geen van beide helpt je verder.
De meest voorkomende valkuil die ik tegenkom is niet het bewust overtreden van regels. Het is het onbewust bewaren van data die allang verwijderd had moeten zijn. Een reserveringssysteem dat jaren aan klantgegevens opslaat zonder dat iemand er naar kijkt. Een Excel-bestand met no-show klanten dat ergens op een gedeelde schijf staat. Dat zijn de echte risico's.
Wat ik heb geleerd: transparantie naar gasten werkt beter dan je denkt. Vertel mensen wat je met hun data doet en waarom. Gasten die begrijpen dat je hun dieetwensen bijhoudt om hen beter te bedienen, geven die toestemming graag. Het gaat mis als je data verzamelt zonder duidelijk doel of zonder dat gasten het weten.
Moderne tools maken compliance eenvoudiger dan vijf jaar geleden. Qrivy is een goed voorbeeld: cookieloze tracking via QR-codes geeft je inzicht in klantgedrag zonder dat je persoonlijke gegevens hoeft op te slaan. Dat is de richting waar de sector naartoe beweegt. Minder data, meer inzicht.
Mijn advies: begin klein. Maak dit week een lijst van alle systemen die klantdata verwerken. Controleer of je voor elk een verwerkersovereenkomst hebt. Stel automatische verwijdering in waar dat kan. Die drie stappen brengen je al een heel eind.
— Pybot
Verzamel klantdata veilig met Qrivy
Wil je klantdata verzamelen zonder gedoe met cookies of complexe privacyinstellingen? Qrivy biedt cookieloze, AVG-proof tracking via dynamische QR-codes. Je ziet precies hoe, wanneer en waar gasten je QR-codes scannen, zonder persoonlijke gegevens op te slaan.
Gebruik Qrivy om je menukaart, allergeneninformatie of marketingcampagnes meetbaar te maken. Koppel een QR-code aan je website voor directe klantinteractie, of gebruik een QR-code op verpakking voor afhaal- en bezorgbestellingen. Verander je doel-URL wanneer je wilt, zonder nieuw drukwerk. Begin vandaag gratis op qrivy.app.
Veelgestelde vragen
Welke klantdata mag een horecabedrijf verzamelen?
Een horecabedrijf mag naam, contactgegevens en reserveringsdetails verzamelen op basis van een overeenkomst. Dieetwensen en allergieën zijn bijzondere persoonsgegevens en vereisen expliciete toestemming.
Hoe lang mag je reserveringsgegevens bewaren?
Reserveringsgegevens zonder factuur bewaar je tot het bezoek plus 30 dagen. Zijn er factuurgegevens aan gekoppeld, dan geldt een fiscale bewaartermijn van zeven jaar.
Is een privacyverklaring verplicht voor horecawebsites?
Ja. Sinds 2026 is een privacyverklaring verplicht voor alle digitale contactmomenten, inclusief reserveringsformulieren. De verklaring moet doel, bewaartermijnen en derde partijen benoemen.
Moet je een verwerkersovereenkomst sluiten met OpenTable of thuisbezorgd?
Ja. Elk extern platform dat klantdata voor jou verwerkt, vereist een verwerkersovereenkomst. Zonder overeenkomst ben jij als verwerkingsverantwoordelijke aansprakelijk voor overtredingen.
Mag je AI gebruiken voor klantdata in de horeca?
AI-toepassingen zijn toegestaan onder de AVG mits de grondslag en doelbinding duidelijk zijn, data binnen de EU blijft en je een verwerkersovereenkomst hebt met de AI-leverancier.
Ontdek alle gidsen & inzichten op de VySaaS-blog.