AVG voor beauty salons: welke klantgegevens mag je bewaren, en hoe lang?
Een gemiddelde salon verwerkt meer persoonsgegevens dan de eigenaar zich realiseert: naam, adres, telefoon, e-mail, behandelhistorie, betaalgegevens, soms voor- en na-foto's, en bij huidbehandelingen of injectables ook gezondheidsgegevens zoals allergieën, medicatie en zwangerschap. De AVG (de Nederlandse uitvoering van de Europese GDPR) geldt voor élke salon - ook de eenmanszaak met een schrift vol klantnummers. Boetes voor kleine ondernemers zijn zeldzaam, maar een klacht bij de Autoriteit Persoonsgegevens, een boze ex-klant die zijn gegevens opvraagt, of een datalek (een gestolen laptop, een verkeerd verstuurde mailing) is realistischer dan je denkt - en kost je dan veel meer tijd dan het vooraf goed regelen. Deze gids vertaalt de AVG naar wat een salon concreet moet doen: welke gegevens je mag bewaren, hoe lang, wanneer je toestemming nodig hebt en wanneer niet, en hoe je gezondheidsnotities veilig opslaat. Geen juridisch jargon - praktijk, bewaartermijnen en voorbeeldteksten. (Dit is geen juridisch advies; bij specifieke twijfel raadpleeg je een privacyjurist of de informatie van de Autoriteit Persoonsgegevens.)
Welke klantgegevens mag een salon bewaren?
De AVG draait om twee principes: je hebt een geldige grondslag nodig om gegevens te verwerken, en je verwerkt niet meer dan nodig (dataminimalisatie). Voor een salon is de grondslag voor de meeste gegevens simpel: "uitvoering van de overeenkomst" - je kunt geen afspraak inplannen, behandeling uitvoeren of factuur sturen zonder naam, contactgegevens en behandelhistorie. Dat is dus toegestaan zonder aparte toestemming. Concreet mag je standaard bewaren: naam, adres, telefoonnummer, e-mailadres, geboortedatum (voor verjaardagsacties of leeftijdscontrole bij bepaalde behandelingen), behandelhistorie, gemaakte afspraken, no-show-historie, betaal- en factuurgegevens, en interne notities die relevant zijn voor de behandeling ("klant wil altijd dezelfde stylist", "vorige keer kleur te donker"). Wat je niet zomaar mag: een kopie van een identiteitsbewijs, het BSN, of gegevens die niets met de behandeling te maken hebben. Vuistregel: als je een gegeven niet kunt uitleggen vanuit "dit heb ik nodig om deze klant goed te behandelen of correct te factureren", verwijder het of vraag er expliciet toestemming voor. In Salonnare staat alleen wat een salon daadwerkelijk nodig heeft in het standaard klantprofiel; alles daarbuiten is een bewuste keuze.
Bijzondere persoonsgegevens: allergieën, medicatie, huidaandoeningen, zwangerschap
Hier wordt het serieus. Gegevens over iemands gezondheid zijn "bijzondere persoonsgegevens" (Artikel 9 AVG) en die mag je in principe niet verwerken - tenzij je uitdrukkelijke toestemming van de klant hebt. Voor schoonheidssalons, huidtherapeuten, en iedereen die met chemische producten, naalden, lasers of injectables werkt, is dit geen randgeval: een allergie voor een ingrediënt, het gebruik van bloedverdunners, een huidaandoening of een zwangerschap zijn behandelrelevant én gezondheidsgegevens. Wat je moet regelen: (1) vraag uitdrukkelijke toestemming voordat je deze gegevens noteert - bij voorkeur via een vinkje of handtekening op een intakeformulier waarin staat waarvoor je ze gebruikt; (2) bewaar ze gescheiden van de gewone klantgegevens, niet als losse opmerking in een algemeen notitieveld; (3) beperk wie ze kan zien tot de medewerkers die de behandeling uitvoeren; (4) bewaar ze zo kort mogelijk en verwijder ze als de klant niet meer komt; (5) zorg dat de klant de toestemming kan intrekken. Salonnare heeft hiervoor een aparte versleutelde "health-vault": gezondheidsnotities staan AES-256-versleuteld, los van `clients.notes`, met een toegangslog, een toestemmingsregistratie per klant, en een automatische verwijdertermijn. Een gewone "notitie bij de klant" is daar nadrukkelijk niet de juiste plek voor.
Hoe lang mag je klantgegevens bewaren?
De AVG noemt geen vaste termijnen - de regel is "niet langer dan noodzakelijk". In de praktijk hanteer je verschillende termijnen per soort gegeven. Voor een actieve klant: zolang de klantrelatie loopt. Voor een klant die niet meer komt: een redelijke termijn - de Autoriteit Persoonsgegevens noemt voor klantadministratie vaak 2 jaar na het laatste contact als richtlijn; veel salons kiezen voor 1 tot 2 jaar en sturen daarvoor nog een "we missen je"-mail. Voor facturen en betaalgegevens geldt een wettelijke bewaarplicht van 7 jaar (fiscale administratie) - die mág en moet je dus langer bewaren dan de rest, maar gebruik ze in die periode alleen nog voor de boekhouding, niet voor marketing. Voor gezondheidsnotities: zo kort mogelijk, en sowieso verwijderen zodra de klant niet meer komt. Voor toestemming voor marketing (mailinglijst): tot de klant zich uitschrijft. Voor voor- en na-foto's: tot de klant de toestemming intrekt, en niet langer dan nodig voor het doel waarvoor je ze maakte. Praktisch: zet één keer per jaar een herinnering om je klantenbestand op te schonen - inactieve klanten anonimiseren of verwijderen, oude gezondheidsnotities wissen. Salonnare doet dat deels automatisch: de health-vault heeft een retentiejob die verlopen gezondheidsnotities na een ingestelde termijn opruimt.
Toestemming: wanneer heb je het nodig, en hoe leg je het vast?
Een veelgemaakte fout is denken dat je voor álles toestemming nodig hebt - en een tweede fout is denken dat je nóóit toestemming nodig hebt. De waarheid zit ertussen. Je hebt géén aparte toestemming nodig voor: het inplannen van afspraken, het sturen van afspraakbevestigingen en -herinneringen, het bijhouden van behandelhistorie, en het versturen van een factuur. Dat valt allemaal onder "uitvoering van de overeenkomst". Je hebt wél uitdrukkelijke toestemming nodig voor: het noteren van gezondheidsgegevens, het maken en bewaren van voor/na-foto's, het gebruiken van foto's op je website of social media (met herkenbare klant), en het versturen van marketing-mailings of een nieuwsbrief. Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn - dus geen vooraf aangevinkt vakje, geen "door te boeken ga je akkoord met al onze mailings", en de klant moet het net zo makkelijk kunnen intrekken als geven. Hoe leg je het vast: een intakeformulier (papier of digitaal) met aparte vinkjes per doel, of een dubbele opt-in voor je nieuwsbrief. Bewaar wat de klant heeft aangevinkt, wanneer, en de versie van de tekst. Salonnare logt toestemming voor gezondheidsnotities met tijdstempel en bewaart de consent-events, zodat je bij een vraag of klacht kunt aantonen wat de klant precies heeft toegestaan.
Verwerkersovereenkomst, sub-processors en datalekken
Zodra je software gebruikt waarin klantgegevens staan - een boekingssysteem, een e-mailtool voor je nieuwsbrief, een betaalprovider, een boekhoudpakket - geef je gegevens door aan een "verwerker", en dan heb je een verwerkersovereenkomst (DPA) nodig waarin staat wat die partij wel en niet met de data mag doen. Een fatsoenlijke leverancier heeft die standaard klaarliggen; vraag erom als je hem niet kunt vinden. Datzelfde geldt voor de partijen die jóuw leverancier weer inschakelt (sub-processors: hosting, e-mailbezorging, SMS) - die horen op een lijst te staan die je kunt inzien. Dan datalekken: als persoonsgegevens in verkeerde handen (kunnen) komen - een gestolen of verloren laptop/telefoon zonder versleuteling, een mailing per ongeluk met alle adressen in het CC-veld, een gehackt account, een map met intakeformulieren die uit je auto verdwijnt - is dat een datalek. Bij risico voor de betrokkenen moet je het binnen 72 uur melden bij de Autoriteit Persoonsgegevens, en bij hoog risico ook de klanten zelf informeren. Hou daarom een kort "datalekregister" bij (wat, wanneer, wat gedaan), gebruik schermvergrendeling en versleuteling op apparaten, en stuur mailings via bcc of een echte mailtool. Salonnare versleutelt gevoelige data, logt toegang tot de health-vault, en levert standaard een verwerkersovereenkomst plus een actuele sub-processor-lijst - dat scheelt je het belangrijkste papierwerk.
Rechten van je klanten: inzage, correctie en verwijdering
Je klanten hebben rechten waar je op moet kunnen reageren - meestal binnen een maand. De drie die je in een salon het vaakst tegenkomt: (1) Inzage - de klant mag vragen welke gegevens je over hem hebt en waarvoor je ze gebruikt. Je geeft dan een overzicht: profielgegevens, afspraken, behandelhistorie, eventuele gezondheidsnotities, facturen, en welke toestemmingen er zijn gegeven. (2) Correctie - kloppen gegevens niet, dan pas je ze aan. (3) Verwijdering ("recht op vergetelheid") - de klant mag vragen om verwijdering, en die moet je in principe honoreren, behalve voor gegevens die je wettelijk moet bewaren (facturen: 7 jaar) - daarvoor leg je uit dat je die rij niet wist maar wel het verdere gebruik stopt en de rest verwijdert. Daarnaast bestaat het recht op dataportabiliteit (gegevens meekrijgen in een leesbaar formaat) en het recht om bezwaar te maken tegen marketing - dat laatste regel je gewoon met een werkende uitschrijflink. Praktisch: spreek af wie in je salon dit soort verzoeken afhandelt, en hoe. Salonnare heeft een ingebouwde GDPR-export die op verzoek alle gegevens van een klant in één bestand zet (profiel, afspraken, behandelingen, facturen, gezondheidsnotities, consent-historie), zodat een inzageverzoek geen halve dag uitzoekwerk is.
Praktische AVG-checklist voor je salon
Tien dingen die je deze week kunt afvinken: (1) Inventariseer welke klantgegevens je verzamelt en waarom - schrap wat je niet nodig hebt. (2) Zet gezondheidsnotities (allergie, medicatie, huid, zwangerschap) apart van gewone notities, met uitdrukkelijke toestemming en beperkte toegang. (3) Maak een intakeformulier met aparte vinkjes per doel (behandeling, gezondheidsgegevens, foto's, nieuwsbrief). (4) Stel bewaartermijnen vast: actieve klant = lopend, inactief = 1-2 jaar, facturen = 7 jaar, gezondheidsnotities = zo kort mogelijk. (5) Zet één keer per jaar een herinnering om je klantenbestand op te schonen. (6) Vraag verwerkersovereenkomsten op bij je boekingssysteem, mailtool, betaalprovider en boekhouder. (7) Zorg dat al je apparaten een schermvergrendeling en schijfversleuteling hebben. (8) Stuur mailings via bcc of een echte mailtool met uitschrijflink, nooit met adressen in CC. (9) Maak een kort plan voor datalekken: wie melt, binnen 72 uur, bij de AP. (10) Spreek af wie inzage- en verwijderverzoeken afhandelt. Een goed boekingssysteem doet de helft van deze lijst voor je - versleuteling, gescheiden opslag van gezondheidsgegevens, consent-logging, GDPR-export, een verwerkersovereenkomst. De andere helft is gewoon een middag werk en daarna één keer per jaar bijhouden.
Salonnare regelt de AVG-techniek voor je
Versleutelde health-vault voor gezondheidsnotities, toestemmingsregistratie, GDPR-export per klant, ingebouwde bewaartermijnen, en een verwerkersovereenkomst plus sub-processor-lijst standaard inbegrepen. Jij doet de intakeformulieren en de jaarlijkse opschoonronde; Salonnare doet de rest.
Probeer Salonnare gratisVeelgestelde vragen over de AVG voor salons
Geldt de AVG ook voor een kleine eenmanszaak-salon?
Ja. De AVG kent geen ondergrens qua omvang - of je nu één stoel hebt of tien filialen, je verwerkt persoonsgegevens en dus geldt de wet. Wat wél schaalt is hoe streng het toezicht is en hoeveel je moet documenteren: een kleine salon hoeft geen functionaris gegevensbescherming aan te stellen en geen uitgebreid verwerkingsregister bij te houden, maar de basis (geldige grondslag, dataminimalisatie, beveiliging, klantrechten, gezondheidsgegevens apart en met toestemming) geldt voor iedereen.
Moet ik een functionaris gegevensbescherming (FG) aanstellen?
Vrijwel zeker niet. Een FG is verplicht voor overheden en voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken of mensen stelselmatig monitoren. Een gewone salon valt daar niet onder, ook niet als je gezondheidsnotities bijhoudt - "grote schaal" betekent iets als een ziekenhuis of een verzekeraar, niet een salon met een paar honderd klanten. Wel handig: wijs intern één persoon aan die de AVG-zaken in de gaten houdt.
Mag ik voor- en na-foto's van klanten op Instagram zetten?
Alleen met toestemming van de klant, en die toestemming moet specifiek zijn voor dat doel. "Mag ik een foto maken voor in je dossier" is iets anders dan "mag ik deze foto op Instagram en mijn website plaatsen". Vraag het apart, leg vast wat de klant heeft toegestaan, en respecteer het als iemand de toestemming later intrekt (foto offline halen). Bij herkenbare minderjarigen heb je toestemming van de ouders nodig. Anonieme close-ups zonder gezicht zijn een veiliger keuze voor je feed.
Hoe lang moet ik facturen van klanten bewaren?
Zeven jaar - dat is de fiscale bewaarplicht voor je administratie, en die gaat boven het AVG-principe van "zo kort mogelijk". In die zeven jaar gebruik je die gegevens alleen nog voor de boekhouding en de Belastingdienst, niet meer voor marketing of klantcontact. Na zeven jaar verwijder of anonimiseer je ze. Andere klantgegevens (profiel, behandelhistorie) hoef je niet zo lang te bewaren - daar geldt een veel kortere, "redelijke" termijn van doorgaans 1 tot 2 jaar na het laatste bezoek.
Wat moet ik doen als er een datalek is?
Beoordeel eerst het risico voor de klanten. Is er kans op schade (identiteitsfraude, blootstelling van gevoelige gegevens, reputatieschade), dan meld je het binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens via hun online meldformulier. Bij hoog risico informeer je ook de getroffen klanten zelf, in begrijpelijke taal. Documenteer altijd wat er is gebeurd, wanneer, welke gegevens het betrof en welke maatregelen je hebt genomen - ook als je besluit dat melden niet nodig is. Versleuteling helpt enorm: gegevens op een gestolen apparaat dat goed versleuteld is, vormen meestal geen meldingsplichtig datalek.