GDPR en selfstorage: praktische checklist voor exploitanten

Als selfstorage exploitant verwerk je dagelijks persoonsgegevens: namen, adressen, e-mailadressen, betaalgegevens, toegangslogboeken en soms zelfs camerabeelden. De Algemene Verordening Gegevensbescherming (AVG/GDPR) stelt strenge eisen aan hoe je met deze gegevens omgaat. In de praktijk blijkt dat veel exploitanten onvoldoende op de hoogte zijn van hun verplichtingen. In dit artikel bieden we een concrete, praktische checklist waarmee je jouw selfstorage bedrijf GDPR-compliant maakt.

Welke persoonsgegevens verwerk je als selfstorage exploitant?

Voordat je kunt beoordelen of je compliant bent, moet je weten welke persoonsgegevens je verwerkt. Bij een selfstorage bedrijf gaat het typisch om:

• Klantgegevens – Naam, adres, telefoonnummer, e-mailadres, geboortedatum, kopie legitimatiebewijs.
• Financiële gegevens – IBAN, betaalhistorie, openstaande facturen, creditcard-informatie.
• Contractgegevens – Huurcontracten met persoonlijke informatie, ondertekening, contractduur.
• Toegangsgegevens – Logboeken van wie wanneer welke deur heeft geopend, pincodes, NFC-tag identifiers.
• Camerabeelden – Beveiligingsbeelden waarop personen herkenbaar zijn, inclusief kentekens op parkeerterreinen.
• Communicatiegegevens – E-mailcorrespondentie, chatberichten, telefoonnotities.

Dit is meer data dan de meeste exploitanten zich realiseren. En al deze data valt onder de GDPR.

Checklist: de basisvereisten

Gebruik de volgende checklist om te controleren of je aan de belangrijkste GDPR-vereisten voldoet:

Verwerkingsregister

Je bent verplicht om een register bij te houden van alle verwerkingsactiviteiten. Dit register beschrijft welke persoonsgegevens je verwerkt, voor welk doel, op welke juridische grondslag, hoelang je de gegevens bewaart en met wie je ze deelt. Een verwerkingsregister hoeft niet ingewikkeld te zijn – een goed gestructureerd spreadsheet volstaat – maar het moet er wel zijn.

Privacyverklaring

Op je website en in je huurcontracten moet een duidelijke privacyverklaring staan die beschrijft welke gegevens je verzamelt, waarom, en wat de rechten van de betrokkene zijn. Gebruik begrijpelijke taal, geen juridisch jargon.

Verwerkersovereenkomsten

Elke partij die namens jou persoonsgegevens verwerkt – je softwareleverancier, je hostingprovider, je mailingdienst – is een "verwerker" in GDPR-termen. Met elke verwerker moet je een verwerkersovereenkomst afsluiten die vastlegt hoe zij met de gegevens omgaan.

Bewaartermijnen

Je mag persoonsgegevens niet langer bewaren dan noodzakelijk. Stel concrete bewaartermijnen in: klantgegevens na contractbeëindiging, camerabeelden (maximaal 4 weken is de richtlijn), toegangslogboeken, enzovoort. En zorg ervoor dat de gegevens daadwerkelijk worden verwijderd na het verstrijken van de termijn.

Camerabewaking en GDPR

Camerabewaking is een gevoelig punt onder de GDPR, en selfstorage locaties zijn doorgaans vol camera's. Dit zijn de regels:

• Gerechtvaardigd belang – Camerabewaking op een selfstorage locatie is doorgaans toelaatbaar op grond van "gerechtvaardigd belang" (beveiliging van eigendommen). Maar je moet wel een belangenafweging documenteren.
• Informatieplicht – Bezoekers moeten geïnformeerd worden dat ze gefilmd worden, voordat ze het bewakingsgebied betreden. Duidelijke bordjes bij de ingang zijn verplicht.
• Bewaartermijn – Camerabeelden mag je niet onbeperkt bewaren. De Autoriteit Persoonsgegevens adviseert een maximale bewaartermijn van 4 weken, tenzij er een incident is dat langer bewaren rechtvaardigt.
• Toegangsbeperking – Alleen geautoriseerde personen mogen beelden terugkijken. Leg vast wie dat zijn en wanneer ze beelden hebben bekeken.

Toegangslogboeken en privacy

Moderne toegangscontrolesystemen registreren precies wie wanneer welke deur opent. Dit is waardevolle informatie voor de veiligheid, maar het zijn ook persoonsgegevens. Zorg ervoor dat:

• Klanten geïnformeerd zijn dat hun toegang wordt gelogd (opnemen in huurcontract en privacyverklaring).
• Logboeken niet langer worden bewaard dan noodzakelijk (een termijn van 3-6 maanden na contracteinde is gebruikelijk).
• Logboeken alleen toegankelijk zijn voor geautoriseerd personeel.
• Bij een verzoek om gegevensinzage kun je de relevante logboeken verstrekken aan de betreffende klant.

Cloud vs. on-premise: wat is veiliger?

Een veelgehoorde vraag is of cloud-software of een lokale installatie (on-premise) beter is vanuit GDPR-perspectief. Het korte antwoord: cloud-software die in Europa wordt gehost, biedt doorgaans betere GDPR-garanties dan een lokale server. Dit komt door:

• Professionele beveiliging – Cloudproviders investeren miljoenen in beveiliging, encryptie en monitoring. Een lokale server in een opslagruimte is inherent kwetsbaarder.
• Automatische updates – Beveiligingsupdates worden direct doorgevoerd, zonder dat jij er iets voor hoeft te doen.
• Back-ups – Professionele cloud-hosting omvat automatische, versleutelde back-ups op geografisch gespreide locaties.
• Verwerkersovereenkomst – Gerenommeerde SaaS-aanbieders bieden standaard een verwerkersovereenkomst die voldoet aan de GDPR-eisen.

Let wel op: kies voor software die data opslaat binnen de EU/EEA. Na het Schrems II-arrest is het opslaan van persoonsgegevens op Amerikaanse servers problematisch, zelfs met de EU-US Data Privacy Framework.

Hoe MyYounit omgaat met GDPR

MyYounit is ontworpen met privacy by design als uitgangspunt. Concreet betekent dit:

• Alle data wordt opgeslagen op Europese servers.
• Verwerkersovereenkomst is standaard beschikbaar.
• Het systeem ondersteunt het recht op vergetelheid: klantgegevens kunnen volledig worden verwijderd wanneer er geen wettelijke bewaarplicht meer geldt.
• Toegangslogboeken worden automatisch opgeschoond na de ingestelde bewaartermijn.
• Encryptie van data in rust en in transit.
• Rolgebaseerde toegang: medewerkers zien alleen de gegevens die ze nodig hebben.

Door te kiezen voor selfstorage software die voor de Nederlandse markt is gebouwd, weet je zeker dat de GDPR-vereisten geen afterthought zijn, maar zijn ingebakken in de architectuur van het systeem.

GDPR-compliance is geen eenmalige exercitie, maar een doorlopend proces. Evalueer regelmatig of je nog voldoet aan de vereisten, zeker wanneer je nieuwe technologie introduceert of je bedrijfsprocessen veranderen. De checklist in dit artikel geeft je een solide startpunt om je selfstorage bedrijf privacyproof te maken.