Facturatie en de GDPR-wetgeving: waar moet je rekening mee houden?

De GDPR of General Data Protection Regulation bepaalt wat je als ondernemer mag en moet doen met persoonsgegevens. Hoe zit het met facturatiegegevens? We leggen het je uit.

GDPR en facturatie

 

De General Data Protection Regulation, kortweg GDPR, zorgde voor heel wat opschudding in de ondernemerswereld toen ze in mei 2018 in werking trad. Sindsdien moeten zowel bedrijven als overheidsinstanties zich aan nieuwe regels houden wanneer ze persoonsgegevens verwerken. Ook wanneer je facturen verstuurt, moet je de GDPR-richtlijnen in acht nemen

De GDPR, in het Nederlands de ‘Algemene Verordening Gegevensbescherming’ (AVG), is van toepassing op alle data die naar een natuurlijk persoon kunnen leiden. Bij facturatie kan het bijvoorbeeld gaan om de naam van je contactpersoon bij de klant. Of om het btw-nummer van een zelfstandige.

Let erop dat je dergelijke gegevens conform de GDPR behandelt. Idealiter omschrijf je in een raadpleegbare datapolicy hoe jouw bedrijf met persoonsgegevens omgaat. Zo ben je transparant naar je klanten toe, én heb je zelf een houvast.

Persoonsgegevens op facturen: zo ben je in orde met de GDPR

Hou deze twee GDPR-regels voor ogen in je facturatieproces:

  • Bewaar persoonsgegevens niet langer dan nodig.

Soms ben je wettelijk verplicht bepaalde gegevens bij te houden. Zo moet je facturen en sommige andere boekhoudkundige stukken minimaal 7 jaar bewaren. Je kan er bovendien voor kiezen ze langer te bewaren. Vind je dat nodig? Beschrijf dan in je datapolicy hoe lang je facturen bewaart en waarom je van de wettelijke minimumtermijn afwijkt.

Na 7 jaar, of na de door jou vooropgestelde termijn, moet je de facturen vernietigen of wissen uit de digitale systemen, of minstens de persoonsgegevens die er in vermeld staan verwijderen (bv. doorhalen).
 

Bewaar persoonsgegevens niet langer dan nodig
  • Gebruik facturatiegegevens niet voor andere doeleinden dan facturen.

Zo het is het bijvoorbeeld meestal verboden om een e-mailadres dat je op een factuur vindt zomaar toe te voegen aan de database voor je nieuwsbrief. Ook telefoonnummers mag je niet zonder meer gebruiken voor commerciële acties. Vraag daarvoor altijd eerst de expliciete toestemming van de persoon in kwestie, en informeer die over je datapolicy.

Naar een e-mailadres dat niet rechtstreeks naar een bepaalde persoon verwijst, zoals een ‘info@’-adres, mag je wel zonder toestemming commerciële mailings sturen.

Heb je meer vragen en/of opmerking omtrent GDPR en facturatie? Aarzel dan niet om ons te contacteren!