AVG voor Horeca Websites: Wat Je Echt Moet Regelen

Je hebt een restaurant, cafe of bar. Je website toont het menu, een routebeschrijving en een reserveringsformulier. Simpel, toch?

Niet voor de AVG. Die reservering bevat een naam, telefoonnummer en soms dieetwensen. Dat zijn persoonsgegevens. De ingebedde Google Maps-kaart stuurt IP-adressen van je bezoekers naar Google. En die menufoto die je van internet hebt geplukt? Die kan je een auteursrechtclaim opleveren.

Horecawebsites zijn een blinde vlek in de AVG-compliance. De meeste restauranteigenaren hebben geen idee dat hun website op meerdere punten niet voldoet. Dit artikel loopt de belangrijkste valkuilen af en geeft je een concrete checklist om het op orde te brengen.

Reserveringen zijn persoonsgegevens

Elke online reservering verzamelt minstens een naam, telefoonnummer of e-mailadres. Maar veel horecawebsites vragen meer dan dat:

• Dieetwensen of allergieën (glutenvrij, veganistisch, noten)
• Gelegenheid (verjaardag, zakelijk diner, jubileum)
• Aantal personen en voorkeurstafel
• Opmerkingen over toegankelijkheid (rolstoel, kinderstoel)

Allergieën en dieetwensen zijn gezondheidsgegevens. Onder de AVG zijn dat "bijzondere persoonsgegevens" (artikel 9 AVG) met extra strenge regels. Het Hof van Justitie van de EU bevestigde dit in de Lindenapotheke-zaak: gegevens waaruit gezondheid of overtuigingen zijn af te leiden, vallen onder de strengste categorie. Je mag ze alleen verwerken met uitdrukkelijke toestemming van de gast.

Wat je moet doen:

• Vraag alleen gegevens die je daadwerkelijk nodig hebt. Een naam en telefoonnummer is genoeg voor de meeste reserveringen.
• Maak dieetvelden optioneel, nooit verplicht.
• Vermeld bij het reserveringsformulier dat je een privacyverklaring hebt en link ernaar.
• Hanteer duidelijke bewaartermijnen: verwijder reserveringsgegevens na afhandeling van het bezoek, tenzij je een wettelijke reden hebt. Fiscale bewaarplicht is 7 jaar. Gebruik je gegevens voor marketing? Dan mag dat maximaal 2 jaar.
• Gebruik je een reserveringssysteem? Formitable, Resengo en TheFork zijn samengegaan als Zenchef (25.000+ restaurants). Dat bedrijf is je verwerker. Een verwerkersovereenkomst is verplicht op grond van artikel 28 AVG.

Het Google Maps-probleem

Bijna elke horecawebsite heeft een kaartje van Google Maps op de contactpagina. Handig voor klanten, maar problematisch voor privacy.

Zodra een bezoeker je pagina opent, stuurt de ingesloten Google Maps-kaart het IP-adres van die bezoeker naar Google-servers in de VS. Dat gebeurt automatisch, zonder dat de bezoeker iets klikt. Onder de AVG is een IP-adres een persoonsgegeven. Het doorsturen naar Google zonder toestemming is een overtreding.

Dit is geen theoretisch risico. Duitse rechtbanken hebben in 2022 al geoordeeld dat het inbedden van Google Fonts zonder toestemming onrechtmatig is. Dezelfde logica geldt voor Google Maps. De Autoriteit Persoonsgegevens (AP) volgt die lijn.

Wat je moet doen:

• Laad Google Maps pas nadat de bezoeker toestemming heeft gegeven via je cookiebanner.
• Toon voor toestemming een statische afbeelding van de kaart met een knop "Kaart laden". Pas als de bezoeker klikt, laad je de echte kaart.
• Of gebruik een alternatief zonder tracking, zoals OpenStreetMap.
• Vermeld Google Maps als derde partij in je privacyverklaring.

Lees meer over de technische details in onze Google Maps embed guide.

Menufoto's en auteursrecht

Dit is geen AVG-kwestie maar treft horecawebsites net zo hard. Veel restauranteigenaren pakken foto's van gerechten van Google Afbeeldingen of Pinterest en plaatsen die op hun website. Dat is auteursrechtinbreuk.

Fotografen en stockfoto-bureaus gebruiken geautomatiseerde tools om het internet af te scannen naar ongeautoriseerd gebruik van hun beelden. CopyTrack en Getty Images zijn berucht om hun claimsystemen. Een claim begint meestal bij 500 tot 1.500 euro per foto. Bij meerdere foto's loopt dat snel op.

Wat je moet doen:

• Maak je eigen foto's. Een smartphone met goed licht is genoeg voor menufoto's.
• Gebruik stockfoto-sites met duidelijke licenties. Unsplash, Pexels en Pixabay bieden gratis foto's voor commercieel gebruik. Controleer altijd de licentievoorwaarden. Meer hierover in onze gids over gratis stockfoto's.
• Bewaar altijd het licentie-bestand of de link naar de bron. Als iemand een claim indient, moet je kunnen bewijzen dat je de foto legaal gebruikt.
• Controleer bestaande foto's op je website. Heb je foto's waarvan je de bron niet meer weet? Vervang ze.

Bezorgplatforms en tracking

Thuisbezorgd, Uber Eats, Deliveroo: veel horecabedrijven hebben een bestelknop of widget van een bezorgplatform op hun website staan. Die knoppen laden vaak tracking-scripts mee.

Een belangrijk juridisch punt: bezorgplatforms zoals Thuisbezorgd en Uber Eats zijn zelfstandig verwerkingsverantwoordelijke voor de bestellingen die via hun platform lopen. Ze zijn dus geen verwerker van jouw restaurant. Dat betekent: je hebt geen verwerkersovereenkomst nodig, maar een data-uitwisselingsovereenkomst is wel aan te raden om duidelijk vast te leggen wie waarvoor verantwoordelijk is.

Een "Bestel via Thuisbezorgd"-widget kan een tracking-pixel bevatten die het gedrag van je bezoekers volgt. Dat is vergelijkbaar met een Facebook Pixel: het registreert paginabezoeken en stuurt die data naar het platform.

Wat je moet doen:

• Gebruik gewone links naar het bezorgplatform in plaats van ingebedde widgets. Een link (<a href="https://thuisbezorgd.nl/jouw-restaurant">) laadt geen scripts.
• Als je toch een widget gebruikt, controleer of die scripts of cookies plaatst. Open de developer tools van je browser (F12), ga naar het tabblad Network en bekijk welke verzoeken de widget uitvoert.
• Vermeld elk bezorgplatform dat data ontvangt in je privacyverklaring.
• Laad tracking-widgets pas na toestemming via je cookiebanner.

WiFi-netwerk en persoonsgegevens

Bied je gratis wifi aan in je zaak? Dan verwerk je waarschijnlijk persoonsgegevens. De meeste wifi-netwerken met een inlogportaal registreren:

• MAC-adressen van apparaten
• E-mailadressen (als je die vraagt voor toegang)
• Verbindingstijden en duur
• Bezochte websites (bij sommige systemen)

Een MAC-adres is een persoonsgegeven — punt. De Autoriteit Persoonsgegevens bevestigde dit in 2021 toen de gemeente Enschede een boete van €600.000 kreeg voor WiFi-tracking in de binnenstad. De gemeente verzamelde MAC-adressen van passanten om bezoekersstromen te meten. De AP oordeelde dat dit persoonsgegevens zijn, ook zonder koppeling aan naam of e-mailadres.

Wat je moet doen:

• Vraag zo min mogelijk gegevens voor wifi-toegang. Een wachtwoord op een bordje is privacy-technisch de beste optie.
• Als je een inlogportaal gebruikt, toon een duidelijke privacyverklaring op het inlogscherm.
• Stel logbestanden in om automatisch te worden verwijderd na maximaal 30 dagen.
• Gebruik je wifi-data niet voor marketing zonder uitdrukkelijke toestemming.
• Bewaar geen browsegeschiedenis van je gasten.

Cameratoezicht in de zaak

Veel horecabedrijven hebben beveiligingscamera's hangen. Dat mag, maar de AVG stelt strikte eisen:

• Waarschuwingsborden zijn verplicht. Gasten moeten weten dat ze gefilmd worden voordat ze je zaak betreden. De borden moeten aangeven wie de verantwoordelijke is en hoe gasten hun rechten kunnen uitoefenen.
• Bewaartermijn is maximaal 4 weken. Volgens de richtlijn van de AP bewaar je camerabeelden niet langer dan 4 weken, tenzij er een incident is vastgelegd.
• DPIA verplicht bij grootschalig toezicht. Heb je meerdere camera's die een groot deel van je zaak bestrijken? Dan moet je een Data Protection Impact Assessment uitvoeren.
• Camera's in toiletten en kleedkamers zijn verboden. Zonder uitzondering.

Vermeld je cameratoezicht ook in je privacyverklaring. Gasten hebben het recht om beelden van zichzelf op te vragen.

Praktische checklist voor horecaondernemers

Loop deze punten af en vink af wat je hebt geregeld. Dit is de minimale basis.

Privacyverklaring

• [ ] Je hebt een privacyverklaring op je website
• [ ] De privacyverklaring is bereikbaar via de footer op elke pagina
• [ ] Reserveringssystemen, bezorgplatforms en Google Maps staan erin vermeld als derde partijen
• [ ] Je vermeldt welke gegevens je verzamelt en waarom
• [ ] De bewaartermijn van reserveringsgegevens staat erin

Cookies en tracking

• [ ] Je hebt een cookiebanner als je niet-functionele cookies gebruikt
• [ ] Google Maps laadt pas na toestemming
• [ ] Google Analytics is ingesteld op anonieme modus of vervangen door een privacy-vriendelijk alternatief
• [ ] Bezorgplatform-widgets laden geen tracking-scripts zonder toestemming
• [ ] Google Fonts worden lokaal gehost in plaats van extern geladen

Reserveringen en formulieren

• [ ] Je reserveringsformulier vraagt alleen noodzakelijke gegevens
• [ ] Dieetwensen en allergieën zijn optionele velden
• [ ] Bij het formulier staat een link naar je privacyverklaring
• [ ] Je hebt een verwerkersovereenkomst met je reserveringssysteem
• [ ] Oude reserveringsgegevens worden regelmatig verwijderd

Foto's en content

• [ ] Alle foto's op je website zijn zelfgemaakt of hebben een geldige licentie
• [ ] Je kunt van elke foto de bron of licentie aantonen
• [ ] Er staan geen foto's van Google Afbeeldingen of Pinterest op je site

WiFi

• [ ] Je wifi vraagt geen onnodige persoonsgegevens
• [ ] Als je een inlogportaal hebt, toont het een privacyverklaring
• [ ] WiFi-logs worden automatisch verwijderd

Verwerkingsregister

• [ ] Je hebt een verwerkingsregister (artikel 30 AVG). Vrijwel elke horecaonderneming moet dit bijhouden — de uitzondering voor bedrijven met minder dan 250 werknemers geldt niet als je structureel persoonsgegevens verwerkt (en dat doe je met reserveringen en personeel).
• [ ] KHN biedt een modelregister aan dat je als basis kunt gebruiken
• [ ] Alle verwerkingen staan erin: reserveringen, personeel, camera's, wifi, bezorgplatforms

Cameratoezicht

• [ ] Waarschuwingsborden zijn zichtbaar voor gasten betreden
• [ ] Beelden worden maximaal 4 weken bewaard
• [ ] Geen camera's in toiletten of kleedkamers
• [ ] Cameratoezicht staat vermeld in je privacyverklaring

Beveiliging

• [ ] Je website draait op HTTPS
• [ ] Je CMS en plugins zijn up-to-date
• [ ] Admin-wachtwoorden zijn sterk en uniek

Hoeveel punten scoor je?

Tel het aantal punten dat je hebt afgevinkt.

• 26-31: Goed bezig. Je horecawebsite voldoet aan de basis.
• 18-25: Er zijn verbeterpunten. Pak de ontbrekende items deze week aan.
• Minder dan 18: Er is werk aan de winkel. Begin met de privacyverklaring en het Google Maps-probleem.

Wil je een compleet overzicht van alle AVG-verplichtingen voor je website? Lees onze AVG checklist voor ondernemers.

Waarom het ertoe doet

De AP maakt geen uitzondering voor horecabedrijven. Een restaurant met een website die persoonsgegevens lekt, loopt hetzelfde risico als een webshop of een SaaS-bedrijf. De boetes van de AVG gaan tot 20 miljoen euro of 4% van je jaaromzet.

De handhaving is reëel. Booking.com kreeg in 2021 een boete van €475.000 omdat het bedrijf een datalek 22 dagen te laat meldde bij de AP. Uber werd in 2024 beboet voor €10 miljoen wegens gebrekkige transparantie richting chauffeurs. De gemeente Enschede betaalde €600.000 voor WiFi-tracking. Dit zijn geen theoretische bedreigingen — dit zijn facturen die daadwerkelijk zijn betaald.

In de praktijk begint de AP bij kleinere bedrijven vaak met een waarschuwing. Maar auteursrechtclaims van CopyTrack of Getty beginnen direct met een factuur. En die komen vaker voor dan AVG-boetes.

De combinatie van AVG-compliance en auteursrecht maakt horecawebsites kwetsbaar op twee fronten tegelijk. De goede nieuws: beide problemen zijn in een middag op te lossen.

Scan je website

Een checklist helpt, maar het vertelt je niet wat er technisch gebeurt op je website. Verborgen tracking-scripts, cookies die voor toestemming worden geladen, externe verbindingen die je niet kent: die ontdek je niet door naar je eigen site te kijken.

Scan je website gratis en krijg binnen twee minuten een rapport met alles wat er verbeterd kan worden. Geen account nodig, geen verplichtingen.

Veelgestelde vragen

Moet mijn restaurant een privacyverklaring hebben?

Ja. Zodra je via je website reserveringen accepteert, een contactformulier hebt of analytics draait, verwerk je persoonsgegevens en is een privacyverklaring verplicht.

Is Google Maps op mijn horecawebsite een AVG-probleem?

Ja. Een ingesloten Google Maps-kaart stuurt het IP-adres van elke bezoeker naar Google. Zonder toestemming is dat een AVG-overtreding.

Mag ik foto's van gerechten van internet gebruiken?

Alleen als je een geldige licentie hebt. Foto's van Google Afbeeldingen zijn bijna nooit gratis te gebruiken. Gebruik stockfoto-sites met duidelijke licenties, zoals Unsplash of Pexels.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.