GDPR en vastgoedbeheer: wat mag je bijhouden als verhuurder?

Als verhuurder verwerk je dagelijks persoonsgegevens van huurders, kandidaat-huurders en andere betrokkenen. Naam, adres, inkomen, bankgegevens — al die informatie valt onder de Algemene Verordening Gegevensbescherming (GDPR). Maar wat mag je als verhuurder juist bewaren? Hoe lang? En wat zijn de gevolgen als je de regels overtreedt?

In deze gids zetten we alles helder uiteen, specifiek voor Belgische verhuurders en kleine vastgoedbeheerders.

Inhoudsopgave

1. [Bent u als verhuurder "verwerkingsverantwoordelijke"?](#verantwoordelijke)
2. [Welke persoonsgegevens mag u verwerken?](#welke-data)
3. [Bewaartermijnen: hoe lang mag je data bijhouden?](#bewaartermijnen)
4. [Toestemming en rechtsgrond voor verwerking](#toestemming)
5. [Rechten van de huurder](#rechten)
6. [Datalekken: wat moet je doen?](#datalek)
7. [Praktische GDPR-checklist voor verhuurders](#checklist)
8. [HaLeV als GDPR-compliant platform](#halev)
9. [Veelgestelde vragen](#faq)

1. Bent u als verhuurder "verwerkingsverantwoordelijke"? {#verantwoordelijke}

Ja. Zodra je als verhuurder persoonsgegevens verwerkt — en dat doe je altijd — ben je volgens de GDPR een verwerkingsverantwoordelijke. Dit geldt voor:

• Particuliere verhuurders (ook als je maar 1 pand verhuurt)
• Kleine syndici
• Vastgoedkantoren

Als verwerkingsverantwoordelijke ben je verantwoordelijk voor: - Het bepalen van het doel en de middelen van de verwerking - Het naleven van de GDPR-principes - Het informeren van betrokkenen (huurders) - Het beschermen van de data

Moet ik me registreren bij de Gegevensbeschermingsautoriteit? In België is er geen algemene registratieplicht voor verwerkingsverantwoordelijken. Maar je bent wél verplicht om een register van verwerkingsactiviteiten bij te houden als je meer dan 250 werknemers hebt, of als je regelmatig gevoelige gegevens verwerkt. Voor kleine verhuurders (< 10 panden) is dit vrijgesteld — maar de andere verplichtingen gelden wél.

2. Welke persoonsgegevens mag u verwerken? {#welke-data}

Gegevens die u mag verwerken op basis van contractnoodzaak

Als verhuurder mag u de volgende gegevens verwerken omdat ze noodzakelijk zijn voor de uitvoering van het huurcontract:

✅ Identiteitsgegevens - Naam en voornaam - Geboortedatum - Rijksregisternummer (voor registratie huurcontract) - Kopie identiteitskaart (voor identificatie bij contractsluiting)

✅ Contactgegevens - Woonadres (huidig en het gehuurde adres) - Telefoonnummer - E-mailadres

✅ Financiële gegevens - Bankrekeningnummer (voor huurbetalingen en huurwaarborg) - Huurbetalingshistoriek (wanneer betaald, bedragen) - Bewijs van inkomsten (bij kandidatuur — zie ook beperkingen hieronder)

✅ Contractgegevens - Huurcontract en bijlagen - Plaatsbeschrijvingen (intrede en vertrek) - Correspondentie over het pand (herstellingen, klachten)

Gegevens die u NIET zomaar mag verwerken

❌ Gezondheidsgegevens Medische informatie over een huurder mag u niet verwerken, tenzij de huurder zelf om reden van woonzorg of aanpassing vraagt.

❌ Strafrechtelijke gegevens Een uittreksel uit het strafregister opvragen is in principe niet toegestaan voor verhuurders (tenzij specifiek gerechtvaardigd — dit is een grijs gebied).

❌ Etnische afkomst, religie, seksuele geaardheid Dit zijn "bijzondere categorieën" persoonsgegevens waarvoor een uitdrukkelijke toestemming of wettelijke grond vereist is. In de praktijk hebben verhuurders nooit een rechtmatige reden om dit te verwerken.

❌ Overmatige financiële screening U mag inkomensbewijzen opvragen, maar het opvragen van belastingaangiften, vermogensoverzichten of kredietscores is twijfelachtig en moet proportioneel zijn.

Kandidaat-huurders: bijzondere situatie

Bij de selectie van kandidaat-huurders verwerkt u ook persoonsgegevens — nog vóór er een contract is. De rechtsgrond hier is gerechtvaardigd belang (u heeft een legitiem belang om een betrouwbare huurder te selecteren), maar ook hier gelden beperkingen:

• Vraag alleen wat noodzakelijk is (inkomensbewijzen zijn OK; kopie bankafschriften alle transacties zijn disproportioneel)
• Verwijder de gegevens van niet-geselecteerde kandidaten zo snel mogelijk (zie bewaartermijnen)
• Informeer kandidaten dat u hun gegevens verwerkt

3. Bewaartermijnen: hoe lang mag je data bijhouden? {#bewaartermijnen}

De GDPR verbiedt het bewaren van persoonsgegevens langer dan noodzakelijk. Toch zijn er ook wettelijke verplichtingen (fiscaal, huurrecht) die een minimale bewaartermijn opleggen.

Overzicht bewaartermijnen voor verhuurders

| Type data | Aanbevolen bewaartermijn | Reden | |---|---|---| | Huurcontract | Duurtijd contract + 10 jaar | Verjaring civielrechtelijke vorderingen | | Plaatsbeschrijvingen | Duurtijd contract + 10 jaar | Bewijs bij geschillen | | Huurbetalingshistoriek | 7 jaar | Fiscale bewaarplicht (inkomstenbelasting) | | Correspondentie over herstellingen | 5 jaar na het geschil | Verjaring | | EPC en bijlagen | Duurtijd contract + 5 jaar | Referentie | | Gegevens kandidaat-huurders (niet geselecteerd) | Maximum 3 maanden | Proportionaliteit | | Bankrekeninggegevens huurder | Duurtijd contract + 7 jaar | Fiscale plicht | | Kopie identiteitskaart | Duurtijd contract + 1 jaar | Verwijder daarna of anonimiseer |

Praktische aanpak: Maak afspraken met jezelf (of je platform) over wanneer je data verwijdert. Zet herinneringen in je agenda of gebruik software die dit automatisch doet.

Digitale archieven

Bewaar digitale documenten op een beveiligde locatie: - Wachtwoordbeveiligd (minimaal) - Backup op veilige locatie (niet alleen op één computer) - Geen onbeveiligde cloudopslag (bv. openbaar gedeelde Google Drive)

4. Toestemming en rechtsgrond voor verwerking {#toestemming}

GDPR vereist dat je altijd een rechtmatige grond hebt voor de verwerking van persoonsgegevens. Voor verhuurders zijn de meest relevante grondslagen:

1. Uitvoering van een contract (Art. 6.1.b)

De verwerking is noodzakelijk om het huurcontract uit te voeren. Dit is de voornaamste rechtsgrond voor verhuurders: u hebt de gegevens nodig om: - Het contract op te stellen - De huurprijs te innen - Herstellingen te coördineren - De plaatsbeschrijving te maken

2. Wettelijke verplichting (Art. 6.1.c)

Sommige verwerkingen zijn verplicht op grond van Belgische wetgeving: - Registratie van het huurcontract (FOD Financiën) - Fiscale rapportage van huurinkomsten - Bijhouden van huurprijzen voor belastingaangifte

3. Gerechtvaardigd belang (Art. 6.1.f)

Voor verwerking die niet strikt contractueel is, maar waarbij de verhuurder een legitiem belang heeft. Dit vereist een afweging tussen uw belang en de rechten van de huurder: - Selectie van kandidaat-huurders - Communicatie over problemen in het pand

4. Toestemming (Art. 6.1.a)

Toestemming is de zwakste grondslag — de huurder kan ze altijd intrekken. Gebruik toestemming alleen voor verwerkingen die niet onder een andere grondslag vallen, zoals: - Nieuwsbrieven of marketingcommunicatie - Delen van gegevens met derden (bv. aannemer die uw woning kent)

Transparantieverplichting

Ongeacht de rechtsgrond moet u huurders informeren over wat u doet met hun data. Dit hoeft niet complex: een eenvoudige privacyverklaring in het huurcontract of als bijlage is voldoende. Vermeld: - Wie de verwerkingsverantwoordelijke is (u) - Welke gegevens u verwerkt - Waarom (doel + rechtsgrond) - Hoe lang u de gegevens bewaart - Welke rechten de huurder heeft

5. Rechten van de huurder {#rechten}

Huurders hebben als betrokkenen de volgende rechten onder GDPR:

Recht op inzage: Een huurder mag opvragen welke gegevens u over hem bijhoudt. U moet binnen 1 maand antwoorden.

Recht op correctie: Foutieve gegevens moeten worden gecorrigeerd op verzoek.

Recht op verwijdering ("recht om vergeten te worden"): De huurder kan vragen om verwijdering van zijn gegevens. Dit recht is echter beperkt als u wettelijk verplicht bent de data te bewaren (bv. fiscale plicht). Gegevens van ex-huurders hoeft u dus niet per se onmiddellijk te verwijderen als er nog een fiscale bewaarplicht loopt.

Recht op dataportabiliteit: De huurder kan zijn gegevens opvragen in een gestructureerd formaat.

Recht op bezwaar: De huurder kan bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.

Praktisch: Als verhuurder ontvangt u zelden inzageverzoeken, maar bereid u voor op de mogelijkheid. Weet waar u uw data opslaat en zorg dat u binnen de termijn kunt antwoorden.

6. Datalekken: wat moet je doen? {#datalek}

Een datalek is elk beveiligingsincident waarbij persoonsgegevens onbedoeld worden vrijgegeven, vernietigd of gewijzigd. Voorbeelden: - Uw laptop met huurdersdocumenten wordt gestolen - Uw e-mailaccount wordt gehackt en huurdersinformatie wordt gelekt - U stuurt per ongeluk de huurovereenkomst van huurder A naar huurder B

Meldingsplicht

Aan de Gegevensbeschermingsautoriteit (GBA): Als het datalek een risico vormt voor de betrokkenen (huurders), moet u dit binnen 72 uur melden aan de GBA (gegevensbeschermingsautoriteit.be).

Aan de betrokkenen: Als het datalek een hoog risico vormt (bv. financiële schade, identiteitsdiefstal), moet u ook de huurders persoonlijk informeren.

Wanneer GEEN meldingsplicht? Als de gegevens versleuteld waren of als er geen reëel risico is voor de betrokkenen (bv. een interne fout die meteen is gecorrigeerd zonder externe exposure).

Preventie

✅ Gebruik sterke wachtwoorden en tweefactorauthenticatie ✅ Sla gevoelige documenten op op beveiligde cloud- of lokale locaties ✅ Deel geen gevoelige data via onbeveiligde kanalen (e-mail is niet altijd veilig voor gevoelige data) ✅ Verwijder data die je niet meer nodig hebt

7. Praktische GDPR-checklist voor verhuurders {#checklist}

Gebruik dit als startpunt om je GDPR-compliance op orde te zetten:

Verwerkingen in kaart brengen: - [ ] Ik weet welke persoonsgegevens ik verwerk (huurders, kandidaten, aannemers) - [ ] Ik heb voor elke verwerking een rechtsgrond bepaald

Transparantie: - [ ] Mijn huurders ontvangen een privacyverklaring bij contractaanvang - [ ] Kandidaat-huurders worden geïnformeerd over de verwerking bij sollicitatie

Bewaartermijnen: - [ ] Ik verwijder gegevens van niet-geselecteerde kandidaten binnen 3 maanden - [ ] Huurcontracten bewaar ik minimum 10 jaar na afloop - [ ] Financiële gegevens bewaar ik 7 jaar (fiscale plicht)

Beveiliging: - [ ] Documenten staan op een beveiligde, wachtwoordbeschermde locatie - [ ] Ik heb een backup van alle huurdersdocumenten - [ ] Ik weet hoe ik een datalek moet melden

Rechten huurders: - [ ] Ik weet hoe ik moet reageren op een inzageverzoek (binnen 1 maand) - [ ] Ik kan een kopie van de opgeslagen data bezorgen op verzoek

8. HaLeV als GDPR-compliant platform {#halev}

Als je huurdersbeheer doet via losse Excel-bestanden, e-mails en papieren mappen, is GDPR-compliance veel moeilijker te realiseren en te bewijzen.

[HaLeV](/) is ontworpen met GDPR-compliance als basisprincipe:

🔒 Beveiligde dataopslag — alle huurdergegevens worden versleuteld opgeslagen in een Belgisch-conforme cloudomgeving (Supabase EU-regio)

📁 Gestructureerde bewaring — per huurder, per pand, met duidelijke categorieën. Eenvoudig aantonen welke data je bewaard en waarom.

⏰ Bewaartermijnbeheer — herinneringen wanneer data verwijderd kan worden (bv. na 3 maanden voor afgewezen kandidaten)

📄 Privacyverklaring templates — eenvoudig toe te voegen aan huurcontracten

🔑 Toegangscontrole — als je met medewerkers werkt, kun je bepalen wie welke data kan zien

Bekijk onze [features](/features) of [pricing](/pricing) — start gratis met het Starter-plan.

9. Veelgestelde vragen {#faq}

Mag ik een kopie van de identiteitskaart nemen van mijn huurder? Ja, bij contractaanvang voor identificatiedoeleinden. Maar u mag dit enkel bewaren zolang noodzakelijk — na afloop van het contract kunt u de kopie vernietigen of anonimiseren (enkel naam en adres bewaren).

Mag ik inkomensbewijzen opvragen bij kandidaat-huurders? Ja, dit is een gerechtvaardigd belang. U mag loonfiches of een bewijs van inkomen vragen als bewijs van solvabiliteit. Vraag echter niet méér dan nodig (geen volledige belastingaangifte of bankafschriften van alle rekeningen).

Moet ik een Data Protection Officer (DPO) aanstellen? Voor kleine verhuurders (minder dan 250 werknemers, geen grootschalige verwerking van gevoelige data) is een DPO niet verplicht. Het is echter aangeraden om één contactpersoon te hebben voor privacy-vragen.

Mag ik huurdersinformatie delen met een aannemer? Ja, maar enkel wat noodzakelijk is (bv. contactgegevens voor afspraakinplannen). De aannemer is dan een "verwerker" en ideaal sluit u een verwerkersovereenkomst af.

Wat als een huurder vraagt alle data te verwijderen na vertrek? U hoeft dit niet volledig te doen als er wettelijke bewaarverplichtingen gelden (fiscaal: 7 jaar; contractueel: 10 jaar). Informeer de huurder hierover en verwijder wat u wel kunt verwijderen (bv. marketing-e-mails).

Wat zijn de boetes bij GDPR-overtreding? De GBA kan boetes opleggen tot €20 miljoen of 4% van de wereldwijde jaaromzet (het hoogste van de twee). Voor particuliere verhuurders zijn de boetes lager, maar reputatieschade en klachten zijn het grootste risico in de praktijk.

json { "@context": "https://schema.org", "@type": "FAQPage", "mainEntity": [ { "@type": "Question", "name": "Welke persoonsgegevens mag een verhuurder bijhouden?", "acceptedAnswer": { "@type": "Answer", "text": "Een verhuurder mag identiteitsgegevens, contactgegevens, financiële gegevens (huurbetalingen, bankrekening) en contractdocumenten bijhouden. Gezondheidsgegevens, etnische afkomst en strafrechtelijke gegevens zijn verboden." } }, { "@type": "Question", "name": "Hoe lang mag een verhuurder huurdergegevens bewaren?", "acceptedAnswer": { "@type": "Answer", "text": "Huurcontracten en plaatsbeschrijvingen mogen minimaal 10 jaar na afloop worden bewaard. Financiële gegevens moeten 7 jaar bewaard worden (fiscale plicht). Gegevens van afgewezen kandidaat-huurders mogen maximaal 3 maanden worden bewaard." } }, { "@type": "Question", "name": "Moet ik als particuliere verhuurder voldoen aan GDPR?", "acceptedAnswer": { "@type": "Answer", "text": "Ja. Zodra je als verhuurder persoonsgegevens van huurders verwerkt, ben je verwerkingsverantwoordelijke onder GDPR. Dit geldt ook voor particulieren die slechts één pand verhuren." } } ] }