De bakker kent zijn klanten bij naam. De bloemist weet welke bloemen mevrouw Van den Berg elk voorjaar bestelt. De fietsenmaker herinnert zich dat het zadel van meneer Claes al twee keer vervangen is. Die kennis — opgebouwd door jarenlang goed werk — is de kern van de lokale middenstand. Ze staat ook in een bestand. En dat bestand is van u.
De lokale middenstand is de meest herkenbare instap voor wie nadenkt over AI en privacy. Niet omdat de uitdagingen groot zijn — maar precies omdat ze klein en concreet zijn. U heeft geen IT-afdeling, geen DPO, geen juridische dienst. Wel een klantenbestand, een factuurhistorie, leverancierscontacten en misschien een loyaliteitskaart. Dat is voldoende om binnen de GDPR te vallen. En voldoende voor AI om u direct te helpen.
Gewone data, echte regels
Een naam en e-mailadres in een bestellijst zijn persoonsgegevens. Een loyaliteitskaart met aankoophistorie is een verwerkingsactiviteit. De Algemene Verordening Gegevensbescherming (GDPR) maakt geen uitzondering op basis van omzet of personeelsaantal — ze geldt voor elk bedrijf dat persoonsgegevens verwerkt, van multinational tot buurtbakker.
De GDPR bevat een beperkte vrijstelling voor bedrijven met minder dan 250 medewerkers: in bepaalde gevallen bent u vrijgesteld van de verplichting om een volledig verwerkingsregister bij te houden (artikel 30, lid 5). Maar die vrijstelling heeft een cruciale beperking: ze geldt niet voor regelmatige verwerkingen. Een loyaliteitskaartprogramma is een regelmatige verwerking. Zodra u spaarpunten bijhoudt, geldt de volledige registratieplicht. De vrijstelling is dus kleiner dan ze klinkt.
Dat gezegd: de verplichtingen voor een kleine zaak zijn behapbaar. Weten welke data u bijhoudt, die data beveiligen, en uw klanten eerlijk informeren — dat is de kern. Geen honderd pagina’s compliance-documenten. Geen advocaat aan de telefoon. Een half A4-tje privacyverklaring en een wachtwoord op uw laptop brengen u al ver.
De bakker en het gratis AI-hulpmiddel
Stel: u gebruikt een gratis AI-schrijftool om uw weekaanbiedingen op te stellen en klantmails te beantwoorden. Praktisch, tijdbesparend, en het kost niets. Tot u begrijpt wat er achter de schermen gebeurt.
Elke keer dat u een klantnaam of -adres in die tool plakt voor een gepersonaliseerd bericht, stuurt u persoonsdata naar de servers van een cloudaanbieder — mogelijk in de Verenigde Staten. Voegt u uw bestellijst toe als context voor een leveranciersmail? Dan staan uw leveranciersinformatie en prijsafspraken opeens bij een externe partij. En als die partij wordt overgenomen, of haar gebruiksvoorwaarden aanpast? U heeft geen antwoord wanneer een klant vraagt hoe zijn naam terechtkwam in de reclamemail van een onbekend bedrijf.
“Gratis tools zijn zelden echt gratis — de prijs is de data.”
Een lokale AI-tool die op uw eigen laptop of server draait, heeft dat probleem niet. U typt de content, de AI genereert de tekst, niets verlaat de werkplek. De bloemist schrijft zijn seizoensaanbieding, de fietsenmaker stelt zijn leveranciersbestelmail op, de bakker beantwoordt de vraag over allergenen — allemaal zonder dat één letter klantendata extern gaat.
Wat de wet concreet van u vraagt
Voor de kleine middenstand zijn er drie ankerpunten om in het hoofd te houden:
Facturen bewaren: zowel in België (Wetboek van Economisch Recht, artikel III.86) als in Nederland (Algemene wet inzake rijksbelastingen, artikel 52) geldt een bewaarplicht van 7 jaar voor boekhouddocumenten. Dat is geen GDPR-verplichting — het is een fiscale. AI die u helpt bij de boekhouding werkt dus met data die u hoe dan ook moet bijhouden.
Transparantie tegenover uw klanten: een korte privacyverklaring is voor de meeste activiteiten voldoende. De Gegevensbeschermingsautoriteit (GBA) in België biedt gratis een modelregister, een privacyverklaring-generator en een checklijst aan. In Nederland heeft de Autoriteit Persoonsgegevens (AP) een speciale sectie voor het MKB met praktische tools en modelcontracten. UNIZO (België) en MKB-Nederland hebben sectorspecifieke handleidingen voor de middenstand.
Basisbeveiliging: staat er een wachtwoord op uw laptop? Is uw schijf versleuteld? Maakt u regelmatig een back-up van uw klantenbestand? Die drie vragen zijn de kern van wat de GDPR van een kleine zaak vraagt op het vlak van gegevensbeveiliging. Een klantenbestand op een onbeveiligde laptop is een risico — niet alleen juridisch, maar ook praktisch bij verlies of diefstal.
Drie stappen om vandaag te beginnen
U heeft geen DPO nodig. U heeft geen uitgebreid verwerkingsregister nodig. U heeft drie dingen nodig:
1. Beveilig uw klantenbestand. Een wachtwoord op uw laptop en schijfversleuteling zijn de minimale maatregelen die de GDPR van u vraagt. Als uw klantenbestand op een onbeveiligde laptop of in een onbeveiligd Excel-bestand staat, bent u kwetsbaar — voor een datalek, voor diefstal, en voor een klacht bij de GBA of AP.
2. Zet een korte privacyverklaring op papier. Gebruik de gratis templates van de GBA of AP. Hang ze op achter de toonbank, zet ze op uw website, of druk ze af op uw loyaliteitskaartformulier. Vijftien minuten werk. Als u een loyaliteitskaartprogramma voert, heeft u ook een eenvoudig aanmeldformulier nodig waarop u uitlegt wat u bijhoudt en hoe de punten werken — toestemming bij aanmelding is de basis.
3. Gebruik AI lokaal voor uw dagelijkse communicatie. Social media berichten voor Instagram of Facebook, wekelijkse bestellijsten op basis van uw verkoopgeschiedenis, antwoorden op klantmails — dit zijn de toepassingen die u direct tijd besparen. En als die AI op uw eigen apparaat draait, gaan uw klantdata nergens naartoe. De waarde die u jarenlang opgebouwd heeft, blijft waar ze thuishoort: bij u.