Karbill is een complete beheerssoftware voor autogarages in België. Het helpt garages bij het beheren van klanten, voertuigen, facturen, reparatieorders en voorraad.

Hoeveel kost Karbill?

Karbill biedt drie abonnementen: Gratis (€0/maand), Basic (€19/maand) en Professional (€99/maand). Er is ook een gratis proefperiode van 14 dagen beschikbaar.

Is Karbill geschikt voor kleine garages?

Ja, Karbill is ontworpen voor garages van elke grootte. Van eenmansgarages tot grote autowerkplaatsen - onze software schaalt mee met uw bedrijf.

Welke functionaliteiten biedt Karbill?

Karbill biedt klantenbeheer, voertuigbeheer, factuurverwerking, reparatieorders, voorraadbeheersysteem, rapportage en analytics, multi-user toegang en cloud-gebaseerde opslag.

Karbill is een complete beheerssoftware voor autogarages in België. Het helpt garages bij het beheren van klanten, voertuigen, facturen, reparatieorders en voorraad.

Hoeveel kost Karbill?

Karbill biedt drie abonnementen: Gratis (€0/maand), Basic (€19/maand) en Professional (€99/maand). Er is ook een gratis proefperiode van 14 dagen beschikbaar.

Is Karbill geschikt voor kleine garages?

Ja, Karbill is ontworpen voor garages van elke grootte. Van eenmansgarages tot grote autowerkplaatsen - onze software schaalt mee met uw bedrijf.

Welke functionaliteiten biedt Karbill?

Karbill biedt klantenbeheer, voertuigbeheer, factuurverwerking, reparatieorders, voorraadbeheersysteem, rapportage en analytics, multi-user toegang en cloud-gebaseerde opslag.

AVG voor Belgische garages in 2026: klant- en voertuiggegevens beschermen

Zeven jaar na de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) beschouwen veel Belgische garages dit dossier nog als administratieve formaliteit en missen ze reële risico's. De automobielsector verzamelt nochtans massaal: identiteit van de klant, kentekenplaat, VIN, kilometerstand, onderhoudshistoriek, OBD-gegevens (motorrekeneenheid), inspectiefoto's, elektronische handtekeningen, betaalgegevens.

Met de komst van connected cars en boordtelemetrie overstijgt het door een moderne garage verwerkte gegevensvolume ver dat van een klassieke handelszaak. De Gegevensbeschermingsautoriteit (GBA) heeft haar sectorale controles sinds 2023 versterkt en verschillende garages werden reeds gesanctioneerd. Deze gids preciseert de toepasselijke AVG-verplichtingen, identificeert de meest voorkomende blinde vlekken, en stelt een concreet zes-stappenplan voor.

De specifieke context van de garagesector

Een garage hanteert gelijktijdig drie gevoelige categorieën gegevens:

Klassieke persoonsgegevens (identificatie, contact, betaling)
Technische gegevens van het voertuig (kentekenplaat, VIN, kilometerstand, OBD)
Potentieel gevoelige gegevens (indirecte mobiliteitsopvolging via opeenvolgende passages, soms gezondheidsgegevens als de oorzaak van een schadegeval dat impliceert)

Het voertuig is juridisch gekoppeld aan een identificeerbare houder, dus vallen alle ermee verbonden gegevens onder de AVG. Een garageklantenbestand dat plaat + VIN + adres + telefoonnummer kruist, is uit AVG-oogpunt een te beschermen databank zoals elke andere.

Door een garage verzamelde gegevens: panorama

| Categorie | Typische gegevens | |---|---| | Klantidentificatie | Naam, voornaam, adres, rijksregisternummer, geboortedatum | | Contact | Telefoon, e-mail, voorkeurstaal | | Voertuig | Plaat, VIN, merk, model, jaar, kilometerstand, motorisatie | | Historiek | Werkplaatsinterventies, facturen, offertes, WO, DVI | | Financieel | IBAN bij terugbetaling, bankkaartgegevens (doorgaans gedelegeerd aan betaaldienstverlener) | | Technisch | OBD-codes, rekeneenheidgegevens, DVI-foto's | | Gedragsmatig | Passagefrequentie, urenvoorkeur, acceptatiepercentage offertes |

Door deze gegevens te kruisen kan men zonder voorzorg een belangrijk deel van het leefpatroon van de klant reconstrueren (frequente plaatsen via garagepassages, voertuiggebruiksniveau, geschatte financiële capaciteit). Vandaar het strikte AVG-kader.

De rechtsgronden van de verwerking

Elke persoonsgegevensverwerking moet steunen op een van de zes rechtsgronden van artikel 6 AVG. Voor een garage zijn de toepasselijke gronden:

| Rechtsgrond | Gebruiksgeval in garage | |---|---| | Uitvoering overeenkomst | Reparatie, tweedehandsverkoop, door klant gevraagde offerte | | Wettelijke verplichting | BTW-bewaring 7 jaar, voertuigregister, Car-Pass, 12 maanden garantie | | Gerechtvaardigd belang | Klantopvolging, servicekontaktmomenten, geschillenbeheer | | Toestemming | Marketingnieuwsbrief, deling met partners (verzekering, financiering) |

De meest voorkomende fout is de toestemming als standaardgrond gebruiken terwijl de contractuele uitvoering of wettelijke verplichting volstaat. Die verwarring creëert nutteloze opt-ins en stelt de garage bloot aan klachten als de vinkjes niet correct worden afgehandeld.

Bijzonder geval: gegevens uit het voertuig

Met post-2018 connected cars haalt de garage die OBD aansluit potentieel gegevens uit de rekeneenheid binnen: kilometerstand, foutgeschiedenis, soms GPS-lokalisatie, real-time motordata, passagiercode (sommige modellen), Bluetooth-historiek.

Drie essentiële regels:

De houder van het voertuig is de enige die toestemming kan geven voor het verzamelen van deze gegevens. Voor een bedrijfswagen is dat de werkgever of de leasinghouder.
Het doel moet beperkt zijn tot reparatie of diagnose. Deze gegevens langer dan nodig bewaren (om bijvoorbeeld statistieken te maken) vereist een rechtsgrond en expliciete informatie.
De doorgifte aan een derde (constructeur, expert, verzekering) vereist toestemming of een duidelijke rechtsgrond (contractuele verplichting bijvoorbeeld).

De verordening (EU) 2024/1862 over voertuiggegevens (sectorale automotive Data Act, progressief in werking sinds 2025) versterkt deze verplichtingen en legt overdraagbaarheid op van voertuiggegevens naar andere dienstverleners.

Onderaanneming: een vaak vergeten punt

Een garage die een beheersprogramma gebruikt, vertrouwt zijn gegevens toe aan een verwerker in de zin van de AVG. Om conform te zijn moet de garage:

Met elke softwareleverancier een AVG-verwerkingsovereenkomst (DPA — Data Processing Agreement) tekenen
Zich vergewissen dat de gegevens in de EU worden gehost of in een land met adequaat beschermingsniveau
De technische beveiligingsmaatregelen checken (versleuteling, back-ups, toegangsrechten)
De lijst van verwerkers in zijn verwerkingsregister opnemen

Veel garages gebruiken een lappendeken van software (offertes in Excel, facturatie in een andere tool, foto's op privésmartphone) zonder formeel kader. Deze versnippering is een van de meest door de GBA gecontroleerde blinde vlekken.

Een geïntegreerd vakprogramma (CRM + facturatie + DVI + handtekening) vereenvoudigt de conformiteit radicaal, want één DPA volstaat. Karbill bijvoorbeeld levert een gestandaardiseerd DPA aan alle klanten en host zijn gegevens in de EU (tarieven en plannen).

GBA-sancties en controles in België

De Belgische GBA heeft sinds 2022 verschillende beslissingen gepubliceerd over de automobielsector:

Beslissing 64/2023: boete van 30 000 € aan een grote Vlaamse garage voor overmatige bewaring van klantgegevens (15 jaar in plaats van de noodzakelijke duur) en gebrek aan DPA met de softwareverwerker.
Beslissing 112/2024: boete van 18 000 € aan een Brusselse dealer voor afwezigheid van een procedure voor klantverzoeken inzake recht op toegang.
Beslissing 87/2025: formele waarschuwing aan meerdere garages over praktijken van leadverkoop aan verzekeraars of vergelijkingsplatformen zonder voorafgaande toestemming.

AVG-sancties kunnen in theorie 20 miljoen euro of 4 % van de wereldwijde jaaromzet bereiken. In praktijk schommelen de geobserveerde boetes voor een gemiddelde Belgische garage tussen 5 000 en 50 000 € naargelang de ernst.

Actieplan in 6 stappen voor een Belgische garage

Stap 1 — De verwerkingen in kaart brengen

Alle gegevensverwerkingen oplijsten: facturatie, offertes, werkplaats, DVI, marketing, betaling, foto's. Voor elke verwerking identificeren: het doel, de gegevens, de rechtsgrond, de bewaartermijn, de bestemmelingen.

Deze inventaris wordt het verplichte verwerkingsregister (artikel 30 AVG). Voor een garage met minder dan 250 werknemers is het vereenvoudigde register toegelaten, maar blijft het verplicht zodra de verwerkingen regelmatig zijn (wat steeds het geval is).

Stap 2 — Een duidelijk privacybeleid opstellen

Op de website en aan het onthaal een leesbaar gegevensbeschermingsbeleid publiceren dat beschrijft wat wordt verzameld, waarom, hoelang, aan wie het wordt doorgegeven en hoe rechten worden uitgeoefend. Een link in de AV van offerte of factuur volstaat om de klant bij ondertekening te informeren.

Stap 3 — Een DPA met elke verwerker tekenen

Alle dienstverleners identificeren die klantgegevens raadplegen: vakprogramma, websitehost, mailing, boekhouder, sms-integrator, elektronisch handtekenplatform. Met elk een DPA tekenen conform artikelen 28 e.v. AVG.

Stap 4 — Bewaartermijnen instellen

Per categorie vaste bewaartermijnen vastleggen en toepassen:

| Gegeven | Termijn | |---|---| | Facturen en BTW-registers | 7 jaar | | Actieve reparatiebonnen | 5 jaar na contract | | Klantgegevens zonder interactie | 3 jaar na laatste contact | | Lopende garantiedossiers | Tot vervaltermijn + 1 jaar | | DVI-foto's | 3 tot 5 jaar volgens noodzaak | | Bankkaartgegevens | 0 (delegeren aan betaaldienstverlener) |

Een gedocumenteerde en uitgevoerde jaarlijkse automatische zuiveringsprocedure moet bestaan.

Stap 5 — Procedure voor de rechten van betrokkenen

Een sjabloon van antwoord voorbereiden op klantverzoeken: recht op toegang, rectificatie, schrapping, overdraagbaarheid, verzet. De wettelijke antwoordtermijn is 1 maand (artikel 12 §3 AVG). Een typemail per verzoek, gevalideerd door een advocaat of DPO, versnelt de behandeling.

Stap 6 — Een aanspreekpunt aanduiden (DPO of contactpersoon)

Voor kleine garages (< 30 werknemers zonder grootschalige verwerking) volstaat een AVG-contactpunt. Voor grotere structuren of garages met intensieve marketing dekt een gepoolde externe DPO (300-800 €/jaar) de verplichtingen tegen redelijke kost.

Frequente fouten in garages

Plaatfoto's op privésmartphone. Een zeer gangbare technicipraktijk. Indien de smartphone privé is, valt hij buiten het beveiligingskader van de onderneming. De foto moet via de vakapplicatie (DVI) worden genomen die de data versiebeheert en versleutelt.

Nieuwsbrief verstuurd zonder duidelijke opt-in. Marketingtoestemming moet expliciet zijn, gescheiden van de AV en met één klik herroepbaar. Een voorgevinkt vakje is geen geldige toestemming.

Onbeperkte bewaring van gegevens. « We bewaren alles voor het geval dat » is juridisch onjuist en verhoogt de blootstelling bij een lek. Beter een strikt beleid dat inactieve contacten na 3 jaar zuivert.

Geen DPA met de software-uitgever. Zonder DPA is de garage juridisch verantwoordelijk voor elk tekort van zijn leverancier. Dit document opvragen is gratis en essentieel.

Veelgestelde vragen

Moet een garage zijn verwerking aangeven bij de GBA?

Nee. Sinds 2018 is geen voorafgaande aangifte meer nodig. De garage moet wel zijn verwerkingsregister bijhouden en op vraag bij controle voorleggen.

Wat doen bij een gegevenslek (cyberaanval, computerdiefstal)?

De AVG legt kennisgeving aan de GBA binnen 72 uur op indien het lek een risico voor de betrokken personen vormt. Voor significante lekken moeten ook de klanten rechtstreeks worden geïnformeerd. Een vooraf opgesteld incident response plan verdeelt de reactietijd door 10.

Wat kost een externe DPO voor een gemiddelde Belgische garage?

Een gepoolde externe DPO (die voor meerdere KMO's tegelijk werkt) kost doorgaans 300 tot 800 € per jaar voor een garage met minder dan 30 werknemers. Dat dekt: jaarlijkse audit, verwerkingsregister, GBA-contactpunt, beleidsupdates.

Heb ik de toestemming van de klant nodig om zijn dossier door te geven aan een andere garage?

Ja. Tenzij een rechtsgrond dit toelaat (bijvoorbeeld een doorgifte in het kader van een activiteitenoverdracht met voorafgaande klantinformatie). Bij twijfel een schriftelijke toestemming vragen voor de doorgifte.

Zijn DVI-foto's persoonsgegevens?

Indirect, ja. Een plaatfoto, of foto van een gepersonaliseerd voertuiginterieur, of een bandfoto van een via VIN identificeerbaar voertuig, is aan een persoon te koppelen (de houder). Ze moeten dus volgens de AVG worden behandeld: bewaartermijn, beperkte toegang, schrapping op verzoek.

Mag het rijksregisternummer worden verzameld door een garage?

Het rijksregisternummer is een zeer gevoelig gegeven. De verzameling door een garage is enkel toegelaten indien strikt noodzakelijk (bijvoorbeeld voor een WebDIV-inschrijvingsprocedure). Buiten dit geval is het gebruik als klantidentificator disproportioneel en onwettig.