Mag een hoofdaannemer de contactgegevens van alle bewoners delen met onderaannemers?

Een hoofdaannemer mag de contactgegevens van kopers delen met onderaannemers indien dit verenigbaar is met het oorspronkelijke doel waarvoor de gegevens werden verzameld, zoals de coördinatie van de bouwwerken. Het doorgeven van een volledige bewonerslijst terwijl de onderaannemer slechts de gegevens van enkele bewoners nodig heeft, is echter een duidelijke schending van het principe van minimale gegevensverwerking onder de Algemene Verordening Gegevensbescherming (AVG/GDPR). Een dergelijke inbreuk kan leiden tot een sanctie, zoals een formele berisping door de Gegevensbeschermingsautoriteit (GBA).

De feiten

Tijdens de realisatie van een nieuwbouwproject, waarbij een groot vastgoedcomplex werd gebouwd, bezorgde de opdrachtgever een lijst met de contactgegevens van alle bewoners aan de hoofdaannemer. Het doel hiervan was om onderaannemers in staat te stellen rechtstreeks afspraken te maken met de kopers om hun opmerkingen over de bouwwerken te bespreken.

Door aanzienlijke vertragingen in de bouwwerkzaamheden ontstond er een dringende situatie rondom de aansluiting van de woningen op het kabeltelevisienetwerk. Om deze werken af te ronden, stuurde de hoofdaannemer de volledige lijst met bewoners door naar de technische onderaannemer van een telecommunicatiebedrijf. Het telecommunicatiebedrijf stuurde deze lijst vervolgens per ongeluk door naar zijn commerciële onderaannemer, die belast was met telefonische prospectie.

Dit leidde ertoe dat de bewoners ongevraagd maandelijkse telefoonoproepen ontvingen voor direct marketing. Een van de eigenaars diende hierop een klacht in bij de Gegevensbeschermingsautoriteit tegen de hoofdaannemer, het telecommunicatiebedrijf, de opdrachtgever en de commerciële onderaannemer.

De beslissing van de GBA

De Geschillenkamer van de GBA sprak zich op 16 februari 2026 (nr. 32/2026) uit over verschillende vermeende inbreuken op de AVG.

Ten aanzien van de hoofdaannemer oordeelde de GBA:

• Het doorgeven van de lijst voor de aansluiting van nutsvoorzieningen diende een ander doel dan het louter “bespreken van opmerkingen”.
• Deze doorgifte was echter verenigbaar met het oorspronkelijke doel, aangezien het een direct en voorspelbaar gevolg was van de coördinatie van de werkzaamheden. Er was dus geen nieuwe rechtmatigheidsgrond vereist.
• De hoofdaannemer deelde echter de gegevens van alle 271 bewoners, terwijl de technische onderaannemer slechts in twee woningen moest ingrijpen.
• Dit vormt een schending van het beginsel van minimale gegevensverwerking (artikel 5.1.c AVG). De GBA legde hiervoor een berisping op, waarbij rekening werd gehouden met verzachtende omstandigheden zoals de hoogdringendheid van de werken.

Wat het telecommunicatiebedrijf betreft, besloot de GBA:

• De onterechte doorgifte aan de commerciële onderaannemer was een menselijke fout en kwalificeert als een datalek (inbreuk in verband met persoonsgegevens).
• Het bedrijf had vooraf voldoende passende technische en organisatorische maatregelen genomen (zoals opleidingen en gedragscodes) en handelde correct na de ontdekking van het lek.
• Alle grieven tegen het telecommunicatiebedrijf werden bijgevolg geseponeerd. Ook de klachten tegen de opdrachtgever en de commerciële onderaannemer werden geseponeerd.

Juridische analyse en duiding

Deze beslissing illustreert treffend de delicate balans tussen de operationele realiteit op een bouwwerf en de strikte vereisten van de AVG/GDPR.

Allereerst bevestigt de GBA een pragmatische interpretatie van het beginsel van doelbinding (artikel 5.1.b AVG) en de verenigbaarheidstoets (artikel 6.4 AVG). De transitie van het verzamelen van gegevens om ‘opmerkingen te bespreken’ naar het ‘organiseren van praktische aansluitingswerken’ wordt als verenigbaar beschouwd, gezien de rol van de hoofdaannemer als coördinator. Dit bespaart ondernemingen de last om voor elke operationele tussenstap een nieuwe toestemming of rechtsgrond te moeten zoeken.

Echter, de beslissing trekt een harde lijn bij het beginsel van minimale gegevensverwerking (artikel 5.1.c AVG). Zelfs in situaties van operationele urgentie — zoals het dreigende uitstel van nutswerken waardoor bewoners zonder televisie of internet zouden vallen — ontslaat dit een verwerkingsverantwoordelijke niet van de plicht om data te filteren. Het “voor de zekerheid” doorsturen van een volledige databank is een klassieke valkuil in de bouwsector die onvermijdelijk tot non-conformiteit leidt.

Daarnaast is de beoordeling van het telecommunicatiebedrijf cruciaal voor de interpretatie van verantwoordingsplicht en databeveiliging (artikel 5.1.f en 24.1 AVG). De GBA erkent expliciet dat beveiligingsvereisten een middelenverbintenis vormen. Een menselijke fout die leidt tot een datalek (het verkeerd doorsturen van een e-mail) staat niet automatisch gelijk aan een gebrek aan passende technische en organisatorische maatregelen, mits de onderneming kan aantonen dat er een robuust beleid (opleidingen, contractuele waarborgen, snelle risicoanalyse en respons) aanwezig is.

Wat dit concreet betekent

Deze uitspraak heeft praktische gevolgen voor verschillende actoren in de toeleveringsketen:

• Voor bouwpromotoren en hoofdaannemers: U mag contactgegevens van kopers delen met onderaannemers voor de uitvoering en coördinatie van de werken. U moet echter strikt waken over welke gegevens u deelt. Vraag altijd specifiek op welke adressen een interventie nodig is en deel enkel de gegevens van die specifieke bewoners. Een “passe-partout” lijst bezorgen is uit den boze.
• Voor (onder)aannemers en installateurs: Beperk uw verzoeken om informatie tot wat strikt noodzakelijk is voor uw interventie. Als u niet specificeert welke gegevens u nodig heeft, brengt u de hoofdaannemer in een lastig parket inzake de AVG.
• Voor grotere ondernemingen (zoals telecom): Deze zaak bewijst de enorme waarde van interne compliancetrajecten. Zorg ervoor dat uw werknemers getraind zijn, dat uw “Gedragscode voor leveranciers” in orde is, en dat u direct ingrijpt bij een incident (ook al is het risico laag). Dit kan u redden van zware administratieve boetes wanneer een medewerker een fout maakt.

Veelgestelde vragen (FAQ)

Wat houdt het principe van minimale gegevensverwerking precies in?
Dit principe uit de AVG bepaalt dat u enkel de persoonsgegevens mag opvragen en verwerken die absoluut noodzakelijk, ter zake dienend en toereikend zijn voor het doel dat u wil bereiken. In de praktijk betekent dit bijvoorbeeld dat u geen lijst van 200 personen mag doorsturen als u slechts met 2 personen contact moet opnemen.

Kan een bedrijf beboet worden als een werknemer per ongeluk een datalek veroorzaakt?
Niet noodzakelijk. De wetgeving legt bedrijven een middelenverbintenis op. Als een bedrijf kan aantonen dat het voldoende beveiligingsmaatregelen, opleidingen en interne instructies heeft voorzien, wordt een menselijke vergissing niet automatisch aanzien als een structurele schending van de beveiligingsplicht door het bedrijf.

Mogen onderaannemers verkregen klantgegevens gebruiken voor reclame?
Nee. Gegevens die verkregen zijn voor de uitvoering van een contract (zoals bouwwerken), mogen niet zonder meer gebruikt worden voor direct marketing of commerciële prospectie. Werknemers en onderaannemers mogen gegevens uitsluitend verwerken in opdracht en volgens de instructies van de verwerkingsverantwoordelijke.

Conclusie

Het delen van klant- en bewonersgegevens in een keten van aannemers en onderaannemers is een dagelijkse noodzaak, maar brengt aanzienlijke risico’s met zich mee. Hoewel de Gegevensbeschermingsautoriteit pragmatisch omgaat met de doeleinden van gegevensverwerking op een werf, treedt zij streng op wanneer er onnodig veel persoonsgegevens worden gedeeld. Tegelijkertijd toont deze beslissing aan dat in België een sterke interne gegevensbeschermingscultuur ondernemingen effectief beschermt tegen sancties bij menselijke fouten.