Skip to content
Nieuws calendar_today Bijgewerkt: 6 april 2026 schedule 5 min leestijd

Hoe Niet te Reageren op een Slechte Recensie: GDPR Lessen

Een bedrijf reageerde op een negatieve online review door persoonlijke gegevens van de klant te onthullen. Dit leverde een GDPR-boete op. Wat kun je hiervan leren?

summarize Kernpunten
  • check_circle Reageer nooit op een negatieve recensie door persoonlijke gegevens van de klant te onthullen
  • check_circle Het delen van klantgegevens in een openbare reactie is een schending van de GDPR, ook als de review onterecht is
  • check_circle Houd reacties op reviews algemeen en professioneel, verwijs naar een privegesprek voor details
  • check_circle Train je team om nooit klantinformatie te gebruiken in publieke communicatie

Wat is er gebeurd?

Een bedrijf ontving een negatieve recensie op een online platform. De klant klaagde over de service en gaf het bedrijf een lage beoordeling. Tot zover niets bijzonders, dat overkomt elk bedrijf.

Maar de eigenaar reageerde emotioneel. In zijn publieke reactie noemde hij details over de aankoop van de klant, de reden van het bezoek, en in sommige gevallen zelfs gezondheidsgerelateerde informatie. De bedoeling was om de klacht te weerleggen en “zijn kant van het verhaal” te vertellen.

Het resultaat: een klacht bij de toezichthouder en een boete wegens schending van de GDPR (in Nederland ook wel AVG genoemd).

Waarom is dit een GDPR-schending?

Persoonsgegevens die je verzamelt in het kader van je dienstverlening, koopgeschiedenis, medische informatie, financiele gegevens, contactgegevens, mag je alleen gebruiken voor het doel waarvoor je ze hebt verzameld. Het publiekelijk onthullen van die gegevens in een reactie op een online review is geen onderdeel van dat doel.

Concreet schendt dit meerdere GDPR-principes:

  • Doelbinding (Artikel 5(1)(b)) - je gebruikt de gegevens voor een ander doel dan waarvoor ze zijn verzameld
  • Integriteit en vertrouwelijkheid (Artikel 5(1)(f)) - je maakt vertrouwelijke gegevens openbaar
  • Rechtsgrond (Artikel 6) - je hebt geen geldige rechtsgrond om persoonsgegevens publiek te delen

En als het om gezondheidsgegevens gaat, schend je ook Artikel 9, het verbod op verwerking van bijzondere persoonsgegevens zonder specifieke uitzondering.

Het maakt niet uit of de klant ongelijk heeft

Dit is het punt waar veel ondernemers struikelen. “Maar de klant liegt! Ik wil laten zien wat er echt is gebeurd!”

Dat is begrijpelijk. Maar de GDPR maakt geen uitzondering voor situaties waarin de klant ongelijk heeft. Je hebt de persoonsgegevens ontvangen in een vertrouwelijke context (de klantrelatie), en je mag ze niet gebruiken om jezelf publiekelijk te verdedigen.

Zelfs als de review onterecht, overdreven of ronduit onwaar is: het onthullen van persoonsgegevens in je reactie is niet toegestaan.

Hoe reageer je wel op een negatieve review?

Regel 1: Houd het algemeen

Reageer professioneel en in algemene termen. Benoem geen specifieke details over de klant, de aankoop of de dienstverlening.

Niet: “Meneer kwam op 15 maart binnen voor behandeling X en heeft slechts 50 euro betaald, wat al een korting was.”

Wel: “We betreuren dat je ervaring niet aan je verwachtingen voldeed. We nemen elke klacht serieus.”

Regel 2: Verwijs naar een privegesprek

Nodig de klant uit om contact op te nemen zodat je de situatie in een prive-setting kunt bespreken.

“We zouden graag persoonlijk met je in gesprek gaan om dit op te lossen. Je kunt ons bereiken via [e-mail/telefoon].”

Regel 3: Nooit medische of financiele details

Zeker als je in de zorg, coaching of financiele dienstverlening werkt: vermeld nooit enige aanwijzing over de reden van het bezoek, de diagnose, de behandeling of het bedrag.

Regel 4: Laat het niet door iedereen doen

Wijs een of twee personen aan die verantwoordelijk zijn voor het reageren op reviews. Zorg dat zij getraind zijn. Een boze medewerker die impulsief reageert, kan in een paar zinnen een GDPR-overtreding begaan.

Wat als het al is gebeurd?

Als je al een reactie hebt geplaatst die persoonsgegevens bevat:

  1. Verwijder de reactie direct of bewerk deze om alle persoonsgegevens te verwijderen
  2. Documenteer het incident in je datalekregister, want het ongeautoriseerd openbaar maken van persoonsgegevens is een datalek
  3. Beoordeel of je het moet melden bij de toezichthouder (afhankelijk van de aard en gevoeligheid van de onthulde gegevens)
  4. Neem contact op met de betrokkene om te informeren over wat er is gebeurd

Train je team

Zorg dat iedereen die namens je bedrijf communiceert, of het nu gaat om reviews, social media of klantenservice, weet dat klantgegevens nooit in publieke communicatie mogen worden gebruikt.

Neem het op in je GDPR-bewustzijnstraining:

  • Wat mag je wel en niet zeggen in publieke reacties?
  • Bij wie meld je het als je twijfelt?
  • Wie is verantwoordelijk voor het beheer van online reviews?
auto_awesome Je team trainen in GDPR-bewustzijn?

GDPRWise helpt je om GDPR-bewustzijn te verankeren in je organisatie. Van duidelijke richtlijnen tot praktische documentatie.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.