Dit is algemene informatie, geen juridisch advies. Neem bij twijfel contact op met een deskundige op het gebied van gegevensbescherming.
Is de AVG van toepassing op QR-codes?
Een QR-code is slechts een gecodeerde link of stuk tekst. Op zichzelf verzamelt deze niets. De AVG komt op twee manieren in beeld:
Het bijhouden van de scan. Een dynamische QR-code stuurt elke scan via een omleidingsserver voordat de bezoeker wordt doorgestuurd. Die server kan informatie over het scannende apparaat vastleggen, en een deel van die informatie geldt volgens de EU-wetgeving als persoonsgegevens.
Wat u na de scan vraagt. Als de code leidt naar een aanmeldformulier, een pagina voor het verzamelen van leads, of iets dat namen, e-mailadressen of telefoonnummers verzamelt, verwerkt u persoonsgegevens zodra iemand dit invult.
De vraag is dus niet echt "zijn QR-codes AVG-conform?" Het is eerder "zijn mijn scan-tracking en mijn landingspagina conform?"
Welke gegevens verzamelt een QR-codescan eigenlijk?
Wanneer een dynamische code wordt gescand, kan een tracking-platform doorgaans het volgende zien:
IP-adres, gebruikt om de locatie te schatten. Een volledig IP-adres wordt onder de AVG beschouwd als persoonsgegevens, omdat het kan worden herleid tot een individu.
Geschatte locatie, meestal op stad-/landniveau, afgeleid van het IP-adres.
Apparaat en browser, besturingssysteem, apparaattype, browser (afkomstig uit de user-agent string).
Tijdstip, de datum en lokale tijd van de scan.
Wat een standaardscan niet kan zien: uw naam, telefoonnummer, e-mailadres, contacten, of exacte gps-locatie. Die gegevens worden alleen verzameld als de bezoeker deze vrijwillig invult op een pagina, of expliciet toestemming geeft voor locatietoegang in de browser.
De kern van de compliance: een volledig IP-adres is een persoonsgegeven; geaggregeerde, geanonimiseerde statistieken zijn dat niet. Weten dat "200 mensen in Lissabon dit dinsdag hebben gescand, voornamelijk met iPhones" zegt niets over een individu, en dat is precies het soort gegevens waarmee u vrij kunt werken.
De vier zaken die QR-tracking compliant maken
Europese toezichthouders voor gegevensbescherming en de eigen beginselen van de AVG wijzen op dezelfde handvol praktijken:
1. Minimale gegevensverwerking. Verzamel alleen wat u nodig heeft. Als u scans op een poster telt, hoeft u geen ruwe IP-adressen te bewaren; geanonimiseerde, geaggregeerde tellingen volstaan voor vrijwel elke marketingbeslissing. Platforms die het IP-adres anonimiseren of hashen voordat ze het opslaan (zodat het niet meer aan een persoon kan worden gekoppeld), zitten hiermee standaard aan de goede kant.
2. Geen niet-essentiële cookies zonder toestemming. Hier gaat het bij de meeste bedrijven mis. Als uw dynamische code de scan doorgeeft aan Google Analytics, een Meta-pixel, of een andere tracker van derden, plaatsen die cookies op het apparaat van de bezoeker, en volgens de AVG en de ePrivacy-regels vereisen niet-essentiële cookies expliciete, opt-in toestemming (een echte banner, geen vooraf aangevinkt vakje). Als uw tracking server-side en geanonimiseerd is, heeft u voor de scan zelf mogelijk geen banner nodig.
3. Transparantie. Als de pagina na de scan persoonsgegevens verzamelt, heeft u een duidelijk, gekoppeld privacybeleid nodig dat uitlegt wat u verzamelt, waarom, en hoe lang. Deze informatie moet duidelijk zichtbaar zijn, bij voorkeur bij de code of op de landingspagina.
4. Het recht op vergetelheid. Mensen kunnen u vragen hun gegevens te verwijderen. U (en uw QR-platform, dat optreedt als verwerker) moet hieraan kunnen voldoen. Een betaald QR-platform moet ook een verwerkersovereenkomst (DPA) aanbieden, uw bewijs dat uw leverancier gegevens conform de regels verwerkt.
Wat niemand vermeldt: waar uw gegevens zich bevinden
Hier is een vraag die het waard is om aan uw huidige QR-tool te stellen: op welk continent worden mijn scangegevens opgeslagen? Veel bekende platforms, zoals Bitly, QR Tiger, Uniqode en Flowcode, draaien op Amerikaanse infrastructuur. Dat maakt ze niet illegaal, maar het brengt wel vragen over internationale gegevensoverdracht met zich mee die u moet documenteren, en voor sommige privacybewuste organisaties is dat een breekpunt.
Door de gegevens binnen de EU te houden, vervalt die hele categorie vragen op voorhand. In combinatie met de bovengenoemde tracking-praktijken is EU-hosting plus geanonimiseerde, cookievrije analyse ongeveer de schoonst mogelijke compliance-aanpak voor QR-tracking.
Een eenvoudige compliance-checklist
Voordat u ook maar één code afdrukt:
✅ Gebruik een platform dat IP-adressen anonimiseert/hasht en geen ruwe adressen opslaat.
✅ Vermijd trackers van derden in het omleidingspad, of toon een correcte toestemmingsbanner als u ze toch gebruikt.
✅ Als de landingspagina persoonsgegevens verzamelt, koppel dan een duidelijk privacybeleid en verzamel alleen wat nodig is.
✅ Zorg ervoor dat u de gegevens van een persoon kunt verwijderen op verzoek.
✅ Vraag een DPA aan bij uw leverancier (bij een betaald abonnement zou u er automatisch een moeten kunnen downloaden).
✅ Extra tip: kies voor in de EU gehoste infrastructuur om vragen over gegevensoverdracht te vermijden.
De eenvoudige oplossing
U kunt uw huidige tool toetsen aan deze checklist, of gebruikmaken van een tool die standaard aan alle eisen voldoet. EUQR host uw gegevens in Amsterdam, slaat nooit ruwe IP-adressen op, plaatst geen trackingcookies van derden, berekent statistieken op basis van privacyvriendelijke, dagelijks roterende hashes, en biedt een DPA bij elk betaald account. U krijgt de inzichten, zoals scans, globale locatie en apparaat, zonder ooit gegevens te bewaren die een persoon kunnen identificeren.
Maak een AVG-vriendelijke QR-code, gratis, geen registratie nodig →