Mag ik van grondslag wisselen nadat ik gegevens heb verzameld?

In principe niet. Je bepaalt de grondslag vooraf, op het moment van verzamelen. Achteraf switchen (bijvoorbeeld van toestemming naar gerechtvaardigd belang als iemand zich uitschrijft) is niet toegestaan. Kies daarom van begin af aan de juiste grondslag.

Welke grondslag gebruik ik als ik AI-tools inzet voor klantwerk?

Gerechtvaardigd belang is het meest realistisch. Je hebt een legitiem belang (efficiente dienstverlening), maar je moet afwegen tegen het privacybelang van de klant. Maatregelen als anonimiseren en een verwerkersovereenkomst versterken je positie. Meer hierover in ons artikel over AI-tools en klantdata.

Is een pre-aangevinkt vakje geldige toestemming?

Nee. De AVG vereist een actieve handeling. Pre-aangevinkte vakjes, "door verder te browsen stemt u in", en gebundelde toestemming (akkoord met alles tegelijk) zijn ongeldig. De betrokkene moet bewust en specifiek instemmen.

Heb ik toestemming nodig om een factuur te sturen?

Nee. Facturatie valt onder "uitvoering overeenkomst." Je klant heeft een opdracht gegeven, jij stuurt een factuur. Daar is geen extra toestemming voor nodig. Dit is een van de meest voorkomende misverstanden bij ZZP'ers.

Moet ik de grondslag vermelden in mijn privacyverklaring?

Ja. Artikel 13 AVG vereist dat je per verwerking de grondslag vermeldt. In je privacyverklaring en je verwerkingsregister. Het hoeft niet ingewikkeld te zijn: "facturatie: uitvoering overeenkomst" is voldoende.

De 6 AVG-grondslagen: welke gebruik jij?

Je stuurt een factuur. Je bewaart een e-mailadres. Je houdt bij wie je klanten zijn. Allemaal verwerkingen van persoonsgegevens. En elke verwerking heeft een juridische basis nodig. De AVG noemt dat een "grondslag" (artikel 6). Er zijn er zes. Je gebruikt er waarschijnlijk drie. En de meestgemaakte fout is de verkeerde kiezen.

In het kort

Drie grondslagen voor ZZP'ers: overeenkomst (facturatie), gerechtvaardigd belang (analytics, AI), toestemming (nieuwsbrief)
Toestemming is de zwakste grondslag — gebruik het alleen als het moet
Leg je keuze vast in je verwerkingsregister en privacyverklaring

Welke grondslag gebruik je waarvoor?

Facturatie (naam, adres, KvK, IBAN): uitvoering overeenkomst
Projectwerk (klantgegevens voor de opdracht): uitvoering overeenkomst
Offerte maken op verzoek: uitvoering overeenkomst (pre-contractueel)
Nieuwsbrief: toestemming
Website-analytics: gerechtvaardigd belang
Fiscale administratie (7 jaar bewaren): wettelijke verplichting
AI-tools voor klantwerk: gerechtvaardigd belang (met maatregelen)
Ex-klant mailen over nieuwe dienst: gerechtvaardigd belang (met opt-out)
Cookie-tracking: toestemming

Vermeld dit in je verwerkingsregister en je privacyverklaring. Twijfel je welke grondslag bij jouw situatie past? De Privacy Scan helpt je in 2 minuten op weg.

Stop met overal toestemming vragen

De meeste ZZP'ers zetten overal checkboxes. "Geeft u toestemming voor het verwerken van uw gegevens?" Bij het contactformulier. Bij de offerte. Bij de intake. Veilig is veilig, denken ze.

Het tegenovergestelde is waar. Toestemming is de zwakste grondslag die je kunt kiezen.

Toestemming kan worden ingetrokken. Op elk moment. Als een klant halverwege een project zijn toestemming intrekt en dat was je enige grondslag, heb je geen basis meer om zijn gegevens te verwerken. Inclusief de factuur die je nog moet sturen.

Toestemming moet "vrij" zijn. In een klantrelatie is er een machtsverhouding. Als je klant denkt dat hij de opdracht niet krijgt als hij nee zegt, is de toestemming niet vrij. De AP is hier streng op.

Toestemming moet bewijsbaar zijn. Wie heeft ingestemd, wanneer, waarmee, hoe. Bij een mondeling gesprek is dat onmogelijk aan te tonen.

Een concreet scenario: je bouwt een website voor een klant. Bij de intake vraag je "geeft u toestemming voor het verwerken van uw gegevens?" De klant zegt ja. Drie maanden later, halverwege het project, trekt hij zijn toestemming in. Je hebt nu geen grondslag meer om zijn naam, adres en projectbestanden te verwerken. Maar je moet nog een factuur sturen. En je hebt een verwerkersovereenkomst met je hostingpartij die op zijn domeinnaam draait. Juridisch zit je klem.

Had je "uitvoering overeenkomst" als grondslag gekozen, was er niets aan de hand geweest. Die grondslag geldt zolang de overeenkomst loopt. Geen checkbox nodig. Niet intrekbaar. Juridisch sterker.

De vuistregel: bewaar toestemming voor de twee gevallen waar je geen andere grondslag hebt (nieuwsbrief en cookie-tracking). Voor al het andere: overeenkomst of gerechtvaardigd belang.

De drie grondslagen die je als ZZP'er gebruikt

Uitvoering overeenkomst (artikel 6 lid 1 sub b). Je sterkste grondslag. Een developer die een website bouwt mag naam, e-mail, briefing en projectfeedback verwerken. Een boekhouder die administratie doet mag naam, adres, BSN en financiele gegevens verwerken. Geen extra toestemming nodig.

Het sleutelwoord is "noodzakelijk." Je mag verwerken wat nodig is voor de opdracht. Niet meer. Het e-mailadres voor facturatie: noodzakelijk. Datzelfde adres toevoegen aan je marketinglijst: niet noodzakelijk voor de overeenkomst.

Een subtiliteit: de overeenkomst dekt ook de pre-contractuele fase. Een prospect stuurt een offerteverzoek. Je bewaart naam en e-mail om de offerte te maken. Dat valt onder artikel 6 lid 1 sub b. Geen toestemming nodig.

Gerechtvaardigd belang (artikel 6 lid 1 sub f). De flexibele grondslag voor verwerkingen die niet direct onder een overeenkomst vallen: website-analytics, netwerkbeveiliging, marketing aan bestaande klanten, AI-tools voor tekstwerk.

Geen vrijbrief. Je doorloopt drie stappen:

Heb je een concreet, gerechtvaardigd belang? Efficiente dienstverlening, kwaliteitsverbetering, direct marketing. Sinds de KNLTB-uitspraak van het Europese Hof (oktober 2024) mogen ook commerciele belangen gerechtvaardigd zijn. Maar: het arrest is geen vrijbrief. De KNLTB verloor uiteindelijk omdat ze ledendata verkochten zonder opt-out. Het principe is bevestigd, de eisen aan documentatie en alternatieven zijn aangescherpt.
Is de verwerking noodzakelijk? Kun je het doel bereiken zonder persoonsgegevens?
Weegt jouw belang op tegen het privacybelang? Factoren: hoe gevoelig zijn de gegevens? Kon de betrokkene verwachten dat je dit met zijn data zou doen? Bied je een opt-out? Bij gewone contactgegevens voor marketing aan bestaande klanten: meestal ja. Bij gevoelige gegevens of profilering: meestal nee.

Leg de afweging vast. Geen juridisch document, een alinea is genoeg. Twee voorbeelden:

"Ik gebruik Plausible voor website-analytics. De verwerking betreft geanonimiseerde bezoekersdata zonder cookies. Belang: inzicht in welke content werkt. Privacyrisico: minimaal. Geen opt-in nodig."

"Ik gebruik de ChatGPT API met verwerkersovereenkomst voor het herschrijven van klantcommunicatie. Klantdata wordt geanonimiseerd voor invoer. Training staat uit. Belang: efficiente dienstverlening. Noodzaak: ja, handmatig herschrijven is disproportioneel tijdrovend. Privacyrisico: beperkt door anonimisering, DPA en opt-out."

Dat is een Legitimate Interest Assessment (LIA). Vastleggen en klaar. Meer over AI-tools en klantdata lees je in het artikel over AI-tools en klantdata.

Wat als de AP je gerechtvaardigd belang betwist? Dan moet je je afweging kunnen laten zien. Zonder documentatie sta je met lege handen. Met een alinea in een notitie heb je een antwoord. De AP verwacht geen juridisch rapport. Ze verwachten dat je erover hebt nagedacht.

Toestemming (artikel 6 lid 1 sub a). Alleen voor verwerkingen waar geen andere grondslag beschikbaar is. In de praktijk voor ZZP'ers: je nieuwsbrief en cookie-tracking. Dat is het meestal.

De eisen zijn streng:

Vrij gegeven (geen druk, geen "je krijgt de opdracht niet als je nee zegt")
Specifiek (per verwerking apart, niet gebundeld)
Geinformeerd (de betrokkene weet waarvoor en door wie)
Ondubbelzinnig (actieve handeling, geen pre-checked box, geen "door verder te browsen stemt u in")
Intrekbaar (en intrekken moet net zo makkelijk zijn als geven)
Bewijsbaar (je moet kunnen aantonen: wie, wanneer, waarmee ingestemd)

Meer over de nieuwsbrief en toestemming lees je in het artikel over nieuwsbrief en de AVG.

De drie die je waarschijnlijk niet gebruikt

Wettelijke verplichting (artikel 6 lid 1 sub c). De Belastingdienst verplicht je om je fiscale administratie 7 jaar te bewaren. Dat omvat facturen, bankafschriften en de bijbehorende klantgegevens. Als je personeel hebt: loonadministratie, loonbelastingverklaringen, kopie ID (5 jaar na einde dienstverband). Bij bepaalde beroepen geldt een identificatieplicht. Je hebt hier geen toestemming voor nodig. De wet verplicht het, en die gaat boven het verwijderingsrecht van de betrokkene. Meer over bewaartermijnen lees je in het artikel over bewaartermijnen.

Vitaal belang (lid 1 sub d). Om iemands leven te beschermen. Noodgevallen in de zorg. Niet relevant voor de meeste ZZP'ers.

Publiek belang (lid 1 sub e). Overheidstaken. Niet relevant voor freelancers.

Hoe je het vastlegt

Twee plekken: je verwerkingsregister (intern) en je privacyverklaring (extern). Per verwerking de grondslag. Meer over je privacyverklaring lees je in het artikel over privacybeleid.

Twee voorbeelden.

Freelance developer:

Facturatie (Moneybird): uitvoering overeenkomst
Projectcommunicatie (Google Workspace): uitvoering overeenkomst
Hosting klantwebsite (Vercel): uitvoering overeenkomst
Nieuwsbrief (Brevo): toestemming
Website-analytics (Plausible): gerechtvaardigd belang
Fiscale bewaarplicht (7 jaar): wettelijke verplichting
AI-tools tekstwerk (ChatGPT API): gerechtvaardigd belang

Zelfstandig boekhouder:

Klantadministratie (Exact Online): uitvoering overeenkomst
Salarisverwerking (Nmbrs): wettelijke verplichting
E-mailcorrespondentie (Microsoft 365): uitvoering overeenkomst
Belastingaangifte (eHerkenning): wettelijke verplichting
Nieuwsbrief met fiscale tips (Brevo): toestemming
Marketing aan bestaande klanten: gerechtvaardigd belang (met opt-out)

De boekhouder heeft meer wettelijke verplichtingen. De developer meer gerechtvaardigd-belang verwerkingen. Het register weerspiegelt je situatie.

Verkeerde grondslag gekozen. Wat nu?

Je hebt overal toestemming gevraagd. Bij je intake, bij je contactformulier, bij je facturen. Nu lees je dit artikel en je realiseert dat je beter "uitvoering overeenkomst" had kunnen kiezen.

Het goede nieuws: je hoeft niet al je klanten opnieuw te benaderen. De AVG verbiedt het achteraf wisselen van grondslag voor dezelfde gegevens. Maar in de praktijk is de situatie genuanceerder.

Als je toestemming hebt gevraagd waar je eigenlijk "uitvoering overeenkomst" had moeten kiezen, heb je in feite een overbodige toestemming verzameld. De overeenkomst bestond al als grondslag. De toestemming was overbodig maar niet schadelijk. Je kunt voor toekomstige klanten de juiste grondslag hanteren en bij bestaande klanten je privacyverklaring en verwerkingsregister bijwerken.

Het wordt problematischer als je gerechtvaardigd belang had moeten kiezen maar toestemming hebt gebruikt, en iemand trekt die toestemming in. Dan zit je zonder grondslag voor die verwerking. In dat geval: stop de verwerking, evalueer of gerechtvaardigd belang alsnog van toepassing is (met documentatie), en raadpleeg een privacy-specialist als het om gevoelige gegevens gaat.

De les: kies de grondslag vooraf, niet achteraf. Vermeld de grondslag per verwerking in je verwerkingsregister en privacyverklaring. De complexiteit zit niet in de regels. Die zit in het feit dat niemand je verteld heeft dat je ze moet toepassen.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.