Ben ik als ZZP'er verplicht een verwerkingsregister bij te houden?

Vrijwel zeker. De uitzondering voor bedrijven met minder dan 250 werknemers geldt alleen als je verwerking incidenteel is. Zodra je structureel klantgegevens verwerkt (facturen, e-mails, projecten), vervalt die uitzondering. Een simpele spreadsheet met je verwerkingen is voldoende.

Mag ik als ZZP'er een gratis Gmail-adres gebruiken voor klantcontact?

Juridisch is dat problematisch. Bij een gratis Gmail-account is Google zelf verwerkingsverantwoordelijke en is er geen verwerkersovereenkomst beschikbaar. Google Workspace (vanaf 5,75 euro per maand) biedt wel een verwerkersovereenkomst. Voor klantcommunicatie met persoonsgegevens is Workspace het minimum.

Heb ik als ZZP'er een functionaris gegevensbescherming nodig?

Nee, tenzij je kernactiviteit bestaat uit grootschalige verwerking van bijzondere gegevens (gezondheidsdata) of systematische monitoring van personen. Een freelance consultant, ontwikkelaar of ontwerper hoeft geen FG aan te stellen.

Kan de AP mij als kleine freelancer een boete opleggen?

Ja, maar het is onwaarschijnlijk dat de AP bij een freelancer begint met een boete. Ze starten meestal met voorlichting en waarschuwingen. Directe boetes worden opgelegd bij ernstige overtredingen, bijvoorbeeld een onbeveiligde website met medische gegevens. De boete is altijd proportioneel aan je omzet en de ernst van de overtreding.

AVG voor ZZP'ers: minimale checklist

Q: Wat als ik als fotograaf portretfoto's maak voor een klant?

Je hebt met twee regels te maken: het portretrecht en de AVG. Als je foto's maakt in opdracht van een klant (een bedrijf dat portretten wil voor de website), ben je verwerker en heb je een verwerkersovereenkomst nodig. De klant is verantwoordelijk voor toestemming van de gefotografeerde personen. Bewaar de foto's niet langer dan nodig en beveilig de overdracht.

Nederland telt ongeveer 1,2 miljoen ZZP'ers. De AVG geldt voor elke ZZP'er die persoonsgegevens verwerkt. Dat is vrijwel iedereen: als je klanten hebt, stuur je facturen met namen en adressen. Als je een website hebt, verzamel je IP-adressen.

Het goede nieuws: de verplichtingen voor een freelancer zijn beperkter dan voor een bedrijf met vijftig man personeel. Geen functionaris gegevensbescherming, geen DPIA voor de standaard klantenadministratie, geen complexe compliance-infrastructuur. Maar een paar dingen moet je wél regelen. Dit is de minimale checklist.

De checklist: 7 punten

1. Verwerkingsregister. Een overzicht van welke persoonsgegevens je verwerkt, van wie, waarvoor, met wie je ze deelt en hoe lang je ze bewaart. De beruchte uitzondering voor bedrijven met minder dan 250 werknemers geldt bijna nooit, omdat je als ZZP'er structureel klantgegevens verwerkt. Een spreadsheet met zeven kolommen is voldoende. Kost een halfuur om op te zetten.

2. Privacyverklaring. Op je website, bereikbaar via de footer. Wie je bent, welke gegevens je verwerkt, waarvoor, met wie je deelt, hoe lang je bewaart en welke rechten je klanten hebben. Houd het kort en begrijpelijk.

3. Verwerkersovereenkomsten. Met elke dienst die namens jou persoonsgegevens verwerkt: je hostingpartij, boekhoudpakket, nieuwsbrieftool, cloudopslag. Bij de meeste grote partijen is dit een kwestie van opzoeken en accepteren in hun admin-paneel. Bewaar een overzicht.

4. Beveiliging. Tweefactorauthenticatie op al je accounts. Versleuteling op je laptop en telefoon. HTTPS op je website. Automatische back-ups. Software-updates niet uitstellen. Dat is het basisniveau.

5. Datalekprocedure. Weet wat je moet doen als het misgaat: schade beperken, documenteren, beoordelen of je moet melden bij de AP (binnen 72 uur), en registreren in je datalekkenregister. Het register mag leeg zijn zolang er niets is gebeurd. Maar het moet klaarliggen.

6. Bewaartermijnen. Bepaal hoe lang je gegevens bewaart en houd je eraan. Factuurgegevens: 7 jaar (fiscale bewaarplicht). Klantgegevens na afloop van het project: verwijderen tenzij je een goede reden hebt om ze te bewaren. Mailinglijst: tot afmelding.

7. Rechten van klanten. Als een klant vraagt om inzage, correctie of verwijdering van gegevens, moet je binnen een maand reageren. Leg nu al vast waar je alle gegevens over een klant kunt vinden, zodat je niet zoekt als het verzoek binnenkomt.

Wil je snel checken of je als ZZP'er de AVG-basis op orde hebt? Doe de Privacy Scan en krijg binnen 2 minuten een overzicht van je verbeterpunten.

Wat je NIET hoeft te doen

Geen functionaris gegevensbescherming. Tenzij je kernactiviteit bestaat uit grootschalige verwerking van bijzondere gegevens (medisch, strafrechtelijk) of systematische monitoring. Een freelance consultant, ontwikkelaar, ontwerper of marketeer hoeft geen FG aan te stellen.

Geen DPIA. Tenzij je verwerkingen uitvoert met een hoog risico. Een standaard klantenadministratie, website of nieuwsbrief vereist geen DPIA. Werk je als psycholoog of coach met bijzondere gegevens? Dan mogelijk wel.

Geen toestemming vragen voor elke verwerking. Toestemming is maar een van de zes grondslagen. Je factuurgegevens verwerk je op grond van de overeenkomst met je klant. Je fiscale administratie op grond van een wettelijke verplichting. Toestemming is alleen nodig als geen andere grondslag past, zoals bij het plaatsen van marketingcookies.

Per beroep: waar moet je op letten?

IT-developer of consultant. Als je met klantdatabases werkt, ben je vaak verwerker. Je hebt dan een verwerkersovereenkomst nodig met je opdrachtgever. Werk niet met productiedata zonder afspraken. Gebruik testdata waar mogelijk. Beveilig je ontwikkelomgeving: geen SSH-keys of API-sleutels in publieke repositories.

Fotograaf. Portretrecht en AVG overlappen. Maak je foto's in opdracht van een bedrijf? Dan ben je verwerker en heb je een verwerkersovereenkomst nodig met je opdrachtgever. De opdrachtgever regelt de toestemming van de gefotografeerde personen. Bewaar bestanden niet langer dan nodig en versleutel de overdracht.

Coach, therapeut of psycholoog. Je verwerkt bijzondere persoonsgegevens (gezondheid). Dat vereist extra maatregelen: sterkere beveiliging, mogelijk een DPIA en een verwerkingsregister dat de gevoeligheid van de gegevens reflecteert. Bewaartermijnen in de zorg zijn langer: 20 jaar voor medische dossiers onder de WGBO.

Boekhouder. Je bent verwerker voor je klanten. Regel een verwerkersovereenkomst met elke klant. Bewaar fiscale gegevens 7 jaar. Let op het onderscheid: een zelfstandig boekhouder die zijn eigen werkwijze bepaalt, is soms een zelfstandige verwerkingsverantwoordelijke in plaats van een verwerker. Bespreek dit met je klant.

Marketeer of designer. Als je analytics, retargeting of e-mailcampagnes beheert voor klanten, verwerk je persoonsgegevens namens hen. Verwerkersovereenkomst nodig. Let op cookies en tracking: die vallen ook onder de Telecommunicatiewet.

De tools die je gebruikt: AVG-valkuilen

Gratis Gmail vs Google Workspace. Bij een gratis Gmail-account is geen verwerkersovereenkomst beschikbaar. Google bepaalt zelf hoe ze met de data omgaan. Google Workspace (vanaf 5,75 euro per maand) biedt wel een verwerkersovereenkomst. Voor zakelijk gebruik met klantgegevens is Workspace het minimum. Het prijsverschil is te klein om het risico te rechtvaardigen.

WhatsApp voor klantcontact. WhatsApp uploadt je volledige contactenlijst naar Meta's servers zodra je de app installeert. Zonder toestemming van die contacten. Er is geen verwerkersovereenkomst beschikbaar. Voor persoonlijk gebruik is het je eigen keuze. Voor zakelijk gebruik met klantgegevens is het juridisch problematisch. Alternatieven: Signal (geen metadata, open source) of een zakelijke berichtenoplossing.

Notion, Canva en andere cloudtools. Beide hebben een verwerkersovereenkomst beschikbaar, maar data wordt buiten de EU opgeslagen. Als je klantgegevens in Notion beheert of klantmateriaal in Canva verwerkt, controleer dan of de DPA is geaccepteerd en beperk wat je deelt.

Het actieplan: een middag werk

Ochtend: maak je verwerkingsregister. Loop je werkdag door: waar log je in, waar staan klantgegevens? Zet het in een spreadsheet.
Rond de middag: zoek de verwerkersovereenkomsten op van je belangrijkste tools (hosting, boekhouding, e-mail, cloudopslag). Accepteer ze.
Middag: schrijf je privacyverklaring en publiceer die op je website. Controleer of HTTPS actief is en of je tweefactorauthenticatie aan hebt staan.
Einde middag: maak een leeg datalekkenregister aan en bepaal je bewaartermijnen per type gegevens.

Dat is het. Geen juridisch adviesbureau nodig, geen dure software, geen weken werk. Een middag focus. Daarna een kwartier per kwartaal om te controleren of er iets veranderd is.

De AP verwacht geen perfectie van een freelancer. Ze verwachten dat je het serieus neemt. Deze checklist laat zien dat je dat doet.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.

AVG voor ZZP'ers: minimale checklist

De checklist: 7 punten

Wat je NIET hoeft te doen

Per beroep: waar moet je op letten?

De tools die je gebruikt: AVG-valkuilen

Het actieplan: een middag werk

Privacy Scan

Veelgestelde vragen

Gerelateerde artikelen