Compliance

AVG voor zzp'ers: wat moet je echt regelen?

AVG voor zzp'ers en freelancers: ja, de AVG geldt vanaf je eerste klant. Dit is de proportionele minimumset die je echt moet regelen, zonder onnodige overhead.

Also available in:Español

Ja, de AVG geldt voor jou als zzp’er — vanaf je allereerste klant. De hardnekkige mythe dat de AVG “niet voor kleine bedrijven” of eenmanszaken zou gelden, klopt niet: de wet maakt geen uitzondering op basis van omzet of aantal medewerkers. Maar er is goed nieuws: de verplichtingen zijn proportioneel. Voor de meeste van de ruim 1,2 miljoen Nederlandse zzp’ers komt het neer op een beperkte, beheersbare minimumset — een privacyverklaring, een eenvoudig verwerkingsregister, verwerkersovereenkomsten met je tools en een basisproces voor datalekken. Deze gids zet af wat je écht moet regelen, zonder overbodige overhead.

Key Takeaways

  • De AVG geldt voor zzp’ers vanaf de eerste klant; er is geen omzet- of medewerkersdrempel.
  • De verplichtingen zijn proportioneel aan het risico, maar niet optioneel.
  • De 250-medewerkersuitzondering op het verwerkingsregister geldt vrijwel nooit, want je verwerkt structureel gegevens.
  • De minimumset: privacyverklaring, verwerkingsregister, verwerkersovereenkomsten, datalekproces.
  • Je bent verwerkingsverantwoordelijke voor je eigen administratie en marketing; voor werk namens een opdrachtgever kun je verwerker zijn.

Geldt de AVG echt voor een eenmanszaak?

Ja. De AVG is van toepassing zodra je persoonsgegevens verwerkt in het kader van je beroeps- of bedrijfsactiviteit. Een klantenbestand, facturatiegegevens, e-mailadressen van prospects, een nieuwsbrieflijst — het zijn allemaal persoonsgegevens. De omvang van je onderneming verandert daar niets aan. Wat wél meebeweegt, is de intensiteit van de verplichtingen: die is afgestemd op het risico van je verwerkingen. Een freelance tekstschrijver met een handvol zakelijke klanten heeft een lichter regime dan een zzp’er die gezondheidsgegevens of grote consumentenbestanden verwerkt. Het principe is hetzelfde als bij het mkb en kleine bedrijven: proportioneel, maar niet vrijblijvend.

De 250-medewerkersuitzondering geldt niet voor jou

Veel zzp’ers denken dat de vrijstelling van de registerplicht voor organisaties met minder dan 250 medewerkers hen ontslaat van administratie. Dat is een misverstand. Die uitzondering in artikel 30 lid 5 AVG vervalt zodra je verwerking niet incidenteel is — en klant- en factuuradministratie is per definitie structureel. In de praktijk moet vrijwel elke zzp’er dus tóch een verwerkingsregister bijhouden. Het goede nieuws: dat register mag kort en eenvoudig zijn.

De proportionele minimumset

Dit is wat je concreet regelt. Vier onderdelen dekken het voor de meeste zzp’ers.

Onderdeel Wat het inhoudt Waarom
Privacyverklaring Wat je verwerkt, waarom, hoe lang, welke rechten Informatieplicht art. 13/14 AVG
Verwerkingsregister Overzicht van je verwerkingen, grondslagen, bewaartermijnen Verantwoordingsplicht art. 30 AVG
Verwerkersovereenkomsten Contract met je tools die data verwerken Art. 28 AVG
Datalekproces Weten wat te doen bij een lek, melden binnen 72 uur Art. 33/34 AVG

1. Privacyverklaring. Zet een korte, heldere privacyverklaring op je website of stuur die bij een offerte mee. Vermeld welke gegevens je verwerkt, met welk doel, op welke grondslag, hoe lang je bewaart en welke rechten de betrokkene heeft. Voor de meeste zzp’ers past de grondslag “uitvoering van de overeenkomst” voor klantgegevens en “gerechtvaardigd belang” voor eenvoudige marketing.

2. Verwerkingsregister. Een spreadsheet volstaat vaak. Noteer per verwerking: welke gegevens, van wie, met welk doel, op welke grondslag, hoe lang je bewaart en met welke tools. Denk aan klantadministratie, boekhouding, nieuwsbrief en website-analytics.

3. Verwerkersovereenkomsten. Je gebruikt vrijwel zeker externe tools: een boekhoudpakket, een e-mailmarketingdienst, cloudopslag, een facturatietool. Die verwerken persoonsgegevens namens jou en zijn dus verwerkers. Sluit met elk een verwerkersovereenkomst; de meeste leveranciers bieden een standaard-DPA aan die je online accepteert. Gebruik onze uitleg over de verwerkersovereenkomst om te toetsen of alle verplichte elementen erin staan.

4. Datalekproces. Ook als eenpitter kun je een datalek hebben: een gestolen laptop, een verkeerd geadresseerde e-mail met een klantenlijst, een gehackt account. Weet vooraf wat je doet: beoordeel het risico voor betrokkenen en meld het binnen 72 uur bij de AP als dat risico er is. Onze gids over een datalek melden bij de AP beschrijft de stappen.

Verwerker of verantwoordelijke?

Voor je eigen administratie, marketing en klantcontact ben je verwerkingsverantwoordelijke. Werk je als freelancer in opdracht en verwerk je gegevens volgens de instructies van je opdrachtgever — bijvoorbeeld een interim-marketeer die de mailinglijst van de klant beheert — dan ben je voor dát werk verwerker, en sluit je opdrachtgever een verwerkersovereenkomst met jou. Deze rolbepaling is dezelfde afweging die geldt bij checklists voor AVG-naleving in bedrijven: wie bepaalt doel en middelen?

Houd het beheersbaar

Overdrijf niet. Een zzp’er hoeft geen FG, geen DPIA voor elk klusje en geen dik privacybeleid. Focus op de minimumset, houd die actueel en pas hem aan als je activiteiten risicovoller worden (bijvoorbeeld als je bijzondere gegevens gaat verwerken). Voor wie het overzichtelijk en overdraagbaar wil houden zonder losse bestanden, bieden platforms zoals Legiscope een lichte manier om het register, de privacyverklaring en de verwerkersovereenkomsten op één plek te beheren.

Veelgemaakte fouten bij zzp’ers

Drie fouten komen bij zzp’ers keer op keer terug. De eerste is het te lang bewaren van gegevens: oude offertes, afgewezen sollicitaties en klantdossiers die jaren blijven staan zonder reden. Koppel aan elke verwerking een bewaartermijn. De tweede is het ontbreken van verwerkersovereenkomsten met alledaagse tools zoals een mailprogramma of boekhoudpakket — juist die verwerken de meeste persoonsgegevens. De derde is een onduidelijke of ontbrekende privacyverklaring, waardoor je niet aan de informatieplicht voldoet.

Geen van deze fouten vergt een dure oplossing. De Autoriteit Persoonsgegevens verwacht van een kleine ondernemer geen bedrijfsjurist, maar wél dat je de basis aantoonbaar op orde hebt. Bij een klacht of een datalek is dat het verschil tussen een gesprek en een probleem.

Wanneer moet je opschalen?

Je regime groeit mee met je activiteiten. Ga je bijzondere gegevens verwerken (gezondheid, biometrie), grootschalig profileren, of stelselmatig mensen monitoren, dan komen zwaardere verplichtingen in beeld: mogelijk een gegevensbeschermingseffectbeoordeling (DPIA) en strengere beveiliging. Ook als je personeel aanneemt, groeit je administratie. Toets daarom periodiek of je minimumset nog past bij wat je doet. Voor de meeste zzp’ers blijft het echter bij de vier basisonderdelen — mits die actueel en aantoonbaar zijn. Reserveer één keer per jaar een half uur om je privacyverklaring, je register en je verwerkersovereenkomsten door te lopen: zijn er nieuwe tools bijgekomen, klopt de lijst met klanten nog, en gebruik je nog wat je verzamelt? Die korte jaarlijkse check houdt je compliance goedkoop en up-to-date, zonder dat je er een aparte functie of adviseur voor nodig hebt.

FAQ

Geldt de AVG voor een zzp’er of eenmanszaak?

Ja, vanaf de eerste klant. De AVG maakt geen uitzondering op basis van omzet of aantal medewerkers. Zodra je persoonsgegevens verwerkt voor je onderneming — klantgegevens, facturen, een nieuwsbrieflijst — gelden de verplichtingen, zij het proportioneel aan het risico.

Moet ik als zzp’er een verwerkingsregister bijhouden?

In de praktijk vrijwel altijd. De vrijstelling voor organisaties onder 250 medewerkers vervalt zodra je verwerking niet incidenteel is, en klant- en factuuradministratie is structureel. Een kort, eenvoudig register in een spreadsheet volstaat voor de meeste zzp’ers.

Wat is het minimum dat ik als freelancer moet regelen?

Vier dingen: een privacyverklaring, een eenvoudig verwerkingsregister, verwerkersovereenkomsten met de tools die je gebruikt, en een basisproces voor datalekken. Dat dekt de kern voor de meeste zzp’ers zonder onnodige overhead.

Ben ik verwerker of verwerkingsverantwoordelijke?

Voor je eigen administratie en marketing ben je verwerkingsverantwoordelijke. Werk je in opdracht en verwerk je gegevens volgens de instructies van je opdrachtgever, dan ben je voor dat werk verwerker en sluit je opdrachtgever een verwerkersovereenkomst met jou. Bepalend is wie doel en middelen vaststelt.

Zie ook: AVG voor makelaars en AVG voor verenigingen en stichtingen.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →