FRLNCR.
AVG Verplichtingen voor ZZP'ers: Praktische Gids 2026
Terug naar Juridisch
⚖️Juridisch

AVG Verplichtingen voor ZZP'ers: Praktische Gids 2026

AVG verplichtingen voor ZZP'ers uitgelegd: verwerkingsregister, privacyverklaring, cookiebeleid en beveiliging. Stap voor stap voldoen aan de privacywet.

Frlncr Redactie·

Als ZZP'er verwerk je vrijwel zeker persoonsgegevens: namen en e-mailadressen van klanten, factuurgegevens, contactgegevens van prospects, en mogelijk ook data van websitebezoekers via cookies en analytics. Dat maakt de AVG (Algemene Verordening Gegevensbescherming) ook op jou van toepassing. Veel freelancers denken dat privacywetgeving alleen voor grote bedrijven geldt, maar dat klopt niet. In dit artikel lees je precies wat je als ZZP'er moet regelen om aan de AVG te voldoen, zonder dat het een dagtaak wordt.

De AVG geldt ook voor jou

De AVG is een Europese verordening die sinds 2018 van kracht is en regelt hoe organisaties met persoonsgegevens omgaan. De wet maakt geen onderscheid naar bedrijfsgrootte: zodra je persoonsgegevens verwerkt van klanten, leveranciers, prospects of websitebezoekers, ben je verplicht om de AVG na te leven.

De belangrijkste AVG-verplichtingen voor ZZP'ers

Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een natuurlijk persoon. Denk aan namen, e-mailadressen, telefoonnummers, IP-adressen, BSN-nummers en zelfs foto's. Als freelancer verwerk je deze gegevens dagelijks: in je boekhouding, in je mailbox, in je CRM-systeem en op je website.

De 5 belangrijkste AVG-verplichtingen

1. Verwerkingsregister bijhouden

Je moet documenteren welke persoonsgegevens je verwerkt, met welk doel, hoe lang je ze bewaart en met wie je ze deelt. Dit verwerkingsregister hoeft geen ingewikkeld juridisch document te zijn. Een overzichtelijke tabel of spreadsheet volstaat.

Wat moet erin staan:

OnderdeelVoorbeeld
Welke gegevens?Naam, e-mail, adres, KvK-nummer, telefoonnummer
Waarvoor?Facturatie, communicatie, marketing, offertes
Grondslag?Overeenkomst, gerechtvaardigd belang, toestemming
Hoe lang bewaard?Factuurgegevens: 7 jaar. Marketingdata: tot opzegging
Met wie gedeeld?Boekhouder, boekhoudprogramma, e-mailtool
Beveiliging?Sterke wachtwoorden, 2FA, versleuteling

De KvK biedt op Ondernemersplein.nl een gratis template voor het verwerkingsregister aan. Je kunt ook een eenvoudige spreadsheet gebruiken die je jaarlijks bijwerkt.

2. Privacyverklaring op je website

Als je een website hebt, is een privacyverklaring verplicht. Hierin informeer je bezoekers en klanten over hoe je met hun gegevens omgaat. De privacyverklaring moet in begrijpelijke taal zijn geschreven en makkelijk vindbaar zijn, meestal via een link in de footer van je website.

Wat moet erin staan:

  • Wie je bent (bedrijfsnaam, KvK-nummer, contactgegevens)
  • Welke persoonsgegevens je verzamelt en waarom
  • Op basis van welke grondslag je gegevens verwerkt
  • Hoe lang je gegevens bewaart
  • Met welke partijen je gegevens deelt
  • Welke rechten betrokkenen hebben (inzage, correctie, verwijdering)
  • Of je cookies plaatst en welke soorten
  • Hoe mensen een klacht kunnen indienen bij de Autoriteit Persoonsgegevens

Er zijn online diverse gratis templates beschikbaar, onder andere via de KvK en Rocket Lawyer. Pas een template aan op jouw specifieke situatie en kopieer niet klakkeloos.

3. Cookiebeleid en cookiebanner

Als je website cookies plaatst, gelden er aanvullende regels. Er zijn drie categorieen cookies met verschillende eisen:

Functionele cookies (bijvoorbeeld inlogcookies): mogen zonder toestemming worden geplaatst, maar je moet ze wel vermelden in je privacyverklaring.

Analytische cookies (bijvoorbeeld Google Analytics): hiervoor is toestemming nodig, tenzij je een privacy-vriendelijke instelling gebruikt (IP-anonimisering, geen data delen met Google, eigen cookie-levensduur).

Marketing-cookies (bijvoorbeeld Facebook Pixel, remarketing): hiervoor is altijd voorafgaande toestemming nodig via een cookiebanner.

Wat moet je regelen:

  • Plaats een cookiebanner die bezoekers actief toestemming laat geven
  • Plaats analytische en marketing-cookies pas na toestemming
  • Bied de optie om toestemming in te trekken
  • Documenteer welke cookies je plaatst in je cookieverklaring

4. Gegevens adequaat beveiligen

Je bent verplicht om persoonsgegevens passend te beveiligen. De AVG schrijft geen specifieke maatregelen voor, maar verwacht dat je redelijke stappen neemt die passen bij de aard van de gegevens.

Minimale beveiligingsmaatregelen:

  • Sterke, unieke wachtwoorden op alle accounts die persoonsgegevens bevatten
  • Twee-factor-authenticatie (2FA) op je e-mail, boekhouding, CRM en cloudopslag
  • Versleutelde opslag van gevoelige documenten
  • Regelmatige back-ups van je administratie
  • Software updates tijdig installeren op je laptop en telefoon
  • Vergrendeling van je apparaten met wachtwoord of biometrie
  • Gescheiden opslag van zakelijke en privégegevens

Bij een datalek -- bijvoorbeeld als je laptop wordt gestolen of je e-mail wordt gehackt -- ben je verplicht dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens als het een risico vormt voor de betrokkenen.

5. Verwerkersovereenkomsten afsluiten

Wanneer je tools en diensten gebruikt die namens jou persoonsgegevens verwerken, heb je een verwerkersovereenkomst nodig. Denk aan je boekhoudprogramma, e-mailtool, CRM-systeem, cloudopslagdienst en websitehosting.

De meeste Nederlandse softwareleveranciers bieden standaard een verwerkersovereenkomst aan. Controleer of je voor al je tools een geldige verwerkersovereenkomst hebt. Dit is meestal een document dat je online kunt accepteren of downloaden uit het account van de betreffende dienst.

Veelgebruikte tools waarvoor je een verwerkersovereenkomst nodig hebt:

  • Boekhoudprogramma (Moneybird, e-Boekhouden, Exact)
  • E-mailtool (Mailchimp, ActiveCampaign, Brevo)
  • CRM-systeem (HubSpot, Pipedrive)
  • Cloudopslag (Google Drive, Dropbox, OneDrive)
  • Websitehosting en analytics

Rechten van betrokkenen

Personen van wie je gegevens verwerkt, hebben rechten onder de AVG. Als ZZP'er moet je in staat zijn om aan deze verzoeken te voldoen:

  • Recht op inzage: iemand mag opvragen welke gegevens je van diegene hebt
  • Recht op correctie: foutieve gegevens moeten worden aangepast
  • Recht op verwijdering: iemand kan vragen om zijn gegevens te wissen (tenzij een wettelijke bewaarplicht geldt, zoals de fiscale bewaarplicht van zeven jaar)
  • Recht op dataportabiliteit: iemand kan vragen om een kopie van de gegevens in een gangbaar format
  • Recht om toestemming in te trekken: als je gegevens verwerkt op basis van toestemming

Je moet binnen een maand reageren op dergelijke verzoeken.

Boetes en handhaving

De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de AVG en kan bij overtredingen forse boetes opleggen.

Categorie 1 (administratieve overtredingen): maximaal 10 miljoen euro of 2 procent van de jaaromzet. Denk aan het niet bijhouden van een verwerkingsregister.

Categorie 2 (schending van grondrechten): maximaal 20 miljoen euro of 4 procent van de jaaromzet. Denk aan het verwerken van gegevens zonder rechtmatige grondslag.

In de praktijk legt de AP bij ZZP'ers en kleine ondernemers doorgaans eerst een waarschuwing op, gevolgd door een last onder dwangsom. Geldboetes worden vooral opgelegd bij herhaalde overtredingen of ernstige nalatigheid. Het reputatierisico is voor freelancers vaak groter dan het financiele risico: klanten en opdrachtgevers verwachten dat je zorgvuldig met hun gegevens omgaat.

Stappenplan: in een middag AVG-proof

Je hoeft geen weken te besteden aan AVG-compliance. In een middag kun je de basis op orde hebben:

  1. Maak een verwerkingsregister (1 uur) -- inventariseer welke gegevens je verwerkt en documenteer dit
  2. Stel een privacyverklaring op (30 minuten) -- gebruik een template en pas aan op jouw situatie
  3. Controleer je cookies (30 minuten) -- plaats een cookiebanner als je analytische of marketing-cookies gebruikt
  4. Check je beveiliging (30 minuten) -- activeer 2FA, controleer wachtwoorden, maak back-ups
  5. Verzamel verwerkersovereenkomsten (30 minuten) -- download de overeenkomsten van al je tools en bewaar ze

Veelgestelde vragen

Moet ik toestemming vragen om klanten te e-mailen? Voor bestaande klanten niet, als het gaat om je dienstverlening. De grondslag is dan de overeenkomst. Voor marketing-e-mails aan prospects heb je wel toestemming nodig of een gerechtvaardigd belang.

Hoe lang mag ik klantgegevens bewaren? Niet langer dan noodzakelijk. Factuurgegevens: zeven jaar (fiscale bewaarplicht). Marketinggegevens: zolang er een actieve relatie is. Na beeindiging van de relatie: verwijder of anonimiseer gegevens.

Moet ik een functionaris gegevensbescherming (FG) aanstellen? Nee, dit is alleen verplicht voor overheden en organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Voor de meeste ZZP'ers is dit niet van toepassing.

Wat als ik gegevens deel met een opdrachtgever? Dan moet je afspraken maken over wie verantwoordelijk is voor de bescherming van die gegevens. Bij opdrachten waarbij je persoonsgegevens verwerkt namens de opdrachtgever, heb je een verwerkersovereenkomst nodig.