FRLNCR.
Verwerkersovereenkomst als Freelancer: Wanneer Nodig en Wat Erin Moet
Terug naar Juridisch
⚖️Juridisch

Verwerkersovereenkomst als Freelancer: Wanneer Nodig en Wat Erin Moet

Heb je als freelancer of ZZP'er een verwerkersovereenkomst nodig? AVG-uitleg, verplichte onderdelen en praktische voorbeelden voor 2026.

Frlncr Redactie·

Zodra je als freelancer met persoonsgegevens van een klant werkt, komt de AVG om de hoek kijken. En als je klant daar serieus in zit, krijg je vroeg of laat een document toegestuurd dat "verwerkersovereenkomst" heet, vaak afgekort als verwerkersovereenkomst of VWO. Soms wordt het domweg als bijlage bij een contract meegestuurd, soms als losse tekst van tien paginas juridisch jargon. Dit artikel legt uit wanneer je er als ZZP'er eentje nodig hebt, wat erin moet staan en hoe je er verstandig mee omgaat.

Wat is een verwerkersovereenkomst precies?

Een verwerkersovereenkomst is een schriftelijke overeenkomst tussen een verwerkingsverantwoordelijke (degene die bepaalt waarom en hoe persoonsgegevens worden verwerkt, meestal je opdrachtgever) en een verwerker (degene die in opdracht die gegevens feitelijk verwerkt, wat jij als freelancer kunt zijn). Hij is geregeld in artikel 28 van de AVG en is verplicht zodra een verwerkingsverantwoordelijke een externe partij inschakelt die namens hem persoonsgegevens verwerkt.

Het doel is simpel: vastleggen onder welke voorwaarden de verwerker met die gegevens mag omgaan, welke beveiligingsmaatregelen er gelden, en wat er gebeurt als er iets misgaat. Zo houdt de verwerkingsverantwoordelijke grip op data die door een externe partij wordt verwerkt.

Wanneer ben jij als freelancer "verwerker"?

Hier zit de belangrijkste nuance en de meest gemaakte fout. Niet elke ZZP'er die bij een klant werkt is automatisch verwerker in juridische zin. Er zijn twee scenario's:

Scenario 1: je werkt als verlengstuk van de organisatie (intern beheer)

Als je op locatie of op afstand werkt onder direct gezag en volgens de werkwijzen van je opdrachtgever, dan spreken we van "intern beheer". Een klassiek voorbeeld is een ZZP'er die tijdelijk een vaste medewerker vervangt, bijvoorbeeld tijdens een zwangerschapsverlof, en exact dezelfde processen volgt. De Autoriteit Persoonsgegevens beschouwt dat doorgaans niet als verwerkerschap, omdat er geen zelfstandige verwerking plaatsvindt. In dat geval is een verwerkersovereenkomst niet verplicht, al kun je wel afspraken maken over geheimhouding en omgang met gegevens.

Scenario 2: je verwerkt gegevens zelfstandig namens de opdrachtgever

Werk je meer op afstand, met eigen middelen en eigen werkwijze? Dan wordt het verhaal anders. Voorbeelden waarin je als freelancer wel als verwerker wordt gezien:

  • Een softwareontwikkelaar die vanuit eigen infrastructuur een applicatie bouwt en onderhoudt waarin klantgegevens worden opgeslagen.
  • Een marketeer die vanuit eigen tools nieuwsbrieven verstuurt namens de klant, inclusief adressenbestand.
  • Een virtual assistant die CRM-data van de klant beheert vanuit een eigen laptop en eigen accounts.
  • Een boekhouder die de administratie en salarisgegevens van de klant verwerkt.
  • Een videograaf die opnames maakt waar personen identificeerbaar op staan en deze zelfstandig bewerkt en opslaat.

In deze gevallen is een verwerkersovereenkomst wettelijk verplicht.

Waarom je er ook een wilt als je twijfelt

Wanneer is een verwerkersovereenkomst nodig

Ook als niet helemaal zeker is of je als verwerker geldt, is het verstandig om afspraken op papier te zetten. Twee redenen:

  1. Bescherming van jou als freelancer. Zonder heldere afspraken kan de aansprakelijkheid bij een datalek onduidelijk zijn. Een verwerkersovereenkomst verdeelt de verantwoordelijkheden, zodat jij niet alleen opdraait voor een probleem dat in de keten van je klant ontstond.
  2. Professionele uitstraling. Klanten die zelf AVG-serieus zijn, verwachten dat jij er ook mee bezig bent. Een kant-en-klare, goed geformuleerde VWO die je kunt voorleggen, straalt vertrouwen uit en voorkomt vertraging bij nieuwe opdrachten.

Zie ook onze algemene gids over AVG-verplichtingen voor ZZP'ers voor de bredere context.

Wat moet er minimaal in een verwerkersovereenkomst staan?

Artikel 28 AVG is vrij specifiek over de inhoud. Een goede VWO bevat in elk geval:

  1. Onderwerp en duur van de verwerking. Welke gegevens verwerk je, voor welke diensten en hoe lang loopt de overeenkomst?
  2. Aard en doel van de verwerking. Bijvoorbeeld "versturen van marketing-e-mails" of "hosten van klantendatabase".
  3. Type persoonsgegevens en categorien betrokkenen. Gaat het om NAW-gegevens, e-mailadressen, gezondheidsgegevens? En wiens gegevens (klanten, medewerkers, leerlingen)?
  4. Rechten en plichten van de verwerkingsverantwoordelijke. De klant bepaalt doel en middelen, de verwerker handelt uitsluitend op schriftelijke instructie.
  5. Beveiligingsmaatregelen. Een algemene beschrijving van de technische en organisatorische maatregelen zoals genoemd in artikel 32 AVG: wachtwoordbeleid, encryptie, toegangsbeperking, back-ups.
  6. Geheimhoudingsplicht. Voor jou en eventuele subverwerkers of medewerkers.
  7. Subverwerkers. Of en onder welke voorwaarden je andere partijen mag inschakelen (bijvoorbeeld een hostingprovider of een e-mailtool). Vaak moet je dat vooraf melden en laten goedkeuren.
  8. Medewerking aan verzoeken van betrokkenen. Als een klant van je opdrachtgever zijn gegevens wil inzien, wijzigen of laten verwijderen, moet jij daaraan meewerken.
  9. Meldplicht bij datalekken. Hoe snel en in welke vorm meld je een datalek aan de opdrachtgever? 24 of 48 uur is gebruikelijk.
  10. Audit-rechten. De verwerkingsverantwoordelijke mag periodiek controleren of jij je aan de afspraken houdt.
  11. Teruggave of vernietiging van gegevens na afloop. Aan het einde van de opdracht geef je gegevens terug of vernietig je ze aantoonbaar.
  12. Aansprakelijkheid en schade. Wie draagt welke kosten bij een boete van de Autoriteit Persoonsgegevens of een schadeclaim van betrokkenen.

Veel van deze onderdelen zijn vaste taal. Er zijn goede Nederlandse modelovereenkomsten te vinden bij brancheorganisaties, de Autoriteit Persoonsgegevens of juridische platforms.

Wie stelt de verwerkersovereenkomst op?

In de praktijk komt de VWO meestal van de opdrachtgever. Dat is logisch: hij is de verwerkingsverantwoordelijke en moet de afspraken afdwingen die hem juridisch beschermen. Als freelancer krijg je dus vaak een kant-en-klaar document toegestuurd.

Let daarbij op twee valkuilen:

  • Eenzijdig zware aansprakelijkheid. Sommige standaard-VWO's leggen alle risico bij de verwerker, met ongelimiteerde aansprakelijkheid voor boetes en schade. Onderhandel hier. Voor freelancers is een cap op de factuurwaarde of een redelijk maximum (bijvoorbeeld gelijk aan een jaaropbrengst van de opdracht) gebruikelijk.
  • Onrealistische beveiligingseisen. Grote bedrijven kopieren soms hun corporate-eisen, inclusief ISO-certificeringen die voor een eenmanszaak niet haalbaar zijn. Maak dan concreet waar jij wel aan voldoet: tweefactor-authenticatie, versleutelde harde schijven, actueel antivirus, back-ups.

Heb je zelf vaste klanten waarvan je weet dat jij de verwerker bent? Dan kun je ook het initiatief nemen en een eigen standaard-VWO aanbieden. Dat maakt indruk en voorkomt dat je bij elke klant opnieuw door tien paginas heen moet.

Verwerkersovereenkomst vs geheimhoudingsverklaring vs voorwaarden

Freelancers halen deze drie vaak door elkaar. Kort verschil:

  • Geheimhoudingsverklaring (NDA): gaat over vertrouwelijke informatie in bredere zin (bedrijfsgeheimen, strategie, prijzen). Niet specifiek AVG-gerelateerd. Zie ook ons artikel over de geheimhoudingsverklaring voor freelancers.
  • Verwerkersovereenkomst: gaat specifiek over persoonsgegevens onder de AVG.
  • Algemene voorwaarden: gaan over de bredere commerciele relatie: betalingen, levering, aansprakelijkheid.

Deze documenten vullen elkaar aan en sluiten elkaar niet uit.

Praktische checklist voor 2026

Als je als freelancer verstandig met verwerkersovereenkomsten wilt omgaan, zorg dan dat:

  • Je per klant kunt benoemen of je verwerker bent, intern beheerder of zelfstandig verwerkingsverantwoordelijke.
  • Je een eigen model-VWO hebt klaarliggen voor gevallen waarin jij zelfstandig gegevens verwerkt.
  • Je technische beveiligingsmaatregelen actueel zijn: encryptie, tweefactor-authenticatie, back-ups, updates.
  • Je een datalek-procedure hebt: wat doe je in de eerste 24 uur, hoe meld je het, wie is je contactpersoon?
  • Je bij elke nieuwe opdracht met persoonsgegevens een VWO ondertekent, bij voorkeur voordat het werk start.

Tot slot

Een verwerkersovereenkomst klinkt zwaar, maar in de kern is het een praktisch document dat verantwoordelijkheden verdeelt. Voor freelancers in advies, IT, marketing, administratie en creatieve dienstverlening is het een steeds normaler onderdeel van het werk. Hoe eerder je er een vaste routine van maakt, hoe minder vertraging en hoe minder risico bij je projecten.

Dit artikel biedt algemene informatie over de AVG en verwerkersovereenkomsten en is geen juridisch advies. Voor complexe situaties of sector-specifieke vragen is het raadzaam een privacyjurist te raadplegen.