RustigOpen de app
Informatief · geen juridisch advies · 2026

AVG voor zzp'ers:
privacyverplichtingen in 2026

Als zzp'er ben je verwerkingsverantwoordelijke en val je volledig onder de AVG (Algemene Verordening Gegevensbescherming), ook zonder personeel. De vier kernverplichtingen: verwerkingsregister (art. 30), privacyverklaring (art. 13/14), verwerkersovereenkomsten (art. 28) en datalekprocedure (art. 33/34).

Welke persoonsgegevens verwerkt een zzp'er?

Vrijwel elke actieve zzp'er verwerkt persoonsgegevens, ook als je daar niet bewust mee bezig bent. Persoonsgegevens zijn alle gegevens die betrekking hebben op een identificeerbare natuurlijke persoon (art. 4 AVG). Bij zzp'ers gaat het meestal om klantgegevens (naam, adres, e-mailadres, telefoonnummer, BTW-identificatienummer), factuurgegevens en urenregistraties.

Als je zelf bepaalt waarom en hoe je die gegevens verwerkt, ben je verwerkingsverantwoordelijke (art. 4 lid 7 AVG). Werk je in opdracht van een klant en verwerk je diens klantgegevens, dan ben je verwerker(art. 4 lid 8 AVG) en geldt een ander regime. In de praktijk is een zzp'er voor de eigen administratie altijd verwerkingsverantwoordelijke.

Meest voorkomende verwerkingen bij zzp'ers
  • Klantbeheer: naam, bedrijf, contactgegevens, opdracht- en betalingshistorie
  • Facturatie: persoonsgegevens op facturen, bewaard voor AWR (7 jaar)
  • Urenregistratie: koppeling uren aan klant of project (persoonsgebonden)
  • E-mailcommunicatie: e-mails met klanten bevatten persoonsgegevens
  • Offertes en contracten: naam en gegevens opdrachtgever
  • Nieuwsbrief / marketing: e-mailadressen van (potentiele) klanten

Verwerkingsregister bijhouden (art. 30 AVG)

Ondernemingen met minder dan 250 medewerkers zijn vrijgesteld van de registerplicht, tenzij de verwerking niet incidenteel is of betrekking heeft op bijzondere categorieeen gegevens (art. 30 lid 5 AVG). Klantbeheer en facturatie zijn structurele, dus niet-incidenteleverwerkingen. Dat betekent dat vrijwel iedere actieve zzp'er een verwerkingsregister moet bijhouden.

Het register hoeft niet uitgebreid te zijn. Minimale inhoud per verwerking (art. 30 lid 1 AVG): doel, categorie betrokkenen, categorie gegevens, ontvangers (wie ziet de data), bewaartermijn, en beveiligingsmaatregelen. De Autoriteit Persoonsgegevens biedt een gratis modelregister via autoriteitpersoonsgegevens.nl.

Voorbeeld: verwerking “Klantbeheer”
  • Doel: uitvoeren van opdrachten en facturatie
  • Rechtsgrond: art. 6 lid 1 sub b AVG (uitvoering overeenkomst)
  • Categorie betrokkenen: (contactpersonen van) opdrachtgevers
  • Categorie gegevens: naam, bedrijf, adres, e-mail, telefoon, BTW-ID
  • Ontvangers: boekhouder (sub-verwerker), facturatiesoftware
  • Bewaartermijn: 7 jaar (belastingplicht AWR art. 52)

Privacyverklaring opstellen (art. 13/14 AVG)

Je bent verplicht betrokkenen te informeren over hoe je hun gegevens gebruikt. Verstrekt de betrokkene de gegevens zelf (via een contactformulier, opdracht of e-mail), dan geldt art. 13 AVG: informeer op het moment van verzameling. Heb je de gegevens via een andere bron verkregen, dan geldt art. 14 AVG. Een bondige privacyverklaring op je website voldoet voor de meeste zzp'ers.

Minimale inhoud van je privacyverklaring: identiteit en contactgegevens van de verwerkingsverantwoordelijke (jij), doel en rechtsgrond van de verwerking, wie de gegevens ontvangt, bewaartermijnen, rechten van de betrokkene (inzage, rectificatie, wissing, bezwaar) en hoe ze die kunnen uitoefenen.

Rechtsgronden voor zzp'ers (art. 6 AVG)
  • Art. 6(1)(b): uitvoering van een overeenkomst → klantgegevens voor opdracht en facturatie
  • Art. 6(1)(c): wettelijke verplichting → bewaren factuuradministratie (AWR art. 52)
  • Art. 6(1)(f): gerechtvaardigd belang → zakelijke netwerking en relatiebeheer
  • Art. 6(1)(a): toestemming → marketing/nieuwsbrief (expliciet opt-in vereist)

Verwerkersovereenkomst met boekhouder en clouddiensten (art. 28 AVG)

Schakel je een partij in die namens jou persoonsgegevens verwerkt, dan ben jij de verwerkingsverantwoordelijke en die partij de verwerker. Je bent verplicht met elke verwerker een verwerkersovereenkomst (VOK) te sluiten (art. 28 AVG). Bij niet-naleving riskeer je een boete van de Autoriteit Persoonsgegevens (art. 83 AVG: maximaal EUR 10 miljoen / 2% jaaromzet voor processortekortkomingen of EUR 20 miljoen / 4% voor schendingen van basisprincipes; controleer autoriteitpersoonsgegevens.nl voor actuele boetebeleidsregels).

In de praktijk bieden grote aanbieders standaard-VOK's in hun gebruiksvoorwaarden of als apart document. Accepteer je die voorwaarden, dan is de VOK getekend. Controleer of jouw aanbieders EU-servers gebruiken of Standard Contractual Clauses (SCC's) bieden voor data buiten de EU.

Veelgebruikte verwerkers bij zzp'ers
  • Boekhouder / accountant: ontvangt klantfacturen met persoonsgegevens → VOK verplicht
  • Facturatie- en boekhoudprogramma (Moneybird, Snelstart, e-Boekhouden): standaard-VOK in gebruiksvoorwaarden
  • Clouddiensten (Google Drive, OneDrive, Dropbox): standaard-VOK/DPA beschikbaar; controleer locatie dataopslag
  • E-mailprovider (Google Workspace, Microsoft 365): DPA beschikbaar; EU Data Boundary instellen
  • CRM- of projectmanagementtool: controleer of VOK/DPA in abonnement zit

Datalekken: wat moet je doen (art. 33/34 AVG)?

Een datalek is elke beveiligingsinbreuk die per ongeluk of onrechtmatig leidt tot vernietiging, verlies, wijziging of onbevoegde toegang tot persoonsgegevens (art. 4 lid 12 AVG). Voorbeelden: laptop gestolen met klantgegevens, e-mail met klantlijst naar verkeerd adres gestuurd, phishing aanval op je e-mailaccount.

Als er een risico bestaat voor de betrokken personen, moet je het datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens (art. 33 AVG). Is het risico hoog (bijvoorbeeld identiteitsdiefstal dreigt), dan moet je ook de betrokkenen zelf informeren (art. 34 AVG). Leg het lek altijd intern vast, ook als het geen meldplicht triggert.

Meld een datalek via het meldloket van de AP: autoriteitpersoonsgegevens.nl. Bewaar de melding en je interne registratie minimaal 3 jaar.

Veelgestelde vragen

Moet ik als zzp'er voldoen aan de AVG?
Ja. De AVG geldt voor elke verwerkingsverantwoordelijke die persoonsgegevens verwerkt, ongeacht de grootte van de onderneming. Als zzp'er verwerk je vrijwel altijd persoonsgegevens: klantgegevens, leveranciersgegevens en factuurgegevens. De Autoriteit Persoonsgegevens (AP) bevestigt dat ook eenmanszaken AVG-plichtig zijn.
Moet ik een verwerkingsregister bijhouden als zzp'er?
Ja, in de meeste gevallen. Art. 30 lid 5 AVG stelt ondernemingen met minder dan 250 medewerkers vrij, maar die vrijstelling geldt niet als de verwerking niet incidenteel is. Klantbeheer, facturatie en urenregistratie zijn structurele (niet-incidentele) verwerkingen. Dat betekent dat vrijwel iedere actieve zzp'er een verwerkingsregister moet bijhouden. De AP biedt een gratis model op autoriteitpersoonsgegevens.nl.
Heb ik als zzp'er een privacy policy nodig?
Ja, als je persoonsgegevens verzamelt via je website (contactformulier, nieuwsbrief) of als je klanten rechtstreeks gegevens aan je verstrekt. Je bent verplicht betrokkenen te informeren over het doel, de rechtsgrond, de bewaartermijn en hun rechten (art. 13/14 AVG). Een bondige privacyverklaring op je website voldoet voor de meeste zzp'ers.
Wanneer heb ik een verwerkersovereenkomst nodig?
Als je een dienstverlener inschakelt die namens jou persoonsgegevens verwerkt, ben jij de verwerkingsverantwoordelijke en die dienstverlener de verwerker (art. 28 AVG). Denk aan: een boekhouder die je klantfacturen ziet, een clouddienst zoals Google Drive of OneDrive, of een facturatieprogramma als Moneybird. Met al deze partijen sluit je een verwerkersovereenkomst (VOK). De meeste grote aanbieders bieden standaard-VOK's in hun gebruiksvoorwaarden aan.
Wat doe ik bij een datalek als zzp'er?
Een datalek (onbevoegde toegang tot, verlies of vernietiging van persoonsgegevens) moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens als er een risico bestaat voor de betrokkene (art. 33 AVG). Is het risico hoog, dan moet je ook de betrokkenen zelf informeren (art. 34 AVG). Voorbeelden: laptop gestolen met klantgegevens, e-mail met klantlijst naar verkeerd adres, gehackte facturatiesoftware.
Hoe lang mag ik klantgegevens bewaren als zzp'er?
De AVG schrijft geen vaste bewaartermijnen voor, maar vereist dat je gegevens niet langer bewaart dan noodzakelijk voor het doel (dataminimalisatie, art. 5 AVG). Factuurgegevens bewaar je 7 jaar voor de Belastingdienst (art. 52 AWR). Marketingdata van afgemelde abonnees verwijder je direct na afmelding. Contactgegevens van oud-klanten kun je na 2 jaar na de laatste opdracht verwijderen, tenzij je een gegronde reden hebt ze langer te bewaren.

Let op: dit artikel is informatief en geen juridisch advies. AVG-compliance hangt af van jouw specifieke verwerkingen. Raadpleeg een AVG-adviseur of de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) voor jouw situatie.