De Algemene Verordening Gegevensbescherming (AVG, internationaal GDPR) geldt voor iedereen die persoonsgegevens verwerkt — ook als jij enkel klantnamen en e-mailadressen in een boekhoudpakket zet. Gelukkig is compliance voor een ZZP'er vaak eenvoudiger dan je denkt.
Wat zijn "persoonsgegevens"?
Alles wat herleidbaar is naar een natuurlijk persoon: naam, e-mailadres, telefoonnummer, IP-adres, foto's, klantgedrag op je website, etc. Bedrijfsnamen zonder contactpersoon vallen er niet onder.
De zes kernverplichtingen
1. Privacyverklaring
Zet een privacyverklaring op je website waarin je uitlegt: welke gegevens je verzamelt, waarom (doel), hoelang je ze bewaart, met wie je ze deelt, en welke rechten mensen hebben (inzage, correctie, verwijdering). Sjabloon: Autoriteit Persoonsgegevens, Veilig Internetten of Rocket Lawyer.
2. Toestemming waar nodig
Voor nieuwsbrieven, marketing-cookies en trackingpixels is expliciete opt-in toestemming verplicht. "Vooraf aangevinkt" telt niet. Gebruik een dubbele opt-in voor nieuwsbrieven (bevestigingsmail).
3. Verwerkersovereenkomst
Als je klantgegevens deelt met externe partijen (je boekhouder, mailplatform, cloud-hosting), moet je een verwerkersovereenkomst (VWO) sluiten. De meeste SaaS-leveranciers bieden er automatisch één aan in hun voorwaarden — check even of die er is.
4. Gegevens beveiligen
Passende technische en organisatorische maatregelen. Voor een ZZP'er betekent dit: sterke wachtwoorden, 2FA waar mogelijk, schijfversleuteling op je laptop, en voorzichtigheid met USB-sticks. Niet megacomplex, wél verplicht.
5. Datalekken melden
Bij een datalek dat "een risico" vormt voor betrokkenen heb je 72 uur om het te melden aan de Autoriteit Persoonsgegevens. Praktisch voorbeeld: laptop gestolen met klantgegevens onversleuteld = melden.
6. Rechten van betrokkenen
Klanten hebben het recht om hun gegevens in te zien, te laten corrigeren of te laten verwijderen. Je moet binnen 4 weken reageren op zo'n verzoek. Houd een simpele procedure klaar (zelfs een Google Doc is genoeg).
Boetes
Voor ZZP'ers en kleine bedrijven zijn er geen voorbeelden van grote boetes — de AP richt zich op de grote spelers. Maar bij duidelijke nalatigheid na klachten kan er wel degelijk worden opgetreden, en reputatieschade is vaak erger dan de boete zelf.
Actiepunten
- Publiceer een privacyverklaring op je website.
- Vraag verwerkersovereenkomsten op bij je boekhouder, mail-tool en hostingpartij.
- Zet schijfversleuteling aan (FileVault op Mac, BitLocker op Windows).
- Gebruik een wachtwoordmanager (1Password, Bitwarden, Dashlane).
- Maak een simpele lijst van "welke persoonsgegevens bewaar ik waar" — dit is je "verwerkingsregister" in AVG-termen.
Veelgemaakte fouten
- Geen privacyverklaring: het eerste wat klachten aanvuren. Kost 10 minuten om op te lossen.
- Marketing-cookies zonder consent: Google Analytics en Facebook Pixel zonder consent-banner is een klassieker.
- Nieuwsbrieven zonder opt-in: klantgegevens gebruiken voor marketing zonder toestemming = AVG-overtreding.
- Bewaarperiode onbegrensd: als je klantgegevens 10 jaar na de laatste opdracht nog bewaart zonder reden, is dat niet toegestaan.