Moet ik als zzp'er een verwerkingsregister bijhouden?

Ja, als je structureel persoonsgegevens verwerkt, en dat doet vrijwel iedere zzp'er met een klantenbestand of mailinglijst. Een overzichtelijke spreadsheet met je verwerkingen volstaat. De AP biedt een gratis sjabloon aan op haar website.

Hoe hoog zijn de boetes?

De maximale boete is €20 miljoen of 4% van de jaaromzet. In de praktijk liggen boetes voor kleine ondernemers tussen €5.000 en €50.000. De AP begint meestal met een waarschuwing en geeft je de kans om verbeteringen door te voeren.

AVG voor ondernemers: wat moet je regelen? | JustRunBiz

Wat is de AVG precies?

De Algemene Verordening Gegevensbescherming (AVG), in het Engels GDPR (General Data Protection Regulation), is de Europese privacywet die sinds 25 mei 2018 van kracht is. De wet regelt hoe organisaties persoonsgegevens moeten verzamelen, opslaan, gebruiken en verwijderen. In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op naleving.

De AVG geldt voor élke organisatie die persoonsgegevens verwerkt, ongeacht de grootte. Als zzp'er met een mailinglijst, een webshop met klantgegevens of een installateur met een klantenbestand: je valt onder de AVG. Persoonsgegevens zijn alle gegevens die te herleiden zijn tot een individueel persoon, zoals naam, e-mailadres, telefoonnummer, IP-adres en zelfs een kenteken.

Het doel van de AVG is om burgers controle te geven over hun eigen gegevens. Organisaties mogen niet zomaar persoonsgegevens verzamelen. Er moet altijd een geldige reden (grondslag) zijn, en je moet transparant zijn over wat je met de gegevens doet. De wet kent strenge regels voor het delen van gegevens met derden en het bewaren van gegevens.

Voor ondernemers voelt de AVG soms als een last, maar het biedt ook voordelen. Klanten vertrouwen bedrijven die zorgvuldig met hun gegevens omgaan. Bovendien dwingt de AVG je om na te denken over welke gegevens je écht nodig hebt, wat leidt tot een opgeruimdere en veiligere administratie.

De 6 grondslagen voor verwerking

Volgens de AVG mag je persoonsgegevens alleen verwerken als je een geldige grondslag hebt. Er zijn zes grondslagen. De eerste is toestemming: de betrokkene heeft expliciet toestemming gegeven, bijvoorbeeld via een opt-in voor een nieuwsbrief. Deze toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn.

De tweede grondslag is de uitvoering van een overeenkomst. Als een klant een product bestelt, mag je de gegevens verwerken die nodig zijn voor de levering en facturatie. De derde grondslag is een wettelijke verplichting: de Belastingdienst verplicht je bijvoorbeeld om factuurgegevens 7 jaar te bewaren.

De vierde grondslag is de bescherming van vitale belangen, wat in de praktijk zelden voorkomt bij ondernemers. De vijfde is de uitoefening van een taak van algemeen belang, vooral relevant voor overheden. De zesde en meest complexe grondslag is het gerechtvaardigd belang: je mag gegevens verwerken als je daar een legitiem belang bij hebt dat zwaarder weegt dan het privacybelang van de betrokkene.

In de praktijk gebruiken de meeste ondernemers drie grondslagen: toestemming (voor marketing), uitvoering van een overeenkomst (voor klantrelaties) en wettelijke verplichting (voor de boekhouding). Het is belangrijk om per verwerking vast te leggen welke grondslag je hanteert. Dit doe je in je verwerkingsregister.

Verwerkingsregister opstellen: stap voor stap

Een verwerkingsregister is een overzicht van alle verwerkingen van persoonsgegevens binnen je organisatie. Hoewel de AVG een uitzondering kent voor organisaties met minder dan 250 werknemers, geldt deze uitzondering niet als je structureel persoonsgegevens verwerkt. En dat doet vrijwel iedere ondernemer.

Het opstellen van een verwerkingsregister hoeft niet ingewikkeld te zijn. Een overzichtelijke spreadsheet volstaat. Per verwerking noteer je: de naam van de verwerking (bijv. klantenbestand), welke persoonsgegevens je verwerkt (naam, e-mail, adres), het doel van de verwerking (facturatie en klantenservice), de grondslag (uitvoering overeenkomst), de bewaartermijn en met wie je de gegevens deelt.

Begin met het inventariseren van de meest voor de hand liggende verwerkingen: je klantenbestand, je mailinglijst, je personeelsadministratie (als je werknemers hebt), je websitestatistieken en je boekhouding. Werk vervolgens minder voor de hand liggende verwerkingen uit, zoals camerabeelden, sollicitatiegegevens of bezoekers registratiesystemen.

De Autoriteit Persoonsgegevens biedt op haar website een sjabloon aan voor het verwerkingsregister. Je kunt ook de AVG-wizard van de AP gebruiken om te bepalen welke verplichtingen op jou van toepassing zijn. Bewaar het verwerkingsregister centraal en werk het bij als er verwerkingen worden toegevoegd of gewijzigd.

Tip

Plan elk kwartaal een kort moment in om je verwerkingsregister te reviewen. Nieuwe tools, leveranciers of processen betekenen vaak nieuwe verwerkingen die je moet vastleggen.

Privacyverklaring schrijven

Elke organisatie die persoonsgegevens verwerkt, moet de betrokkenen informeren over hoe hun gegevens worden verwerkt. Dit doe je via een privacyverklaring (ook wel privacybeleid of privacy statement genoemd). Als je een website hebt, moet de privacyverklaring daar eenvoudig te vinden zijn, doorgaans via een link in de footer.

Een goede privacyverklaring bevat de volgende onderdelen: wie je bent (naam bedrijf, KvK-nummer, contactgegevens), welke persoonsgegevens je verwerkt, waarom je ze verwerkt (doelen), op welke grondslag, hoe lang je ze bewaart, met wie je ze deelt, welke rechten de betrokkene heeft en hoe men een klacht kan indienen bij de AP.

Schrijf de privacyverklaring in begrijpelijke taal. De AVG eist dat informatie over gegevensverwerking 'beknopt, transparant, begrijpelijk en in een gemakkelijk toegankelijke vorm' wordt verstrekt. Vermijd juridisch jargon en wees specifiek: schrijf niet 'wij bewaren uw gegevens zo lang als nodig', maar 'wij bewaren uw klantgegevens 7 jaar na de laatste factuur, conform de fiscale bewaarplicht'.

Kopieer niet zomaar een privacyverklaring van een ander bedrijf. Elke privacyverklaring moet specifiek zijn voor jouw situatie. Er zijn online generators beschikbaar (zoals die van de AP of ICTRecht) die je helpen om een verklaring op maat te maken. Laat de verklaring bij twijfel reviewen door een privacy-jurist.

Verwerkersovereenkomsten afsluiten

Wanneer een externe partij namens jou persoonsgegevens verwerkt, ben je verplicht om een verwerkersovereenkomst af te sluiten. Denk aan je boekhoudsoftware, je e-mailmarketingtool, je hostingprovider, je cloudopslag en je salarisadministratiekantoor. Al deze partijen verwerken persoonsgegevens in jouw opdracht en zijn daarmee verwerkers.

In de verwerkersovereenkomst leg je vast welke gegevens de verwerker verwerkt, voor welk doel, hoe lang en welke beveiligingsmaatregelen er worden getroffen. De verwerker mag de gegevens niet voor eigen doeleinden gebruiken en moet ze verwijderen na afloop van de overeenkomst.

De meeste grote softwareleveranciers bieden standaard een verwerkersovereenkomst aan die je kunt downloaden of accepteren via hun website. Controleer altijd of de overeenkomst voldoet aan de eisen van artikel 28 AVG. Let vooral op: worden de gegevens binnen de EU opgeslagen? Maakt de verwerker gebruik van sub-verwerkers? En worden datalekken tijdig gemeld?

Bewaar alle verwerkersovereenkomsten centraal, bijvoorbeeld in een map in je documentbeheer. Maak een overzicht van alle verwerkers waarmee je een overeenkomst hebt. Bij een controle door de AP moet je deze documenten kunnen overleggen. Controleer jaarlijks of de overeenkomsten nog actueel zijn en of er nieuwe verwerkers zijn bijgekomen.

Rechten van betrokkenen

De AVG geeft betrokkenen (de personen van wie je gegevens verwerkt) vergaande rechten. Het recht op inzage betekent dat iedereen mag opvragen welke persoonsgegevens je van hem of haar hebt opgeslagen. Je moet binnen één maand een volledig overzicht verstrekken, kosteloos.

Het recht op rectificatie houdt in dat betrokkenen het recht hebben om onjuiste gegevens te laten corrigeren. Het recht op verwijdering (ook wel 'recht om vergeten te worden') stelt betrokkenen in staat om hun gegevens te laten wissen. Let op: dit recht geldt niet als je een wettelijke bewaarplicht hebt, zoals de fiscale bewaarplicht van 7 jaar voor factuurgegevens.

Het recht op dataportabiliteit geeft betrokkenen het recht om hun gegevens in een gangbaar digitaal formaat te ontvangen, zodat ze deze kunnen meenemen naar een andere dienstverlener. Het recht op bezwaar stelt betrokkenen in staat om bezwaar te maken tegen verwerkingen op basis van gerechtvaardigd belang, waaronder direct marketing.

Als ondernemer moet je een procedure hebben om deze verzoeken af te handelen. In de praktijk ontvangen kleine ondernemers zelden dergelijke verzoeken, maar je moet er wel op voorbereid zijn. Verifiëer altijd de identiteit van de verzoeker voordat je gegevens verstrekt of verwijdert. Houd een logboek bij van alle ontvangen verzoeken en hoe je ze hebt afgehandeld.

Datalek melden: de procedure bij de AP

Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan of ongeautoriseerd zijn ingezien, gewijzigd of verstrekt. Voorbeelden zijn een gehackte mailbox, een verloren USB-stick met klantgegevens, een verkeerd geadresseerde e-mail met gevoelige informatie of een ransomware-aanval op je systemen.

Bij een ernstig datalek ben je verplicht om dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. De melding doe je via het online meldformulier op de website van de AP. Je moet beschrijven welke gegevens zijn gelekt, hoeveel personen zijn getroffen, wat de mogelijke gevolgen zijn en welke maatregelen je hebt genomen.

Als het datalek een hoog risico vormt voor de betrokkenen, moet je hen ook direct informeren. Denk aan situaties waarbij financiële gegevens, BSN-nummers, medische gegevens of inloggegevens zijn gelekt. Informeer de betrokkenen in duidelijke taal over wat er is gebeurd, wat de mogelijke gevolgen zijn en wat zij zelf kunnen doen (zoals wachtwoord wijzigen).

Houd een intern datalekregister bij waarin je alle beveiligingsincidenten documenteert, ook als melding bij de AP niet nodig is. De AP kan bij een controle inzage vragen in dit register. Noteer per incident: datum, aard van het lek, getroffen gegevens, aantal betrokkenen, genomen maatregelen en of er een melding is gedaan bij de AP en/of betrokkenen.

Tip

Maak een datalekprotocol met duidelijke stappen en verantwoordelijkheden. Zo weet iedereen in je bedrijf wat er moet gebeuren als er een incident is, en verlies je geen kostbare uren in de eerste 72 uur.

Cookies en tracking op je website

De cookiewet (Telecommunicatiewet artikel 11.7a) en de AVG werken samen als het gaat om cookies en tracking op je website. Functionele cookies (nodig voor het functioneren van de website) mag je plaatsen zonder toestemming. Analytische cookies (zoals Google Analytics) mag je onder voorwaarden zonder toestemming plaatsen, mits je de gegevens anonimiseert.

Voor tracking cookies en marketingcookies (zoals Facebook Pixel, Google Ads-remarketing en andere third-party cookies) heb je wél expliciete toestemming nodig. Dit betekent dat je een cookiebanner moet tonen waarbij de bezoeker actief moet kiezen. Een vooraf aangevinkt vakje of een 'door verder te surfen ga je akkoord'-tekst is niet voldoende.

De Autoriteit Persoonsgegevens heeft in 2024 diverse boetes opgelegd aan Nederlandse websites die de cookiewet overtraden. Zorg ervoor dat je cookiebanner voldoet aan de eisen: gelijke keuze tussen accepteren en weigeren, geen dark patterns, geen tracking vóór toestemming en de mogelijkheid om toestemming later in te trekken.

Gebruik een consent management platform (CMP) zoals Cookiebot, CookieYes of Complianz om je cookiebanner te beheren. Deze tools blokkeren automatisch tracking scripts totdat de bezoeker toestemming geeft en genereren een verwerkingsregister van alle cookies op je website. De kosten beginnen bij circa €10 per maand.

E-mailmarketing en de AVG

E-mailmarketing is een van de gebieden waar de AVG de meeste impact heeft. Je mag alleen marketing-e-mails sturen aan personen die daar expliciet toestemming voor hebben gegeven (opt-in). Een dubbele opt-in (bevestiging via e-mail) is niet wettelijk verplicht maar wordt sterk aanbevolen als bewijs van toestemming.

Er geldt een uitzondering voor bestaande klanten: als iemand een product of dienst bij je heeft gekocht, mag je soortgelijke producten of diensten per e-mail aanbieden. Dit heet de 'soft opt-in'. Voorwaarde is dat je bij elke e-mail een eenvoudige afmeldmogelijkheid biedt en dat je het e-mailadres hebt verkregen in het kader van de verkoop.

Koop nooit e-mailadressen of gebruik geen lijsten van derden zonder aantoonbare toestemming. Dit is een veelgemaakte fout die kan leiden tot boetes en reputatieschade. Bovendien leveren gekochte lijsten doorgaans slechte resultaten op door hoge bounce-rates en spam-klachten.

Bewaar het bewijs van toestemming zorgvuldig. Noteer wanneer, hoe en waarvoor toestemming is gegeven. De meeste e-mailmarketingtools (Mailchimp, Brevo, Klaviyo) registreren dit automatisch. Ruim regelmatig je mailinglijst op: verwijder inactieve abonnees en bounced adressen. Een schone lijst is niet alleen AVG-compliant, maar levert ook betere marketingresultaten op.

Tip

Gebruik altijd een dubbele opt-in voor je nieuwsbrief. Het kost je misschien 10 tot 20% van de aanmeldingen, maar je houdt een lijst over van mensen die echt geïnteresseerd zijn.

Boetes en handhaving: voorbeelden uit Nederland

De AVG kent boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. In de praktijk liggen boetes voor kleine ondernemers aanzienlijk lager, maar ze zijn niet te verwaarlozen. De Autoriteit Persoonsgegevens heeft sinds 2018 tientallen boetes opgelegd aan Nederlandse organisaties.

Enkele voorbeelden: in 2024 legde de AP een boete van €30.000 op aan een tandartspraktijk die patiëntgegevens onvoldoende had beveiligd. Een webshop ontving een boete van €525.000 voor het onrechtmatig verwerken van klantgegevens voor marketingdoeleinden. De Belastingdienst zelf ontving een berisping voor het gebruik van een discriminerend algoritme.

De AP hanteert een stappenplan bij handhaving. Meestal begint het met een waarschuwing of een verzoek tot verbetering. Als je niet meewerkt of de overtreding ernstig is, volgt een last onder dwangsom of een boete. De AP richt zich steeds vaker op het MKB en controleert actief op naleving van de cookiewet, het verwerkingsregister en datalekprocedures.

Het beste advies: neem de AVG serieus, maar raak niet in paniek. Met een verwerkingsregister, een duidelijke privacyverklaring, verwerkersovereenkomsten en een datalekprotocol ben je al een heel eind. De AP beloont organisaties die aantoonbaar hun best doen, zelfs als niet alles perfect is. Het gaat om de inspanning en de bereidheid om te verbeteren.

AVG voor ondernemers: wat moet je regelen?