--- title: "De AVG en zzp, wat doe je ermee?" url: https://mkbjuristen.nl/blog/privacy/de-avg-en-zzp-wat-doe-je-ermee/ date: 2020-06-10 modified: 2026-05-27 author: "denian@mkbrecht.nl" description: "In 2018 trad de AVG (Algemene Verordening Gegevensbescherming) in werking. Niet alleen grote bedrijven moeten aan de privacyregels voldoen. Ook als zzp’er die persoonsgegevens verwerkt, online of offline, moet je..." categories: - "Privacy" word_count: 637 --- # De AVG en zzp, wat doe je ermee? In 2018 trad de AVG (Algemene Verordening Gegevensbescherming) in werking. Niet alleen grote bedrijven moeten aan de privacyregels voldoen. Ook als zzp’er die persoonsgegevens verwerkt, online of offline, moet je aan een aantal eisen voldoen. Jij bent dus ook gewoon verplicht om aan de privacyregels te voldoen en hebt zelfs een verantwoordingsplicht. Doe je het niet helemaal goed, riskeer je boetes tot 4% van je jaaromzet. ## Je verwerkt sneller persoonsgegevens dan je denkt Ook als zzp’er verwerk je al snel persoonsgegevens. **Persoonsgegevens** is een ruim begrip en omvat bijvoorbeeld namen, adressen, telefoonnummers, mailadressen, bankgegevens of IP-adressen. Zelfs wanneer je systematisch visitekaartjes catalogeert, bijvoorbeeld door ze alfabetisch op te slaan, verwerk je persoonsgegevens. Het hoeft dus zeker niet om **bijzondere persoonsgegevens** te gaan. Meer nog: de verwerking van bijzondere persoonsgegevens is in principe verboden. Voorbeelden van bijzondere persoonsgegevens zijn iemands ras, iemands medische gegevens of iemands religieuze overtuiging. ## Verwerkingsverantwoordelijke of verwerker? Om te weten wat je verplichtingen zijn, moet je weten wat je rol is. De [AVG](https://mkbjuristen.nl/avg-pakket/) onderscheidt de verwerkingsverantwoordelijke en de verwerker. Als jij zelf het doel en de middelen van de verwerking vaststelt, ben jij de **verwerkingsverantwoordelijke**. Ook als een ander de gegevens verwerkt, zoals een marketingkantoor, draag jij nog steeds de verantwoordelijkheid. Daarom moet je altijd een verwerkersovereenkomst opstellen waarmee je de regels vastlegt waaraan de verwerker moet voldoen. In sommige gevallen leg niet jij het doel en de middelen van de verwerking vast. Het gaat dan bijvoorbeeld om zzp’ers in de zorg die voor een instelling werkt. In zo’n geval is het de instelling die de gegevens verzamelt. Soms ben je dan wel nog steeds een **verwerker** en moet jij op jouw beurt aan de regels van de verwerkingsovereenkomst voldoen. ## Verplichtingen van de verwerkingsverantwoordelijke De meeste zzp’ers zijn zelf de verwerkingsverantwoordelijke. Je blijft dan altijd verantwoordelijk, ook als je de [verwerking](https://mkbjuristen.nl/contracten/verwerkersovereenkomst/) uitbesteedt. In de eerste plaats ben jij degene die bepaalt welke gegevens je verzamelt en verwerkt. Deze gegevens mag je alleen verwerken als je daarvoor een **geldige grondslag** hebt. Er zijn zes grondslagen voorzien (toestemming, noodzakelijkheid, wettelijke verplichting, bescherming vitale belangen, taak van algemeen belang of openbaar gezag en gerechtvaardigd belang). Over die grondslagen moet je ook **transparant communiceren** in je [privacy statement](https://mkbjuristen.nl/contracten/privacy-statement/) en [privacy policy](https://mkbjuristen.nl/contracten/privacybeleid/). Ook in het [verwerkingsregister](https://mkbjuristen.nl/contracten/avg-verwerkingsregister/) neem je de grondslagen op. Daarnaast moet jij garanderen dat de **rechten van betrokkenen**, zoals het recht op vergetelheid of het recht op inzage, worden gerespecteerd. Jij staat ook in voor een **passende beveiliging** en je moet bij eventuele **datalekken meteen een melding doen** bij de Autoriteit Persoonsgegevens. Als iemand anders de gegevens verwerkt, ben je dan ook verplicht om duidelijke afspraken te maken. Als verantwoordelijke leg jij nu eenmaal de **regels vast waaraan de verwerker zich moet houden**. ## Verplichtingen van de verwerker De [AVG](https://mkbjuristen.nl/avg-pakket/) legt ook een aantal specifieke verantwoordelijkheden op aan verwerkers. Zo ben je als verwerker verplicht om de **instructies van de verwerkingsverantwoordelijke** te respecteren, behalve wanneer ze strijdig zijn met de wet. Daarnaast moet je over een [verwerkersovereenkomst](https://mkbjuristen.nl/contracten/verwerkersovereenkomst/) beschikken, ben je verplicht om de gegevens **passend te beveiligen** en mag je alleen na een schriftelijke toestemming van de verwerkingsverantwoordelijke persoonsgegevens uitbesteden. Ten slotte ben je net als de verwerkingsverantwoordelijke verplicht om **datalekken te melden** en heb je ook gewoon een **verantwoordingsplicht**. Als zzp’er heb je in principe minder dan 250 medewerkers, maar toch kan het ook dan noodzakelijk zijn om een **verwerkingsregister** bij te houden. Dat is bijvoorbeeld het geval als het niet louter om incidentele verwerkingen gaat. ## Laat je adviseren We merken dat veel zzp’ers niet altijd weten wat hun verwerkingsrol is. En zo weten ze al helemaal niet aan welke verplichtingen ze moeten voldoen. Met ons [AVG-pakket](https://mkbjuristen.nl/avg-pakket/) zorg je ervoor dat je eenvoudig aan alle AVG-verplichtingen voldoet. Het AVG-pakket omvat onder andere een verwerkersregister, verwerkersovereenkomst, privacy statement, disclaimer en cookieverklaring. Vraag vandaag nog een [gratis adviesgesprek](https://mkbjuristen.nl/intake-inplannen/?bel-mij-terug=6) aan.