Als zzp'er werk je waarschijnlijk dagelijks met klantgegevens. Denk aan facturen, contracten, contactgegevens of bestanden die je deelt via de cloud. Handig, natuurlijk, maar zodra je persoonsgegevens opslaat of verwerkt, krijg je ook te maken met de AVG.
Daarom is het de moeite waard om te weten welke tools je wél en niet zomaar kunt gebruiken, en onder welke voorwaarden.
Moet je bijvoorbeeld een verwerkersovereenkomst afsluiten? Mag je klantdata opslaan bij Amerikaanse aanbieders? En hoe zorg je ervoor dat je bestanden veilig blijven zonder dat het ingewikkeld wordt?
In dit artikel leggen we concreet uit wat je als zzp'er moet regelen rondom AVG, waar het in de praktijk misgaat, en wanneer je huidige cloud opslag wél of niet volstaat.
Ja. De AVG geldt voor elke organisatie, inclusief eenmanszaken, die persoonsgegevens verwerkt. De grootte van je bedrijf maakt niet uit. Ook als je maar een handvol klanten hebt, val je eronder zodra je hun naam, adres of e-mailadres ergens opslaat.
Persoonsgegevens zijn alle gegevens die direct of indirect naar een persoon te herleiden zijn. Een naam op een factuur is een persoonsgegeven. Een e-mailadres in je inbox ook. Zelfs een KvK-nummer van een eenmanszaak kan eronder vallen, omdat het herleidbaar is naar een persoon.
Je verwerkt persoonsgegevens zodra je ze opslaat, verstuurt, inziet of bewerkt, ook als je dat niet bewust doet. De meeste zzp'ers doen dit dagelijks, simpelweg door hun administratie bij te houden.
Denk aan: facturen met naam en adres van klanten, e-mailcorrespondentie, offertes, contracten, cv's van sollicitanten of opdrachtgevers, en foto's of andere bestanden die aan personen gekoppeld zijn.
Als al die bestanden in Google Drive, Dropbox of een vergelijkbare dienst staan, verwerk je persoonsgegevens in de cloud en is de AVG van toepassing.
Als freelancer moet je aan vier dingen denken op het moment dat je persoonlijke gegevens in de cloud opslaat:
Hier volgt wat elk van deze dingen in de praktijk betekent.
De AVG vereist dat je een geldige reden hebt om persoonsgegevens te bewaren. Voor de meeste zzp'ers is die reden automatisch aanwezig: als je een klant factureert, heb je een overeenkomst met die persoon, en dat is een geldige grondslag. Je hoeft daar niets voor te doen of vast te leggen.
Dit punt wordt pas relevant als je data bewaart zonder directe klantrelatie, bijvoorbeeld e-mailadressen van mensen die zich hebben ingeschreven voor een nieuwsbrief. Dan heb je toestemming nodig. Die toestemming komt in de praktijk via een opt-in: de persoon vult actief zijn e-mailadres in en geeft aan akkoord te gaan met het ontvangen van berichten. Dat inschrijfmoment is de toestemming. Zorg wel dat je kunt aantonen wanneer en hoe iemand zich heeft aangemeld.
De AVG verplicht je om persoonsgegevens te beveiligen met passende technische maatregelen. Wat passend is, hangt af van hoe gevoelig de data is.
Voor de meeste zzp'ers betekent dit concreet: gebruik een sterk wachtwoord, schakel tweefactorauthenticatie in, en zorg dat je cloud opslag niet voor iedereen toegankelijk is. Een gedeelde link naar een map met klantgegevens die iedereen met de link kan openen, is niet passend.
Een verwerkersovereenkomst is een afspraak tussen jou en je cloud provider over hoe zij omgaan met de persoonsgegevens die jij bij hen opslaat. De provider legt daarin vast dat ze jouw data alleen verwerken voor jouw doeleinden, niet voor hun eigen gebruik, en dat ze zich houden aan de AVG.
Google, Microsoft en Dropbox bieden zo'n overeenkomst aan, maar alleen op betaalde zakelijke abonnementen. Je "sluit" hem zelden bewust: hij zit verwerkt in de voorwaarden die je accepteert bij het afsluiten van een zakelijk account.
Het probleem is dat veel freelancers een gratis of persoonlijk account gebruiken. Op die accounts is de verwerkersovereenkomst simpelweg niet van toepassing. Dat betekent concreet: de provider heeft geen verplichting om jouw klantdata te behandelen als vertrouwelijke bedrijfsdata. Ze mogen die data in principe gebruiken voor hun eigen doeleinden, zoals productverbetering of gepersonaliseerde advertenties. Je hebt dan geen juridische basis om hen daarop aan te spreken vanuit de AVG.
Gebruik je Google Drive of Dropbox voor klantdata? Controleer dan of je een zakelijk abonnement hebt waarbij de verwerkersovereenkomst is inbegrepen. Zo niet, dan is dat het eerste dat je moet regelen.
Bedrijven met minder dan 250 medewerkers zijn in de meeste gevallen vrijgesteld van de plicht om een verwerkingsregister bij te houden. Als zzp'er zonder personeel hoef je dit doorgaans niet op te stellen, tenzij je regelmatig gevoelige gegevens verwerkt, zoals medische of financiële informatie.
Nuttig om sowieso te doen: schrijf voor jezelf op welke persoonsgegevens je verwerkt, bij welke provider ze staan, en waarom je ze bewaart. Dat kost een uur en geeft houvast als er ooit een vraag over komt.
Stel, je hebt een zakelijke account en de DPA is van kracht. Ben je dan klaar? Bijna, maar er is een punt waar veel zelfstandigen niet van op de hoogte zijn. Zelfs als alles contractueel in orde is, kan er nog steeds een land zijn met juridische jurisdictie over jouw gegevens. En dat heeft niets te maken met waar je op geklikt hebt om mee akkoord te gaan.
Google en Dropbox zijn Amerikaanse bedrijven. Ze vallen onder de Amerikaanse Cloud Act, een wet die de Amerikaanse overheid het recht geeft om data op te vragen bij Amerikaanse bedrijven, ook als die data op Europese servers staat.
Zelfs als jouw bestanden fysiek in Amsterdam liggen, kunnen Amerikaanse autoriteiten in theorie toegang eisen. De AVG biedt daartegen geen bescherming; die regelt Europees recht, niet wat een ander land mag opvragen.
Wat betekent dit voor jou als zzp'er?
Werk je met gewone klantgegevens, zoals facturen en contactgegevens, en heb je de verwerkersovereenkomst van Google of Dropbox geactiveerd? Dan voldoe je in de meeste gevallen aan de basisvereisten van de AVG. Het Cloud Act-risico is voor de gemiddelde zzp'er klein.
Werk je met gevoelige data, zoals medische dossiers, juridische informatie of financiële gegevens van klanten? Dan is een Amerikaanse provider geen veilige keuze, ongeacht de verwerkersovereenkomst. Kies in dat geval een Europese cloud provider waarop de CLOUD Act niet van toepassing is.
Een provider is meer dan zijn serverlocatie. De combinatie van waar data staat, wie de eigenaar is en onder welk recht die eigenaar valt, bepaalt samen hoe veilig jouw data juridisch is.
Veel aanbieders adverteren met "data in Europa" of "opslag in Nederland". Dat is een begin; Europese servers vallen onder de Europese privacywetgeving. Maar als de moedermaatschappij Amerikaans is, geldt de Cloud Act nog steeds voor dat bedrijf als geheel.
Serverlocatie is één factor. Eigendom is een andere. Beide doen er toe. Dit verschijnsel heeft zelfs een naam: sovereignty washing:: dat is het gebruik van Europese serverlocaties als marketingargument, terwijl de juridische zeggenschap gewoon Amerikaans blijft.
Een Europese cloud provider, eigendom van een Europees bedrijf en zonder Amerikaanse moedermaatschappij, valt uitsluitend onder Europees recht. De Cloud Act heeft er geen vat op. De AVG is het enige kader dat van toepassing is.
Dat geeft een wezenlijk andere juridische zekerheid dan een Amerikaans bedrijf met Europese servers en een nette verwerkersovereenkomst. Voor zzp'ers die met gevoelige klantdata werken, is dit het relevante onderscheid: niet of een provider een verwerkersovereenkomst aanbiedt, maar wie er uiteindelijk toegang kan afdwingen.
→ Lees meer: Europese cloudopslag: wat het is, hoe het werkt en wanneer het van belang is
Nee, en dat is een belangrijke misvatting. De AVG verdwijnt niet omdat je een Europese provider gebruikt. Je verwerkingsgrondslag, beveiliging en verwerkersovereenkomst blijven jouw verantwoordelijkheid, ongeacht welke cloud je kiest.
Wat wél verandert: de juridische complexiteit rondom je provider wordt een stuk kleiner.
Of je nu Google Drive, Microsoft 365 of een Nederlandse provider gebruikt, deze drie dingen blijven altijd overeind:
Met aanbieders als Microsoft 365 of Google Workspace komt daar nog een extra laag bij. Je moet ook nadenken over:
Dat maakt het compliance-verhaal juridisch complexer en moeilijker uit te leggen aan klanten, accountants of bij aanbestedingen.
Bij een Nederlandse of Europese provider met Europees eigendom vervalt een groot deel van die extra laag. Data staat in de EU, de provider valt onder Europees recht, en er zijn geen conflicterende jurisdicties. Het compliance-verhaal is dan eenvoudiger:
Je kunt klanten en accountants een duidelijk antwoord geven, zonder voorbehoud.
De Europese cloud maakt je niet automatisch compliant. Maar de provider zelf voegt geen juridische complexiteit toe, en dat is precies wat bij Amerikaanse aanbieders wél het geval is.
Gebruik dit als snelle toets voor je huidige situatie:
Kun je niet alles aanvinken? Het is de moeite waard om je huidige instellingen te bekijken.
Ja. De AVG geldt voor iedereen die persoonsgegevens verwerkt, ook als je geen medewerkers hebt. Zodra je klantgegevens, facturen of contactinformatie opslaat, val je eronder. De omvang van je bedrijf is niet relevant.
In principe wel, als je persoonlijke gegevens via die provider opslaat. De meeste grote providers nemen dit op als onderdeel van hun zakelijke voorwaarden. Controleer of je het hebt geactiveerd of geaccepteerd. Zo niet, neem dan contact op met je provider of overweeg een alternatief.
De Autoriteit Persoonsgegevens kan boetes opleggen. Voor kleine overtredingen door zzp'ers is de kans op een hoge boete klein, maar het risico is niet nul, zeker bij een datalek. Belangrijker: als er iets misgaat met klantdata die jij beheert, ben jij verantwoordelijk tegenover je klanten.
AVG-compliant betekent dat een provider voldoet aan de eisen van de AVG: verwerkersovereenkomst, beveiliging, privacybeleid. Europese cloud opslag gaat een stap verder; de provider valt uitsluitend onder Europees recht, zonder blootstelling aan de Amerikaanse Cloud Act of andere buitenlandse wetgeving. Het eerste is een minimum. Het tweede is een bewuste keuze.
