Stel je voor: je bent ZZP’er. Geen personeel, alleen jij en je laptop.
▶Inhoudsopgave
Je hebt je zaakjes goed voor elkaar. Maar dan komt er een vraag die voor veel chaos zorgt: moet je nu ook een verwerkingsregister bijhouden? Het klinkt officieel, ingewikkeld en vooral bureaucratisch. Alsof je opeens een heel kantoor nodig hebt voor een stukje papierwerk.
Laten we dit meteen even helder maken: het antwoord is niet altijd 'ja', maar het hangt wel af van wat je doet. In dit artikel lees je precies hoe het zit, zonder ingewikkeld gedoe.
Wat is een verwerkingsregister eigenlijk?
Voordat we dieper duiken in de vraag of jij het nodig hebt, even de basis. Een verwerkingsregister is simpelweg een lijst. Op die lijst schrijf je op wat voor persoonsgegevens je verzamelt, waarom je dat doet en hoe lang je ze bewaart.
Het is een soort administratieve rugzak die je bij je draagt. Stel, je bent een grafisch ontwerper en je hebt een contactlijst met klantnamen en e-mailadressen.
Dan noteer je dat in je register. Je legt uit dat je die gegevens gebruikt om facturen te sturen en projecten te bespreken. Simpel, maar het moet wel op papier (of digitaal) staan.
De gouden regel: Personeel of niet?
Hier komt het verhaal vaak in de war. Veel ZZP’ers denken dat als ze geen personeel hebben, ze ook geen register nodig hebben.
Helaas, zo werkt het niet. De regel is niet gebaseerd op het aantal werknemers, maar op wat je doet met gegevens. De wet zegt: als je persoonsgegevens verwerkt, moet je kunnen uitleggen hoe je dat doet.
Wanneer ben je dan wél verplicht?
Of je nu eenmanszaak bent of een multinational. Het register is er om jou en je klanten te beschermen.
Het dwingt je om na te denken over privacy. En ja, dat geldt ook voor de ZZP’er zonder personeel.
Er is een uitzondering, maar die is klein. Als je heel toevallig geen persoonsgegevens verwerkt, dan hoef je geen register. Maar eerlijk gezegd: dat is bijna onmogelijk in de moderne tijd. Heb je een klant?
Dan heb je een naam, een e-mailadres of een telefoonnummer. Dat zijn persoonsgegevens. Er is één specifieke groep die vrijgesteld is: de zzp’er die uitsluitend persoonsgegevens verwerkt voor eigen, persoonlijke of huishoudelijke activiteiten.
Denk aan een oppas die alleen de naam van het kind notert voor zichzelf. Maar zodra je zakelijke diensten levert, val je onder de wet. De enige échte uitzondering voor vrijstelling is als je geen ‘risicovolle’ verwerkingen doet én geen persoonsgegevens deelt met derden.
Maar zelfs dan is een register vaak de veiligste keuze. Het toont aan dat je je zaakjes op orde hebt.
Waarom zou je het wel bijhouden?
Je kunt je afvragen: waarom moeilijk doen? Ik ben toch maar een ZZP’er zonder personeel?
Het antwoord ligt in professionaliteit en veiligheid. Ten eerste: het maakt je professioneler.
Klanten vragen steeds vaker hoe hun data wordt beschermd. Als je kunt zeggen: “Ik heb een verwerkingsregister”, klinkt dat betrouwbaar. Het is een bewijs dat je serieus bent.
Ten tweede: het helpt je bij het opstellen van een privacyverklaring. Een verwerkingsregister en een privacyverklaring horen bij elkaar.
In je privacyverklaring leg je aan klanten uit wat je doet. In je register leg je intern vast hoe je het doet. Het is een logisch geheel. Waarom je een verwerkingsregister moet bijhouden? Ten derde: het bespaart je hoofdpijn bij een controle.
Stel, de Autoriteit Persoonsgegevens (AP) belt. Ze vragen hoe je met klantgegevens omgaat.
Als je een register hebt, kun je direct laten zien dat je gegevens beveiligd, dat je ze niet langer bewaart dan nodig en dat je weet welke gegevens je hebt. Zonder register moet je alles ter plekke verzinnen, en dat is risicovol.
Wat moet er in een verwerkingsregister staan?
Als je besluit om het register bij te houden (wat ik aanraad), hoef je geen boekwerk te schrijven. Een Excel-sheet of een Word-document volstaat vaak al.
Maar wat moet er precies in? De wet schrijft een aantal punten voor. Dit zijn de belangrijkste:
- Je naam en contactgegevens: Wie is de verantwoordelijke? (Jij dus.)
- De doelen van de verwerking: Waarom verzamel je de gegevens? Bijvoorbeeld voor facturatie, marketing of klantcontact.
- Categorieën van betrokkenen: Wie zijn de mensen? Klanten, leveranciers, sollicitanten?
- Categorieën van persoonsgegevens: Wat voor gegevens zijn het? Namen, e-mailadressen, betaalgegevens, IP-adressen?
- Ontvangers van de gegevens: Deel je ze met derden? Denk aan een boekhouder, een CRM-systeem of een e-maildienst.
- Bewaartermijnen: Hoe lang bewaar je de gegevens?
- Beveiligingsmaatregelen: Hoe beveilig je de gegevens? Denk aan sterke wachtwoorden, versleuteling of back-ups.
Het klinkt veel, maar voor een simpele ZZP’er is het vaak snel ingevuld.
Je hebt waarschijnlijk maar een paar soorten gegevens.
Stappenplan voor de ZZP’er zonder personeel
Wil je het gewoon goed regelen? Volg dan deze stappen.
Het kost je misschien een uurtje, maar dan heb je het ook voor elkaar.
Stap 1: Ga na welke gegevens je hebt. Loop je administratie na. Welke klantgegevens heb je?
Wat staat er in je e-mail? Wat gebruik je voor je website?
Stap 2: Schrijf op waarom je ze hebt. Voor elke categorie gegevens noteer je het doel. Gebruik je een nieuwsbrief? Dan verzamel je e-mailadressen voor marketing.
Stap 3: Kies een bewaartermijn. Hoe lang moet je een factuur bewaren?
In Nederland is dat wettelijk 7 jaar. Maar een offerte die je hebt verstuurd maar niet geaccepteerd is, mag je eerder verwijderen. Stap 4: Zet het op papier.
Maak een tabel in Excel of Word. Kopieer de bovenstaande punten en vul ze in.
Sla het op op een veilige plek. Stap 5: Onderhoud het. Een register is niet statisch. Als je een nieuwe dienst start of een nieuwe software gebruikt, voeg je het toe.
Veelvoorkomende valkuilen
Veel ZZP’ers zonder personeel maken dezelfde fouten. Ten eerste: ze denken dat als ze geen personeel hebben, ze geen privacyregels hoeven te volgen. Dat is onzin.
De AVG (Algemene Verordening Gegevensbescherming) geldt voor iedereen die persoonsgegevens verwerkt. Ten tweede: ze bewaren gegevens te lang. Je hoeft een klantnaam niet voor eeuwig te bewaren. Als een klant al 10 jaar niet meer bij je heeft gekocht, kun je de gegevens vaak verwijderen.
Check wel of je ze nog nodig hebt voor belastingdoeleinden. Ten derde: ze vergeten de ‘derde partijen’.
Veel ZZP’ers gebruiken tools zoals Mailchimp, Google Workspace of een boekhoudprogramma. Deze partijen verwerken ook gegevens voor jou.
Je moet dat noemen in je register. Je hoeft niet de technische details van Google te schrijven, maar wel dat je hun diensten gebruikt.
Conclusie: Doe het gewoon
Moet een ZZP’er zonder personeel een verwerkingsregister bijhouden? De strengere regel zegt: als je persoonsgegevens verwerkt, is het verplicht.
Maar er is een kleine speling voor heel eenvoudige verwerkingen. Toch is mijn advies: doe het gewoon. Het kost je weinig tijd, het maakt je professioneler en het beschermt je.
In een tijd waarin data steeds belangrijker wordt, is een overzicht van je gegevens een krachtig instrument. Zie het niet als een last, maar als een manier om je bedrijf sterker te maken.
Zorg dat je het register bijhoudt, net als je je boekhouding. Dan ben je altijd klaar voor de toekomst.
Veelgestelde vragen
Moet elke ZZP’er een verwerkingsregister bijhouden?
Nee, niet elke ZZP’er is verplicht een verwerkingsregister bij te houden. Het hangt af van wat je met persoonsgegevens doet. Als je bijvoorbeeld alleen je eigen contactgegevens gebruikt voor persoonlijke doeleinden, is er geen verplichting. Echter, zodra je zakelijke diensten levert en bijvoorbeeld klantnamen, e-mailadressen of telefoonnummers verzamelt, ben je verplicht om te kunnen aantonen hoe je deze gegevens verwerkt.
Wat is precies een verwerkingsregister?
Een verwerkingsregister is in feite een overzicht van alle persoonsgegevens die je verzamelt, waarom je die gegevens nodig hebt en hoe lang je ze bewaart. Het is een soort administratieve checklist die je helpt om te voldoen aan de privacywetgeving en je klanten te beschermen. Denk aan een lijst met informatie over welke gegevens je hebt, hoe je ze gebruikt en hoe lang je ze bewaart.
Wanneer is een verwerkingsregister wel nodig, ook zonder personeel?
Zelfs als je als ZZP’er geen personeel in dienst hebt, is een verwerkingsregister vaak nodig als je met persoonsgegevens werkt. Het is verplicht om te kunnen aantonen hoe je de gegevens verwerkt, en het register helpt je om dit te documenteren. Het toont aan dat je bewust bent van je privacyverantwoordelijkheden, ongeacht of je werknemers hebt.
Wat moet ik in mijn verwerkingsregister noteren?
In je verwerkingsregister moet je minimaal noteren welke persoonsgegevens je verzamelt (zoals namen, e-mailadressen, telefoonnummers), waarom je die gegevens nodig hebt (bijvoorbeeld voor facturering of projectcommunicatie) en hoe lang je de gegevens bewaart. Het is belangrijk om een duidelijk overzicht te hebben van je dataverwerking.
Zijn er uitzonderingen op de verplichting om een verwerkingsregister bij te houden?
Er is één uitzondering: als je uitsluitend persoonsgegevens verwerkt voor eigen, persoonlijke of huishoudelijke activiteiten, bijvoorbeeld een oppas die alleen de naam van het kind notificeert. Maar in de meeste gevallen, zeker als je zakelijke diensten levert, is het bijhouden van een register de veiligste en meest professionele keuze.