Heb ik een privacyverklaring nodig als ik geen website heb?

Ja, als je persoonsgegevens verwerkt. En dat doe je vrijwel altijd als je klanten hebt. Zonder website kun je de informatie verstrekken via e-mail, in je offerte, of als bijlage bij je algemene voorwaarden. De verplichting vervalt niet door het ontbreken van een website.

Is een privacyverklaring hetzelfde als een cookieverklaring?

Nee. Een privacyverklaring gaat over alle persoonsgegevens die je verwerkt (AVG). Een cookieverklaring gaat specifiek over cookies en vergelijkbare technologieën op je website (Telecommunicatiewet). Je hebt ze allebei nodig als je website cookies plaatst. Veel bedrijven combineren ze op één pagina, maar het zijn twee aparte verplichtingen.

Moet mijn privacyverklaring in het Nederlands?

De AVG schrijft geen specifieke taal voor, maar vereist dat de informatie "beknopt, transparant, begrijpelijk en in duidelijke en eenvoudige taal" is. Als je doelgroep Nederlandstalig is, schrijf je het in het Nederlands. Een Engelse template op een Nederlandse site voldoet waarschijnlijk niet aan de eis van begrijpelijkheid.

Kan de AP controleren of mijn privacyverklaring klopt?

Ja. De AP kan handhavend optreden als je privacyverklaring ontbreekt, onvolledig is, of niet overeenkomt met je werkelijke verwerkingen. In de praktijk komt dit meestal aan het licht na een klacht van een betrokkene. Voor ZZP'ers zijn waarschuwingen gebruikelijker dan boetes, maar het risico is reëel.

Moet ik AI-tools vermelden in mijn privacyverklaring?

Als je persoonsgegevens van klanten invoert bij AI-tools zoals ChatGPT of Claude, dan verwerk je die gegevens via een derde partij. Dat hoort in je privacyverklaring onder "met wie je gegevens deelt" en "doeleinden". Vermeld de categorie tool, het doel, en de waarborgen die je treft.

Heb je een privacybeleid nodig?

Je hebt net een website live gezet. Er staat een contactformulier op, een offerte-aanvraag, en je e-mailadres. Of je hebt geen website, maar je stuurt wel offertes per mail en bewaart klantgegevens in een spreadsheet. In beide gevallen: ja, je hebt een privacyverklaring nodig.

De AVG verplicht je om mensen te informeren over wat je met hun gegevens doet. Dat is de kern. Niet een juridisch document om je in te dekken, maar een eerlijk overzicht van hoe jij met klantgegevens omgaat.

Wanneer is een privacyverklaring verplicht?

Zodra je persoonsgegevens verwerkt. En "verwerken" is breed onder de AVG: verzamelen, opslaan, gebruiken, delen, verwijderen. Het gaat niet alleen om digitale gegevens. Een papieren klantenlijst telt ook.

In de praktijk verwerkt vrijwel elke ondernemer persoonsgegevens. Je hebt klanten met namen en adressen. Je stuurt facturen. Je hebt een e-maillijst. Je gebruikt een boekhoudpakket, een CRM, een hostingpartij. Allemaal verwerkingen van persoonsgegevens.

De informatieplicht uit artikel 13 en 14 AVG is helder: als je persoonsgegevens verzamelt, moet je de betrokkene vertellen wat je ermee doet. De privacyverklaring is het document waarmee je dat doet. Het is geen optionele niceheid. Het is een wettelijke verplichting.

De enige situatie waarin je er waarschijnlijk geen nodig hebt: je verwerkt op geen enkele manier persoonsgegevens van anderen. Geen klanten, geen website, geen e-mailcontacten. Dat is zeldzaam.

Wat moet erin staan volgens de AVG?

Artikel 13 AVG somt op wat je moet vermelden als je gegevens rechtstreeks bij iemand verzamelt (contactformulier, offerte, e-mail). De lijst is langer dan de meeste templates suggereren.

Je identiteit en contactgegevens. Bedrijfsnaam, adres, e-mailadres, KvK-nummer. Bij een eenmanszaak is dat je eigen naam en vestigingsadres.

Welke gegevens je verwerkt. Wees specifiek. Niet "wij verwerken persoonsgegevens." Wel: namen, e-mailadressen, telefoonnummers, betalingsgegevens, IP-adressen. Noem wat je daadwerkelijk verzamelt.

De doeleinden. Waarom verwerk je die gegevens? Uitvoering van een opdracht, facturatie, nieuwsbrief, websiteanalyse, klantenservice. Elk doel apart benoemen.

De grondslag per verwerking. Op welke juridische basis verwerk je de gegevens? Voor de meeste ZZP'ers zijn dit er drie: uitvoering van een overeenkomst (opdracht, factuur), toestemming (nieuwsbrief), en gerechtvaardigd belang (websiteanalyse, bedrijfsvoering). Benoem per doel welke grondslag van toepassing is.

Met wie je gegevens deelt. Categorieën van ontvangers: hostingpartij, boekhoudpakket, e-mailtool, AI-tools, betaaldiensten. Je hoeft niet elke leverancier bij naam te noemen, maar de categorieën moeten duidelijk zijn. Vermeld ook als gegevens buiten de EU worden verwerkt en welke waarborgen daarvoor gelden.

Bewaartermijnen. Hoe lang bewaar je welke gegevens? Per type een termijn of het criterium waarmee je die bepaalt. Factuurgegevens: 7 jaar (fiscale bewaarplicht). Nieuwsbriefgegevens: tot uitschrijving. Projectgegevens: X maanden na afronding.

De rechten van betrokkenen. Recht op inzage, correctie, verwijdering, beperking, bezwaar, dataportabiliteit. En het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Dit is verplicht om te noemen, ook als je niet verwacht dat iemand er gebruik van maakt.

Geautomatiseerde besluitvorming. Als je geautomatiseerde beslissingen neemt die mensen raken (automatische afwijzing, scoring), moet je dat vermelden. Voor de meeste ZZP'ers niet van toepassing, maar weet dat het erin hoort als het wel speelt.

Doorgifte buiten de EU. Gebruik je diensten die gegevens buiten de Europese Economische Ruimte verwerken? Mailchimp (VS), ChatGPT (VS), Cloudflare (VS)? Vermeld dit en benoem de waarborgen: adequaatheidsbesluit, Standard Contractual Clauses, of het EU-US Data Privacy Framework. Veel ZZP'ers weten niet dat hun data buiten de EU wordt verwerkt via tools die ze dagelijks gebruiken.

Dat zijn meer punten dan de meeste templates bevatten. Een template dat alleen "welke gegevens" en "rechten" noemt, mist de helft.

Hoe ziet een goede privacyverklaring eruit voor een ZZP'er?

Een privacyverklaring hoeft geen tien pagina's te zijn. Voor een ZZP'er of klein bedrijf is een tot twee A4 meestal voldoende. De sleutel is: eerlijk en specifiek.

Een goede privacyverklaring voor een freelance webdesigner zou er bijvoorbeeld zo uitzien:

Een korte inleiding met je naam, bedrijfsnaam en KvK-nummer. Dan per verwerkingsactiviteit een blokje: welke gegevens, waarvoor, op welke grondslag, hoe lang bewaard. Contactformulier: naam en e-mailadres, om je vraag te beantwoorden, op basis van gerechtvaardigd belang, bewaard tot 6 maanden na afhandeling. Facturatie: naam, adres, betaalgegevens, op basis van wettelijke verplichting, bewaard 7 jaar. Nieuwsbrief: e-mailadres, op basis van toestemming, bewaard tot uitschrijving.

Dan een sectie over met wie je deelt: hostingpartij (TransIP), boekhoudpakket (Moneybird), e-mailtool (Mailchimp). Vervolgens de rechten van betrokkenen en hoe ze je kunnen bereiken.

Dat is het. Geen juridisch jargon. Geen tekst over cookies die je niet gebruikt. Geen claims over gegevens die je niet verwerkt.

De fouten die je overal tegenkomt

De meeste privacyverklaringen bij kleine bedrijven zijn een van drie dingen: een Engelstalig template dat niet is vertaald, een generiek Nederlands template dat niet aansluit bij de werkelijkheid, of een verouderd document dat niet is bijgewerkt toen de ondernemer nieuwe tools ging gebruiken.

Het template dat niet klopt. Een verklaring die zegt "wij plaatsen geen cookies" terwijl je Google Analytics draait. Of "wij delen geen gegevens met derden" terwijl je Mailchimp, Moneybird en ChatGPT gebruikt. De AVG vereist niet alleen dat je een privacyverklaring hebt, maar dat die overeenkomt met de werkelijkheid. Een onjuiste verklaring kan ernstiger zijn dan geen verklaring.

De set-and-forget-mentaliteit. Je hebt twee jaar geleden een privacyverklaring geschreven. Sindsdien ben je van Mailchimp naar Brevo overgestapt, gebruik je AI-tools voor tekstwerk, en heb je een CRM geïnstalleerd. Je verklaring klopt niet meer. Check minimaal jaarlijks of je verklaring nog actueel is, en update bij elke significante verandering.

De overkill-verklaring. Het andere uiterste: een privacyverklaring van acht pagina's met secties over biometrische gegevens, profilering en internationale doorgifte die allemaal niet van toepassing zijn. Dit is niet fout, maar het schendt het AVG-principe van beknoptheid en begrijpelijkheid. Schrijf over wat je doet, niet over wat theoretisch mogelijk is.

Eerlijkheid is de eenvoudigste strategie. Inventariseer wat je daadwerkelijk doet met klantgegevens. Schrijf dat op. Dat is je privacyverklaring.

Cookies, tracking en de Telecommunicatiewet

Dit is het punt waar het verwarrend wordt. De privacyverklaring valt onder de AVG. Maar cookies en vergelijkbare technologieën vallen (ook) onder de Telecommunicatiewet, specifiek artikel 11.7a. Twee aparte wetten, twee aparte verplichtingen.

Als je website cookies plaatst die niet strikt noodzakelijk zijn (analytics, marketing, social media embeds), dan moet je vooraf toestemming vragen. Dat is de cookiebanner die je overal ziet. Functionele cookies (winkelwagentje, inlogstatus) zijn vrijgesteld.

In de praktijk voor de meeste ZZP'ers: gebruik je Google Analytics? Dan heb je een cookiebanner nodig en een cookieverklaring. Gebruik je geen analytics en geen marketing-cookies? Dan kan een korte vermelding in je privacyverklaring volstaan.

Veel ondernemers verwarren de privacyverklaring met de cookieverklaring. Het zijn twee documenten die verschillende dingen regelen. Je kunt ze combineren op één pagina, maar de verplichtingen komen uit verschillende wetten.

Een tip: overweeg of je Google Analytics echt nodig hebt. Veel ZZP'ers installeren het uit gewoonte en bekijken de data nooit. Geen analytics = geen analytics-cookies = geen cookiebanner nodig. Minder complexiteit voor iets dat je toch niet gebruikt. Alternatieven als Plausible of Fathom werken zonder cookies en hebben geen toestemming nodig.

Waar zet je het neer?

Website. Op een aparte pagina, bereikbaar via de footer. Dat is de conventie en het is waar bezoekers het verwachten. Link ernaar vanuit elke plek waar je gegevens verzamelt: contactformulier, nieuwsbriefinschrijving, offerte-aanvraag.

Geen website. De verplichting vervalt niet als je geen website hebt. Je kunt de privacyverklaring meesturen als bijlage bij je offerte of als link in je e-mailhandtekening. Belangrijk: de privacyverklaring moet een apart, vindbaar document zijn. Verberg het niet in je algemene voorwaarden. Het gaat erom dat de informatie toegankelijk is op het moment dat je gegevens verzamelt.

Bij offerte of contract. Als je offline werkt (een trainer, coach, therapeut), kun je de privacyverklaring als bijlage bij je intakeformulier of contract voegen. Zolang de betrokkene de informatie krijgt voordat of op het moment dat je de gegevens verzamelt.

Template of zelf schrijven?

Een template is een prima startpunt. Maar de kwaliteit varieert enorm.

AP-richtlijnen. De Autoriteit Persoonsgegevens biedt geen kant-en-klaar template, maar wel een duidelijke checklist van wat erin moet staan. Dat is je betrouwbaarste referentie.

Gratis generators. Veiliginternetten.nl (overheidsplatform) biedt een gratis generator die je door de vereiste onderdelen heen leidt. Daarnaast zijn er tools als privacypolicygenerator.nl en WebwinkelKeur. Het resultaat is een startpunt, maar controleer het altijd. Geen generator kent je specifieke situatie, en de meeste missen punten als doorgifte buiten de EU of AI-toolgebruik. Gebruik het als basis, niet als eindproduct.

Juridisch advies. Voor de meeste ZZP'ers niet nodig. Als je bijzondere persoonsgegevens verwerkt (zorg, HR), of als je op grote schaal persoonsgegevens verwerkt, is het verstandig om een jurist te laten meekijken.

De beste aanpak: begin met de AP-checklist. Inventariseer je verwerkingen. Schrijf per verwerking een blokje met de vereiste informatie. Houd het concreet en eerlijk. Laat het een keer lezen door iemand die niet weet wat je doet. Begrijpt die persoon wat er staat? Dan zit je goed.

Het moeilijkste is niet het schrijven. Het is eerlijk inventariseren wat je eigenlijk allemaal doet met klantgegevens. De meeste ondernemers onderschatten hoeveel tools en diensten ze gebruiken die persoonsgegevens verwerken. Maak die lijst, schrijf op wat je doet, en je hebt een privacyverklaring die klopt. Dat is meer dan de meeste concurrenten kunnen zeggen.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.