Verwerkingsregister voor ZZP'ers

Vraag tien freelancers of ze een verwerkingsregister hebben. Negen zeggen nee. De tiende liegt waarschijnlijk.

Het verwerkingsregister is een van de meest genegeerde AVG-verplichtingen. Niet omdat het moeilijk is. Het is opvallend simpel: een spreadsheet, zeven kolommen, een half uur werk. Maar het woord klinkt als iets uit een compliance-handboek, en niemand vertelt je dat je het nodig hebt tot het moment dat de AP erom vraagt.

Zo maak je een verwerkingsregister in 30 minuten

Open een spreadsheet of Notion-pagina. Maak deze kolommen:

• Verwerking: wat doe je? (facturatie, nieuwsbrief, klantencontact, projectbeheer)
• Persoonsgegevens: welke gegevens? (naam, e-mail, adres, bankrekening, IP-adres)
• Betrokkenen: van wie? (klanten, nieuwsbriefabonnees, websitebezoekers)
• Grondslag: op welke AVG-basis? (overeenkomst, toestemming, gerechtvaardigd belang)
• Ontvangers: met wie deel je? (Moneybird, Mailchimp, Google Workspace, hostingpartij)
• Bewaartermijn: hoe lang? (7 jaar fiscaal, tot opzegging, 1 jaar na project)
• Beveiliging: welke maatregelen? (encryptie, 2FA, verwerkersovereenkomst)

Vul nu per verwerking een rij in. Loop je werkdag door: waar komen klantgegevens binnen? Waar sla je ze op? Met welke tools werk je?

De meeste ZZP'ers landen op 4-8 rijen. Het past op een scherm. Dat is het hele register. Geen 20 pagina's. Geen juridisch jargon. Een tabel die je in een half uur invult en in twee minuten kunt overleggen aan de AP als ze erom vragen.

De grondslag per verwerking is voor veel ZZP'ers het lastigste veld. In de praktijk zijn het er meestal drie: "uitvoering overeenkomst" (facturen, projectwerk), "wettelijke verplichting" (fiscale bewaarplicht), en "toestemming" (nieuwsbrief). Meer over welke grondslag je wanneer kiest lees je in het artikel over AVG-grondslagen.

Wil je weten of je de basis op orde hebt, inclusief je verwerkingsregister? De Privacy Scan checkt het in 2 minuten.

Drie voorbeelden: developer, boekhouder, ontwerper

Freelance webdeveloper:

• Facturatie: naam, adres, KvK, IBAN van klanten, via Moneybird, grondslag overeenkomst, 7 jaar, VO met Moneybird
• E-mail/projectcommunicatie: naam, e-mail, projectdetails, via Google Workspace, grondslag overeenkomst, 1 jaar na project, VO met Google
• Hosting klantwebsites: bezoekersdata (IP, formulieren), via TransIP/Vercel, grondslag gerechtvaardigd belang, afhankelijk van klantcontract, VO met hostingpartij
• Code repositories: klantcode (potentieel configuratie met persoonsgegevens), via GitHub, grondslag overeenkomst, duur project + 1 jaar, VO met GitHub
• AI-tools: tekstwerk met geanonimiseerde klantdata, via ChatGPT Business, grondslag gerechtvaardigd belang, niet bewaard (training uit), VO met OpenAI

Zelfstandig boekhouder:

• Boekhouding klanten: naam, adres, BSN (voor aangiften), financiele gegevens, via Exact Online, grondslag overeenkomst, 7 jaar fiscaal, VO met Exact
• Salarisadministratie: naam, adres, BSN, salaris, loonheffing, via AFAS/Nmbrs, grondslag wettelijke verplichting, 7 jaar, VO met salaristool
• E-mailcontact: naam, e-mail, financiele correspondentie, via Microsoft 365, grondslag overeenkomst, 7 jaar, VO met Microsoft
• Belastingdienst portaal: via eHerkenning/DigiD, grondslag wettelijke verplichting, volgens fiscale termijnen

Grafisch ontwerper:

• Facturatie: naam, adres, KvK, IBAN, via Moneybird, grondslag overeenkomst, 7 jaar
• Projectbestanden: klantnaam, briefings, feedback, via Google Drive, grondslag overeenkomst, 1 jaar na project
• Portfolio: projectvoorbeelden met klantnaam, op eigen website, grondslag toestemming of gerechtvaardigd belang, zolang portfolio actief
• Nieuwsbrief: e-mailadres, via Mailchimp, grondslag toestemming, tot uitschrijving

Merk op: de boekhouder heeft meer rijen en gevoeliger data (BSN, salarisgegevens). De developer heeft doorgifte buiten de EU (GitHub, AWS). De ontwerper heeft toestemming nodig voor het portfolio. Het register weerspiegelt je werkelijke situatie. Elke ZZP'er heeft een ander register. Dat is het punt.

Vergeet niet de tools die je er misschien niet bij stilstaat: je telefoon met klantcontacten. WhatsApp-groepen met projectdetails. Notion-pagina's met klantnotities. Die horen er ook in. Meer over waar je klantgegevens allemaal staan lees je in het artikel over klantgegevens opslaan.

Moet je er een hebben als ZZP'er?

De AVG (artikel 30 lid 5) heeft een uitzondering voor organisaties met minder dan 250 medewerkers. Die uitzondering is smaller dan hij klinkt. Hij geldt alleen als je verwerking:

• Niet regelmatig plaatsvindt
• Geen risico oplevert voor betrokkenen
• Geen bijzondere persoonsgegevens betreft

Als je structureel klantgegevens verwerkt (facturen sturen, mailinglijst bijhouden, CRM gebruiken, offertes bewaren), is je verwerking regelmatig. Dan geldt de uitzondering niet.

De contra-intuïtieve waarheid: de "uitzondering voor kleine bedrijven" is zo smal geformuleerd dat hij in de praktijk bijna nooit van toepassing is. De AP bevestigt dit: vrijwel elke ondernemer die klanten heeft, moet een verwerkingsregister bijhouden. Het is een van die regels waarvan iedereen denkt dat hij niet voor hen geldt, terwijl hij voor bijna iedereen geldt.

Wanneer je er echt geen nodig hebt: je hebt geen website, geen klantenbestand, verstuurt geen digitale facturen, en gebruikt geen enkele tool die persoonsgegevens verwerkt. Die ZZP'er bestaat nauwelijks in 2026.

Actueel: de Europese Commissie heeft in 2025 voorgesteld om de drempel te verhogen van 250 naar 750 medewerkers, met de uitzondering alleen niet geldend bij hoog-risico verwerkingen. Dit voorstel wordt nog besproken door het Europees Parlement en de Raad. Voorlopig geldt de huidige regel. Als de wijziging doorgaat, verandert het voor ZZP'ers weinig: de meeste verwerken structureel persoonsgegevens, en dat blijft registratieplichtig.

Het positieve: het is een half uur werk. En als je het eenmaal hebt, beantwoord je elke privacyvraag van een klant of de AP in twee minuten. Hoe je je verwerkersovereenkomsten regelt met de tools in je register lees je in dat artikel.

De fouten die iedereen maakt

Verwarring met de privacyverklaring. Je verwerkingsregister is intern. Je privacyverklaring is extern. Ze bevatten deels dezelfde informatie, maar dienen een ander doel. Het register is voor jou en de AP. De verklaring is voor je klanten.

Te complex maken. Een verwerkingsregister van twintig pagina's met juridisch jargon dat je nooit meer opent. Dat is erger dan een simpele spreadsheet die je wel bijhoudt. Houd het simpel. De zeven kolommen hierboven zijn voldoende.

Niet bijwerken. Je bent overgestapt van Mailchimp naar Brevo. Je bent begonnen met AI-tools voor tekstwerk. Je hebt een CRM geinstalleerd. Maar je register staat nog op de versie van twee jaar geleden. Check elk kwartaal of het nog klopt. Zet een herinnering in je agenda.

Sub-verwerkers vergeten. Je hostingpartij schakelt een CDN in. Je boekhoudpakket gebruikt een betaaldienst. Die sub-verwerkers verwerken ook klantgegevens namens jou. Je hoeft ze niet allemaal bij naam te noemen in je register, maar de categorie "sub-verwerkers via [tool]" is relevant. Hoe je verwerkersovereenkomsten regelt met al die partijen lees je in het artikel over verwerkersovereenkomsten.

Doorgifte buiten de EU vergeten. Gebruik je Google Workspace, GitHub, AWS, Mailchimp, ChatGPT? Dan worden gegevens waarschijnlijk buiten de EU verwerkt. Dat hoort in je register onder "doorgifte aan derde landen." Noteer welke waarborgen er zijn: adequaatheidsbesluit, Standard Contractual Clauses, of het EU-US Data Privacy Framework. De meeste grote SaaS-aanbieders hebben dit geregeld, maar je moet het kunnen aantonen.

AI-tools vergeten. Als je persoonsgegevens invoert bij ChatGPT, Claude of Copilot, is dat een verwerking. Het hoort in je register: welke tool, welk accounttype, welke gegevens, of er een verwerkersovereenkomst is. Veel ZZP'ers gebruiken AI-tools inmiddels dagelijks maar staan er niet bij stil dat het een registratieplichtige verwerking is. Meer over AI-tools en privacy lees je in het artikel over ChatGPT voor werk. Stand van zaken: maart 2026.

Wanneer je register je redt

Niemand heeft ooit met plezier een verwerkingsregister ingevuld. Het is administratie. Het voelt niet urgent. En het levert niets op tot het moment dat je het nodig hebt.

Maar dat moment komt. Een paar scenario's:

Een klant vraagt om verwijdering. "Verwijder alles wat je over mij hebt." Zonder register begin je te zoeken: waar staan die gegevens ook alweer? In Moneybird, in je inbox, in Google Drive, in WhatsApp? Met een register open je je tabel en weet je binnen twee minuten welke systemen je moet nalopen.

Een opdrachtgever checkt je AVG-compliance. Steeds vaker stellen opdrachtgevers privacyvragen voordat ze je inhuren. "Heb je een verwerkingsregister?" is een veelgestelde. Een "ja" met een link naar je register is een sterk signaal. Een "nee" of "daar ben ik mee bezig" is dat niet.

Een datalek. Je moet documenteren welke gegevens betrokken waren, van hoeveel personen, en in welke systemen. Dat moet snel, binnen 72 uur. Zonder register ga je reconstructiewerk doen onder tijdsdruk. Met een register heb je het overzicht al. Meer over de meldprocedure lees je in het artikel over datalek melden.

De AP vraagt ernaar. Naar aanleiding van een klacht of een onderzoek. Je moet het register kunnen overleggen. Niet over twee weken als je het hebt aangemaakt. Nu.

Een half uur. Een spreadsheet. Zeven kolommen. Dat is het verschil tussen "ik weet wat ik doe met klantgegevens" en "ik moet het even uitzoeken."

En vergeet niet: je register is een levend document. Check elk kwartaal of het nog klopt. Nieuwe tool? Nieuwe rij. Overgestapt van Mailchimp naar Brevo? Rij aanpassen. Het bijhouden kost vijf minuten per kwartaal. Het niet bijhouden kost je geloofwaardigheid op het moment dat het ertoe doet.

Meer over hoe lang je gegevens mag bewaren (de bewaartermijnen in je register) lees je in het artikel over bewaartermijnen.