Twee mensen met elkaar in gesprek in een kantoorruimte.

ZZP’er? Jullie zijn zelden een verwerker?

In de praktijk zie ik als privacy officer keer op keer dat zelfstandige professionals een rol krijgen die niet past bij wat ze daadwerkelijk doen. En dat is geen detail — dat raakt de kern van de AVG.

Een veelvoorkomende praktijksituatie

Er zij drie partijen. Er is een Een opdrachtgever (klant), die neemt dienstverlening af bij een MKB-bedrijf. Voor de uitvoering wordt er gebruikgemaakt van ZZP”ers. De opdracht is helder. Iedereen weet wat hij moet doen. Alles staat op groen voor een goede samenwerking. Tot het moment dat de contracten op tafel komen.

Daar ligt hij dan: de verwerkingsovereenkomst.

Het MKB bedrijf tekent als verwerker de verwerkingsovereenkomst met de klant. De klant is verwerkingsverantwoordelijke.
Het MKB bedrijf tekent met de ZZP’ers een verwerkingsovereenkomst, MKB bedrijf als verwerkingsverantwoordelijke en de ZZP’ers zijn de verwerkers.
Iedereen tekent, want dat hoort zo.

Maar klopt dat eigenlijk wel?
De twee vragen waar het om draait zijn:
1. Kan een MKB bedrijf in hetzelfde contract zowel verwerker en verwerkingsverantwoordelijke zijn?
2. Zijn ZZP’ers niet gewoon verwerkingsverantwoordelijken?

Even terug naar de basis: rollen onder de AVG

Om te begrijpen waar het misgaat, moeten we één stap terug. Wanneer is iemand verwerkingsverantwoordelijk en wanneer is iemand een verwerker voor de AVG.

Verwerkingsverantwoordelijke

Dit is de partij die bepaalt:

    • Waarom persoonsgegevens worden verwerkt

    • Hoe dat gebeurt

Met andere woorden hier ligt de regie.

Verwerker

Een verwerker:

    • handelt alleen in opdracht

    • heeft geen eigen zeggenschap over de verwerking van gegevens

    • voert puur uit wat is opgedragen

Denk aan:

    • salarisverwerkers

    • cloudproviders

    • IT-beheerders

De verwerkingsovereenkomst (VWO)

Een verwerkingsovereenkomst is alleen verplicht wanneer er daadwerkelijk sprake is van een verwerker.

Het is dus géén standaard document dat je “erbij” tekent bij elke samenwerking.

Waar het misgaat bij ZZP’er

Veel ZZP’ers voeren hun werk inhoudelijk zelfstandig uit.

Denk aan:

    • coaches

    • consultants

    • maatschappelijk werkers

    • trainers

    • mediators

Jullie bepalen zelf:

    • hoe je gesprekken verlopen

    • welke gegevens je  vastgelegd

    • hoe jij je vak inhoudelijk uitvoert

Dat betekent iets belangrijks: jullie hebben professionele autonomie!

En precies daar schuurt het met de rol van ‘verwerker’.

Want een echte verwerker:

    • volgt instructies

    • heeft geen eigen invulling

    • heeft geen discretionaire ruimte

Je bent een verwerker als jouw opdrachtgever zou mogen bepalen:

    • welke methodiek jij gebruikt

    • hoe jij je werk uitvoert

    • welke informatie je daarbij vastlegt

dan zou jouw professionele onafhankelijkheid verdwijnen.

Verwerker ≠ sub-contractant

Dit is misschien wel de grootste denkfout van de MKB’er.

Een verwerker is niet hetzelfde als een sub-contractant

Veel ZZP’ers zijn voor de uitvoering van het contract van de opdrachtgever sub-contractant.

Maar dat maakt ze nog geen verwerker. Een verwerker is namelijk géén uitvoerder van werk, maar een uitvoerder van gegevensverwerking onder strikte instructie volgens de AVG.

En dat is iets wezenlijk anders. Sterker nog een ZZP’er kan prima ingehuurd zijn en tóch (mede) verwerkingsverantwoordelijke zijn.
Wat niet uit te leggen is waarom een MKB’er een dubbel rol heeft als verwerker en verantwoordelijke.  Dit kan problemen geven.  

Waarom dit geen theoretisch probleem is

Het verkeerd indelen van rollen lijkt misschien een formaliteit. Maar in de praktijk kan dit serieuze gevolgen hebben.

1. Onduidelijkheid bij datalekken

    • Wie meldt het datalek?

    • Wie informeert betrokkenen?

Als dat niet duidelijk is, wordt er vaak te laat of verkeerd gehandeld. Met een risico op boetes. 

2. Onjuiste contracten

Een verwerkingsovereenkomst veronderstelt dat de ZZP’er geen eigen verantwoordelijkheid heeft.

Als dat in werkelijkheid anders is dan is de overeenkomst juridisch zwak of zelfs onjuist.

3. Aansprakelijkheidsrisico’s

De opdrachtgever denkt dat risico’s door een contract zijn afgedekt. Maar als de rollen niet kloppen, is dat schijnzekerheid.

4. Toezicht door de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens kijkt niet naar hoe het op papier staat, maar naar de praktijk.

Dus: “Er is een verwerkingsovereenkomst, dus het zal wel kloppen” Dat werkt niet. Zeker niet omdat je als ZZP’er zelf verantwoordelijk bent voor je eigen bedrijfsvoering.

Freelancer achter een laptop met een bak koffie.

Praktisch: wat moet je dan wél doen?

1. Analyseer eerlijk je rol

Stel jezelf deze vraag:

Bepaal ik zelf hoe ik werk en welke persoonsgegevens ik daarbij gebruik?

Zo ja:
Dan ben je (mede) verwerkingsverantwoordelijke

Signalen:

    • professionele autonomie

    • eigen vakinhoudelijke keuzes

    • onafhankelijkheid in uitvoering

2. Stop met standaard verwerkingsovereenkomsten

Gebruik een VWO alleen als het écht klopt.

Twijfel?
Dan is het vaak geen verwerkersrelatie aangaan, maar eerst even goed uitzoeken.

3. Werk met duidelijke afspraken

Werk je samen met meerdere verantwoordelijken?

Leg dan vast:

    • wie verantwoordelijk is voor wat

    • wie datalekken meldt

    • wie inzageverzoeken afhandelt

    • hoe bewaartermijnen worden toegepast

4. Ga het gesprek aan.

Mijn advies uit de praktijk:

Heb je een verwerkingsovereenkomst getekend, maar twijfel je over je rol?

Ga samen met collega’s ZZP’ers in gesprek met jouw opdrachtgever de Mkb’er. Laat je niet wegzetten als vervelend. Of wegsturen met mijn jurist heeft er naar gekeken en daarom klopt het. Dit is een veel gehoord antwoord van Mkb’ers. Kan wel zijn, maar juristen begrijpen niet altijd jullie dienstverlening.

Waarom?
Omdat je:

    • misverstanden oplost

    • rollen helder maakt

    • vertrouwen opbouwt

En dat is uiteindelijk waar privacy om draait.

Tot slot

ZZP’ers zijn zelden verwerkers. Maar ze tekenen er wel vaak voor.

En dat is geen formaliteit.
Het is een fundamentele fout in hoe we naar verantwoordelijkheid kijken.

Wil je het goed doen?

    • Kijk naar de praktijk

    • Niet alleen naar het contract

    • En durf het gesprek aan

Privacy als belofte, veiligheid als basis

Het begint met één simpele stap:
helderheid over je rol.

Vergelijkbare blogs: