ZZP’er? Jullie zijn zelden een verwerker!

In mijn werk zie ik het regelmatig: zelfstandig professionals (ZZP’ers) die een verwerkingsovereenkomst hebben getekend, terwijl ze feitelijk geen verwerker zijn. Dat lijkt misschien een juridisch detail, maar het kan grote gevolgen hebben. Voor de opdrachtgever, het MKB-projectbureau én de ZZP’er zelf.

Tijd om dit hardnekkige misverstand recht te zetten.

De casus: wie doet wat?

Een herkenbare praktijk:

Een klant/ opdrachtgever neemt dienstverlening af bij een MKB-bedrijf
Het MKB-bedrijf schakelt een ZZP’er in
De facturatie loopt via het MKB-bedrijf
De ZZP’er voert de inhoudelijke werkzaamheden zelfstandig uit

En dan gebeurt het:
de ZZP’er tekent een verwerkingsovereenkomst bij de opdrachtovereenkomst. Maar klopt dat wel?

Even terug naar de basis:

AVG-rollen

Verwerkingsverantwoordelijke

Dit is de partij die bepaalt:

Waarom persoonsgegevens worden verwerkt (doel)
Hoe dit gebeurt (middelen)

De verwerkingsverantwoordelijke is degene die de regie voert.

Verwerker

Een verwerker:

Handelt uitsluitend in opdracht van de verantwoordelijke
Heeft geen eigen zeggenschap over doel of middelen
Voert puur uit wat is opgedragen

Denk aan: externe salarisverwerker, Cloud provider, IT-beheerpartij.

De verwerkingsovereenkomst

Een verwerkingsovereenkomst (VWO) is een verplicht document onder de AVG wanneer je met een verwerker werkt. Maar daar zit meteen de nuance:

Een verwerkingsovereenkomst is geen standaard bijlage bij elke samenwerking. Het is een instrument voor een specifieke relatie: die tussen verantwoordelijke en verwerker. Dit geen document dat je sluit met cliënten of met ze bespreekt. Cliëntengegevens die je verwerkt maakt de cliënt wel een betrokkene, maar heeft geen rol in de VWO.

Het doel van een verwerkingsovereenkomst

De VWO regelt één ding:

Dat de verwerker alleen in opdracht en onder instructie van de verwerkingsverantwoordelijke handelt.

Daarmee borgt de AVG dat:

Persoonsgegevens niet “een eigen leven gaan leiden” bij de verwerker
De verantwoordelijke de regie houdt
Er duidelijke afspraken zijn over beveiliging en vertrouwelijkheid

Waar gaat het mis?

Veel ZZP’ers voeren hun werk inhoudelijk zelfstandig uit.

Denk aan:

Coaches
Consultants
Bedrijfsmaatschappelijk werkers
Trainers
Mediators

Zij bepalen:

Hoe ze gesprekken voeren
Welke gegevens ze vastleggen
Hoe ze hun vak uitoefenen

Waarom je geen verwerker bent:

Dan zou de opdrachtgever jouw instructies mogen geven bijvoorbeeld welke methodiek je moet gebruiken.
Recht hebben op inzage en dat ook van je kunnen eisen.

Gevolg je jouw vertrouwelijkheid/ geheimhouding staat dan onder druk.

Signaal woorden zijn hier:

Professionele autonomie
Eigen discretionaire ruimte
Onafhankelijk in het uitvoeren van mijn rol

Een vraag die ik vaak krijg is de ZZP’er krijgt de aanmelding van medewerkers van de klant via het MKB-bedrijf dan zijn ze toch verwerkers?

Ja, dat klopt dat ze aangeleverde gegevens verwerken, maar dat maakt iemand nog geen verwerker. Als onafhankelijk zijn in de uitvoering zijn ze (mede) verwerkingsverantwoordelijk.

Belangrijk onderscheid: verwerker ≠ sub-contractant

Dit is waar het vaak fout gaat. Een ZZP’er is niet automatisch een verwerker omdat hij ingehuurd wordt (sub-contractant). Een verwerker is geen uitvoerder van werk, maar een uitvoerder van gegevensverwerking onder strikte instructie.

Een ZZP’er kan dus prima onderaannemer zijn ingehuurd worden via een MKB-bedrijf en toch zelfstandig verwerkingsverantwoordelijke blijven.

Waarom dit ertoe doet

Een verkeerde rolverdeling is niet alleen “administratief onhandig”. Het kan leiden tot echte problemen.

1. Onduidelijkheid bij datalekken

Wie meldt een datalek? Wie informeert betrokkenen? Als dat niet helder is, wordt er vaak te laat of verkeerd gehandeld.

2. Onjuiste contracten

De verwerkingsovereenkomst veronderstelt dat de ZZP’er geen eigen verantwoordelijkheid heeft. In de praktijk is dit echter wel zo. Een onjuiste VWO is juridisch zwak en mogelijk ongeldig.

3. Aansprakelijkheidsrisico’s

Als rollen niet kloppen kan aansprakelijkheid verkeerd liggen. De opdrachtgever denken dat risico is afgedekt terwijl dat niet zo is

4. Toezicht door de Autoriteit Persoonsgegevens (AP)

De AP kijkt naar de feitelijke situatie, niet naar wat er op papier staat. Dus: “Er staat een verwerkingsovereenkomst, dus het zal wel kloppen” Dat werkt niet.

Bij controle kan blijken dat:

Rollen verkeerd zijn vastgesteld
Verantwoordelijkheden niet zijn ingevuld

Met mogelijke gevolgen zoals waarschuwingen, boetes of verplicht herstel.

Praktisch: wat moet je dan wél doen?

1. Analyseer de rol eerlijk

Stel de kernvraag: Bepaal ik zelf hoe ik mijn werk uitvoer en welke persoonsgegevens ik gebruik?

Zo ja → je bent (mede) verwerkingsverantwoordelijke.

Denk hierbij aan signaal woorden als:
– Professionele autonomie
– Beroepscode
– Geheimhouding | vertrouwelijkheid voortkomend uit de functie
– Discretionaire ruimte

2. Stop met standaard verwerkingsovereenkomsten

Gebruik ze alleen als het écht klopt. Twijfel? Dan is het vaak géén verwerkersrelatie.

3. Werk met duidelijke afspraken

Bij meerdere verantwoordelijken:

Leg verantwoordelijkheden vast
Stem af wie wat doet bij:
- Datalekken
- Inzageverzoeken
- Bewaartermijnen

Dit kan in een samenwerkingsovereenkomst of afsprakenkader (AVG-proof)

4. Ga samen in gesprek

Mijn advies uit de praktijk: heb je een verwerkingsovereenkomst getekend en ben je toch geen verwerker. Ga met een aantal ZZP’ers samen met de opdrachtgever om tafel.

Waarom?

Omdat je dan:

Het gesprek op inhoud kunt voeren
Rollen gezamenlijk kunt bepalen
Misverstanden voorkomt

En belangrijker: je bouwt aan vertrouwen en professionaliteit

Tot slot

ZZP’ers zijn zelden verwerkers. Maar ze tekenen er wel vaak voor. Dat is geen formaliteit, maar een fundamentele fout in hoe we naar verantwoordelijkheid kijken. Wil je het goed doen?