Privacy afspraken maken met zelfstandigen

    - - / 16 October 2025

    Moet je privacy afspraken maken met zelfstandigen? En zo ja, welke afspraken moet je dan maken? In de praktijk zie je verschillende visies. In dit blog neem ik je daarin mee. Daarbij kijken we ook met een schuin oog naar de ontwikkelingen omtrent schijnzelfstandigheid en de impact die het arbeidsrechtelijke kader heeft op de privacyrol van zelfstandigen.

    De privacyrolverdeling: 2 smaken

    De privacyrol van de zelfstandige is leidend voor het antwoord op de vraag of er privacy afspraken gemaakt moeten worden (en zo ja, welke). Daarbij kan onderscheid worden gemaakt tussen een verwerkingsverantwoordelijke en een verwerker zoals bedoeld in de AVG.

    De verwerkingsverantwoordelijke bepaalt het doel (waarom) en de middelen (hoe) van een gegevensverwerking. Een verwerker verwerkt persoonsgegevens juist ten behoeve (in opdracht) van de verwerkingsverantwoordelijke. De verwerker bepaalt dus niet zelf wat er met de gegevensverwerking gebeurt, maar krijgt daarbij instructies van de verwerkingsverantwoordelijke. Met andere woorden: een verwerker draait niet aan de knoppen van de gegevensverwerking, maar voert enkel uit.

    Concreet gaat het in de praktijk doorgaans om de vraag wie de zogeheten wezenlijke middelen, oftewel de kern, van de gegevensverwerking bepaalt. “Wezenlijke middelen” zijn middelen die nauw verband houden met het doel en de reikwijdte van de verwerking, zoals:

    • Het soort persoonsgegevens dat wordt verwerkt (“welke gegevens worden verwerkt?”)
    • De duur van de verwerking (“hoelang worden zij verwerkt?”)
    • De categorieën ontvangers (“wie heeft daartoe toegang?”)
    • De categorieën betrokkenen (“van wie worden persoonsgegevens verwerkt?”)

    Meer hierover lees je in de Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG van de European Data Protection Board (nr. 40).

    Intern beheer: een 3e smaak

    Zijn we er dan met de privacyrollen? Nee, in het kader van zelfstandigen wordt in de praktijk vaak gesproken over het zogeheten intern beheer. Deze ‘rol’ wordt beschreven in artikel 29 van de AVG en toegelicht in de Handleiding Algemene verordening gegevensbescherming (AVG) van de Rijksoverheid (p. 32):

    Dit is bijvoorbeeld het geval als je als medewerker in dienst bent bij de verwerkingsverantwoordelijke, gedetacheerd bent bij de verwerkingsverantwoordelijke of als je als ZZP’er bent ingehuurd door de verwerkingsverantwoordelijke om bijvoorbeeld tijdelijk de taken van een medewerker over te nemen (waarbij je werkt binnen de beveiligde (online) werkomgeving en een geheimhoudingsverklaring hebt getekend). In dergelijke gevallen val je onder het rechtstreeks gezag van de verwerkingsverantwoordelijke en ben je dus geen verwerker. In Nederland wordt deze situatie aangeduid als intern beheer.

    Welke rol heeft een zelfstandige?

    Gelet op het bovenstaande zijn er drie mogelijke smaken te onderscheiden:

    1. De zelfstandige is een verwerkingsverantwoordelijke
    2. De zelfstandige is een verwerker
    3. De zelfstandige valt onder ‘intern beheer’

    Welke rol van toepassing is, hangt af van de feitelijke situatie, het is dus maatwerk.

    In veel gevallen zijn zelfstandigen te kwalificeren als verwerker. Dit omdat zij werkzaamheden verrichten ten behoeve van de opdrachtgever. De zzp’er krijgt instructies van de opdrachtgever en heeft doorgaans niet zelf de touwtjes in handen wat betreft de wezenlijke middelen van de gegevensverwerking. Denk aan een marketingspecialist die campagnes uitvoert of een ICT-specialist die ondersteuning biedt.

    Is een zelfstandige dan altijd een verwerker? Zeker niet. Een zelfstandige kan ook prima kwalificeren als verwerkingsverantwoordelijke, als hij of zij wezenlijke zeggenschap heeft over de gegevensverwerking. Denk aan beroepsgroepen met een meer onafhankelijke rol, zoals een zelfstandige advocaat of accountant.

    En intern beheer dan?

    Hoewel in de praktijk regelmatig naar intern beheer wordt verwezen, is dit naar mijn visie een ingewikkelde lijn die niet de voorkeur verdient. Waarom? De handleiding van de Rijksoverheid stelt dat het moet gaan om iemand die onder “rechtstreeks gezag” staat van de verwerkingsverantwoordelijke. Dat staat haaks op wat een zelfstandige volgens het arbeidsrecht zou moeten zijn: een ondernemer die zelfstandig opereert.

    Zelfstandigen en gezag gaan slecht samen. Sterker nog, als er sprake is van gezag, kan er juridisch gezien een arbeidsovereenkomst ontstaan. Hoe leg je uit dat iemand arbeidsrechtelijk een zelfstandige is, maar privacyrechtelijk onder gezag valt? Dat botst, en is af te raden met het oog op het voorkomen van schijnzelfstandigheid. Meer informatie over (schijn)zelfstandigheid lees je in ons blog: Wezen gaat voor schijn (zelfstandigheid).

    Heeft de handhaving van de Wet DBA invloed op de privacyrol van een zelfstandige?

    Deze vraag krijg ik vaak. Iedereen lijkt de Wet DBA te benoemen, op radio, in nieuwsartikelen, en door dienstverleners. Maar vaak wordt deze wet verkeerd begrepen. De Wet DBA is niets meer dan een inlegvelletje uit 2016 waarmee de Verklaring Arbeidsrelatie (VAR) is afgeschaft.

    Het juridische kader voor de kwalificatie van de arbeidsovereenkomst (artikel 7:610 BW) bestaat al ruim een eeuw en is nog altijd leidend. De Belastingdienst handhaaft dit kader, niet de Wet DBA. De Wet DBA heeft dan ook géén invloed op de privacyrol van een zelfstandige.

    Wel is het verstandig om de arbeidsrechtelijke kwalificatie in het achterhoofd te houden bij het bepalen van de privacyrol. Precies om die reden raad ik aan om terughoudend te zijn met het aanmerken van een zelfstandige als vallend onder ‘intern beheer’. Meer over de arbeidsrechtelijke kwalificatie en de handhaving van de Belastingdienst lees je in onze Whitepaper.

    Privacy afspraken maken met de zelfstandige

    Afhankelijk van de rol van de zelfstandige dien je al dan niet privacy afspraken te maken. De drie smaken nog eens op een rij:

    1. De zelfstandige is een verwerkingsverantwoordelijke

    Bij een zelfstandig verwerkingsverantwoordelijke is het volgens de AVG niet verplicht om afspraken te maken, maar het is wel raadzaam (minimaal over geheimhouding). Bij gezamenlijke verantwoordelijkheid (waar opdrachtgever en zelfstandige samen het doel en de middelen bepalen), is het volgens artikel 26 AVG wél verplicht.

    2. De zelfstandige is een verwerker

    In dit geval is het volgens artikel 28 AVG verplicht om privacy afspraken te maken. Beter bekend als de ‘verwerkersovereenkomst’. Hoe je dat praktisch inricht? Lees ons blog: Een ‘alles-in-1 pakket’ voor het inhuren van zzp’ers.

    3. De zelfstandige valt onder ‘intern beheer’

    Zoals hierboven beschreven, verdient deze kwalificatie niet de voorkeur. Mocht je toch kiezen voor deze lijn, dan is het maken van privacy afspraken niet verplicht, wel verstandig (denk aan geheimhouding).

    Heb je na het lezen van dit blog vragen? Neem dan contact met ons op!

    Neem contact op
    Terug naar overzicht

    Jay Remmelzwaal

    Senior Legal Counsel
    Lees meer
    CTA privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram