Voor ZZP'ers & MKB

AVG en je offerte-tool — wat als je B2B-klant een verwerkersovereenkomst vraagt

WordPress-native offerte-tool = jij bent zelf verwerkingsverantwoordelijke, geen 3rd-party-verwerker. Voor AVG-strikte klanten (gemeenten, zorg, advocaten) een wezenlijk voordeel boven cloud-SaaS.

Gratis starten Lees verder

Inleiding

De Algemene Verordening Gegevensbescherming (AVG) raakt elke ZZP'er die met klantgegevens werkt — en dus letterlijk iedereen die offertes maakt. Voor B2C-klanten is dat meestal handzaam: een mail-adres, naam, adres, project-info. Voor B2B-klanten in zwaardere sectoren (zorg, overheid, advocatuur, financiëel) wordt het anders. Daar wordt jij gevraagd om een verwerkersovereenkomst aan te leveren vóórdat je opdracht kunt accepteren.

Deze pagina gaat over de architectuur-keuze die je maakt vóórdat dat verzoek komt. Cloud-SaaS-tools (Moneybird, Teamleader, Offorte, HupOfferte) hebben een gedeelde architectuur: jouw klantdata leeft op hun servers, jouw klant's data is dus onder hun controle. Dit betekent dat zij verwerker zijn (artikel 28 AVG), en jij hebt een verwerkersovereenkomst met hen nodig. Bij een gemeente-klant: drie partijen in de keten = drie verwerkersovereenkomsten = drie compliance-risico's.

WordPress-native offerte-tools (zoals OfferteKlik) draaien op jouw eigen hosting. Geen verwerker tussen jou en de klant. Voor sommige sectoren is dat een wezenlijk verkoop-argument; voor andere maakt het niets uit. We werken het uit met praktische checklists, AVG-rechten-flows, en een blik op de AI-Act per 2-augustus-2026.

1 Het scenario

Het scenario — B2B-klant vraagt een verwerkersovereenkomst

Een gemeente, zorgverzekeraar of advocatenkantoor neemt jouw offerte in behandeling en vraagt: «welke verwerkersovereenkomst gebruik je voor onze klantdata?» Bij cloud-SaaS-tools is het antwoord: «ik heb een overeenkomst met X, en u zou er één met X moeten hebben». Bij OfferteKlik — WordPress-native, draait op jouw eigen hosting — is het antwoord: «er is geen externe verwerker, ik ben zelf zowel verwerkingsverantwoordelijke als data-bewaarder». Voor AVG-strikte klanten is dat een belangrijk verschil.

De vraag «welke verwerkersovereenkomst gebruik je?» komt vaker dan ZZP'ers verwachten. Gemeenten en zorgverzekeraars hebben hele aanbestedings-checklists waarin dit een verplicht veld is. Advocatenkantoren en accountants vragen het standaard omdat zij zelf onder strikte beroepsregels staan. Bedrijven met aandacht voor AVG-compliance (vaak >50 medewerkers) hebben procuratiebeleid waarin het vereist is.

Voor jou als ZZP'er: je hoeft niet verplicht een verwerkersovereenkomst aan te bieden — maar als je één klant in een AVG-strikte sector hebt, ben je er één nodig. Met cloud-SaaS-tools die op US-servers draaien (sommige Amerikaanse facturatie-tools) is dit moeilijker: post-Schrems II hebben veel AVG-juristen moeite om US-servers acceptabel te krijgen. Een NL-of-EU-hostende tool is veiliger; een tool op je eigen hosting is het veiligste.

Wanneer een klant een verwerkersovereenkomst van je vraagt

Gemeente of overheid — standaard verplicht in aanbestedings-checklist
Zorgverzekeraar of zorginstelling — AVG-zwaarte WKKGZ-context
Advocaten-/notarissen-/accountantskantoor — beroepsregels (geheimhouding klantdata)
Banken en financiëele instellingen — AVG + Wft-context
B2B-klanten met >50 medewerkers en compliance-officer — procuratie-beleid

Tip

Vraag bij elke nieuwe B2B-klant in de intake: «is een verwerkersovereenkomst onderdeel van jullie inkoop-procedure?» Beter weten vóóraf dan na de offerte ontdekken dat de deal stokt op compliance.

Uniek e-mailadresPer bedrijf 1 forward-adres. Aanvragen komen direct in je dashboard binnen.

Jouw forward-adres

Klanten mailen hierheen of jij forward zelf vanuit Outlook/Gmail.

jouw-bedrijf-1a2b@offerteklik.nl Kopieer

Inbox met aanvragenBody wordt gescand op uren, m² en materialen — labels per regel.

Inbox 3 nieuw

P. Smit

Offerte aanvraag — renovatie

Tegelwerk ~20 uur

Bakkerij De Kroon

Schilderwerk binnen — offerte graag

Schilderwerk Verf incl.

12 min

M. Jansen

Dakgoot vervangen + spoedklus

Reiskosten Spoed

1 u

2 3 AVG-checks

3 AVG-checks voor je offerte-tool

Check voor elke tool: (1) Waar staat de data — NL-server, EU-cloud of US-cloud? Bij OfferteKlik kies jij de hosting. (2) Is er een verwerkersovereenkomst beschikbaar (vereist door artikel 28 AVG)? Bij OfferteKlik niet nodig met de tool zelf; je hebt er nog wel één nodig met je eigen WordPress-hoster. (3) Is de datalek-meldprocedure geregeld? Je hebt 72 uur om te melden bij de Autoriteit Persoonsgegevens; OfferteKlik biedt export- en logging-functies die het onderzoek versnellen.

Drie checks die je per tool toepast om de AVG-fitheid te beoordelen. Deze zijn ontleend aan de praktische gids van de Autoriteit Persoonsgegevens en de NORA-architectuurprincipes voor overheidsleveranciers.

Check 1 gaat over data-locatie. Veel cloud-SaaS-tools draaien op AWS Frankfurt of Azure Amsterdam — dat is EU. Sommige draaien op US-servers via een EU-front-end — dat is post-Schrems II problematisch. WordPress-native tools draaien waar jouw WP-hosting draait; bij Antagonist, TransIP, Vimexx is dat NL. Check 2 gaat over de verwerkersovereenkomst zelf: is er één beschikbaar als template? Bij cloud-SaaS meestal ja; bij WordPress-native niet nodig met de tool, wel nodig met je hoster. Check 3 gaat over datalek-procedure: kun je binnen 72 uur de scope van een lek bepalen?

Vergelijking AVG-fitheid per tool-type

WordPress-native (zoals OfferteKlik): data op jouw NL-WP-hosting, geen tool-verwerkersovereenkomst nodig
Cloud-SaaS NL/EU (Moneybird, Teamleader): data op EU-server, tool-verwerkersovereenkomst beschikbaar
Cloud-SaaS US (Stripe, sommige Amerikaanse tools): data op US-server, Schrems II-risico
Hybride (Offorte): EU-server, eigen NL-bedrijf, redelijke AVG-positie
Spreadsheets (Excel/Google Sheets): data in MS-365 of Google Workspace, hangt van je workspace-instellingen af

Tip

Bij Google Workspace en MS-365 kun je in de admin-console kiezen voor «EU data residency». Standaard staat dit niet aan — check je instelling voordat je een AVG-strikte klant offerte stuurt.

Online tekenen, juridisch geldigGeen geprint, geen gescand. Klant tekent vanaf zijn telefoon — we leggen tijdstip, IP en handtekening vast.

Offerte

OK-2026-042

Totaal

€ 1.547,90

Voorbereidings-werkzaamheden€ 175,00

Materiaal & toebehoren€ 385,00

Arbeid · 16 uur€ 1.200,00

Totaal incl. BTW€ 1.547,90

Klant tekent op de telefoon eIDAS-conform · IP + tijdstip vastgelegd als bewijs

GETEKEND

3 AVG-rechten van

AVG-rechten van je klant — tool-flow

Een klant heeft recht op inzage, wijziging, wissen en overdraagbaarheid van zijn data. Vraag tot inzage → CSV-export uit het klant-CRM en mail terug. Vraag tot wissen → klant-record verwijderen, maar offerte-archief 7 jaar bewaren wegens fiscale bewaarplicht (geef dit door aan klant). Vraag tot overdraagbaarheid → PDF-export per offerte uit het klantportaal. Datalek-register houd je bij in een eigen spreadsheet (datum, aard lek, aantal betrokkenen, oorzaak, maatregelen).

De AVG geeft je klant vier hoofdrechten waar je als verwerkingsverantwoordelijke binnen 30 dagen op moet reageren: inzage, wijziging, wissen en overdraagbaarheid. Een vijfde recht (beperking) komt zelden voor in de offerte-context. Voor de Belastingdienst geldt een fiscale bewaarplicht van 7 jaar — die overstemt het AVG-recht om gewist te worden voor de offerte-/factuur-data.

Praktische flow in OfferteKlik: bij een inzage-verzoek exporteer je het klant-record als CSV en mail het terug. Bij een wis-verzoek anonimiseer je het klant-record (naam → «[gewist]», mail → leeg, telefoon → leeg) maar laat de offerte- en factuur-historie staan met de uitleg «wegens fiscale bewaarplicht 7 jaar». Bij een overdraagbaarheid-verzoek lever je PDF's en CSV-export. Houd een datalek-register bij in een eigen spreadsheet — ook bij interne lekken zonder meldplicht.

Verzoek-flow per AVG-recht

Inzage (art. 15): CSV-export klant-record + alle offertes + facturen — binnen 30 dagen
Wijziging (art. 16): klant-record bijwerken, oude waarden in change-log — binnen 30 dagen
Wissen (art. 17): klant-record anonimiseren, fiscale bewaarplicht behouden — binnen 30 dagen
Overdraagbaarheid (art. 20): PDF-export offertes + CSV-export klant-record — binnen 30 dagen
Datalek-meldplicht (art. 33): binnen 72 uur naar AP, klant informeren bij hoog risico

Tip

Maak een vaste mail-template voor inzage-verzoeken zodat je niet elke keer opnieuw hoeft te formuleren. AP heeft voorbeeld-templates op autoriteitpersoonsgegevens.nl.

Live overzicht in je dashboardZie meteen je conversie, omzet en wat er nog open staat. Push-notificatie zodra een klant tekent.

Dit kwartaal

Jouw OfferteKlik-resultaten

Verzonden

offertes

Geaccepteerd

66% conversie

Open

wachtend

Omzet

€ 28k

getekend

+34% vs vorige week Ma · € 1.200 Di · € 1.450 Wo · € 1.890 Do · € 1.650 Vr · € 2.850 Za · € 3.600 Zo · € 2.950

4 AVG-positionering en

AVG-positionering en AI-Act per 2-aug-2026

Vanaf 2-aug-2026 verplicht de EU AI Act ook een AI-register voor bedrijven die AI-tools gebruiken in hun verwerking. OfferteKlik gebruikt geen generatieve AI — jouw AI-register blijft daardoor leeg op het OfferteKlik-deel. Cloud-SaaS-tools die AI-functies inzetten voor offerte-generatie verplichten je tot uitgebreidere AI-policy-documentatie. Voor AVG-zwaarte-doelgroepen (zorg, overheid, advocatuur) is «geen AI, eigen server, geen 3rd-party-verwerker» vaak doorslaggevend.

Per 2-augustus-2026 treedt de EU AI Act in volle werking. De relevante artikelen voor ZZP'ers met offerte-tools: artikel 4 (AI-geletterdheid van personeel), artikel 50 (transparantieverplichting bij AI-gegenereerde content), en de algemene verplichting tot AI-register voor bedrijven die AI-tools gebruiken in besluitvorming of klantcommunicatie.

Voor offerte-tools betekent dit: tools die generatieve AI gebruiken voor offerte-tekst-creatie vallen onder de transparantieverplichting. De ZZP'er die zo'n tool gebruikt moet in zijn AI-register vermelden welk AI-systeem hij inzet, voor welk doel, en welke data het verwerkt. Tools zónder generatieve AI (zoals OfferteKlik) vallen buiten deze last — jouw AI-register blijft leeg op het offerte-deel.

AI-Act-impact per tool-type

Tools zonder generatieve AI (OfferteKlik): geen AI-register-verplichting voor offerte-deel
Tools met AI-tekstgeneratie (sommige startups): AI-register + transparantieverplichting
Tools met AI-foto/spraak-naar-tekst (BuilderFlow): AI-register + risico-assessment
Geintegreerde AI (HubSpot AI, Salesforce Einstein): AI-register + leverancier-due-diligence

Tip

Een «leeg AI-register voor offerte-tooling» is een legitieme keuze. Als jouw klant in zorg/overheid/advocatuur zit, communiceer dit expliciet als compliance-voordeel.

Klantmail komt binnen

Klant mailt jouw forward-adres of jij forward zelf. Verschijnt direct als concept-offerte.

Pas aan & verstuur

Klantgegevens al ingevuld. Voeg regels toe uit je catalogus, check BTW, klik versturen.

Klant tekent online

Tekenen op telefoon of laptop. Push-notificatie zodra het binnen is.

Veelgestelde vragen

Veelgestelde vragen over AVG, verwerkersovereenkomst en offerte-tools

Wat als ik één grote klant heb met aparte eisen?

Maak een Multi-bedrijf-profiel voor die klant met aangepaste data-bewaring en eigen verwerkersovereenkomst-template. Andere klanten blijven onder je standaard-profiel.

Wat als ik van WP-hoster wissel?

Een hoster-wissel is een data-overdracht. AVG vereist een nieuwe verwerkersovereenkomst met de nieuwe hoster + een logboek-aantekening over wanneer welke data is overgedragen. Voor klantgegevens onveranderd: geen klantcommunicatie nodig.

Hoe regel ik back-ups AVG-conform?

Encrypted back-up (AES-256 minimum), bewaartermijn maximaal 1 jaar als geen actieve klant-relatie, opslag binnen EU. WordPress-hosters bieden meestal AVG-conforme back-ups standaard.

Mag ik klantgegevens delen met mijn boekhouder?

Ja, mits er een verwerkersovereenkomst is tussen jou en boekhouder. Voor de standaard kantoor-boekhouder is dit meestal al rondom — vraag ernaar.

Is een data-protection-impact-assessment (DPIA) verplicht?

Voor zware sectoren (zorg, overheid, financiëel) bij grote volumes ja. Voor de doorsnee ZZP'er nee. Bij twijfel: AP-overzicht raadplegen.

Hoe zit het met cookies op mijn offerte-portaal?

Functionele cookies (login, sessie) mogen zonder consent. Analytics-cookies (Google Analytics, Hotjar) vereisen cookie-banner met opt-in. OfferteKlik draait standaard zonder externe analytics — je voegt het zelf toe in WordPress.

Moet ik klanten informeren over de bewaartermijn van 7 jaar?

Ja, in je privacy-policy. Standaard formulering: «Offerte- en factuurgegevens worden 7 jaar bewaard wegens fiscale bewaarplicht (art. 52 AWR). Daarna automatische verwijdering.»

Verwerkersovereenkomst-template downloaden en koppelen

Start 30 dagen gratis Pro — AVG-template als bijlage bij je eerste B2B-offerte vanaf morgen.

Gratis starten Bekijk de demo