Spring naar inhoud
Bloom
FunctionaliteitenPrijzenBlog
InloggenProbeer 30 dagen gratis
Privacy & AVG·9 min leestijd·

AVG voor coaches: cliëntgegevens veilig regelen in 2026

Veel coaches associëren de AVGmet cookiebanners en privacyverklaringen, maar dat is het topje. Als zelfstandige coach verwerk je gevoelige informatie — naam, e-mail, soms gezondheids- of werksituatie — en dat brengt concrete verplichtingen mee. Deze gids legt in begrijpelijk Nederlands uit wat je écht moet regelen: wie verwerkingsverantwoordelijke is, wanneer een verwerkersovereenkomst nodig is, hoe lang je gegevens mag bewaren, en welke risico's coaches het vaakst missen. Disclaimer: dit is een algemene uitleg, geen juridisch advies. Bij twijfel: raadpleeg een jurist.

In dit artikel
  1. 01Basis
  2. 02Rol
  3. 03Contract
  4. 04Bewaren
  5. 05Risico's
  6. 06Bloom
01Basis

Wat de AVG precies vereist van een coachpraktijk

De AVG (in EU-context GDPR) verplicht je tot zes principes voor persoonsgegevens: rechtmatigheid, doelbinding, dataminimalisatie, juistheid, opslagbeperking en integriteit.

Voor een coachpraktijk komt dat concreet hierop neer:

  • Een grondslag voor verwerking — voor coaching is dat doorgaans "uitvoering van een overeenkomst" (de coachafspraak zelf) of "toestemming" (voor bv. nieuwsbrieven).
  • Een privacyverklaring op je website die uitlegt welke gegevens je verwerkt, waarom, en hoe lang.
  • Een register van verwerkingsactiviteiten — voor coaches met <250 medewerkers verplicht zodra je structureel gegevens van cliënten verwerkt (wat per definitie zo is bij coaching).
  • Passende technische en organisatorische maatregelen — encryptie, sterke wachtwoorden, geen klantnamen op spreadsheets in publieke cloudfolders.
  • Meldplicht bij datalekken — binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens.
02Rol

Ben je verwerkingsverantwoordelijke of verwerker?

Dit onderscheid is technisch maar belangrijk. Als zelfstandige coach bepaal jij'het doel' van de verwerking (je werkt aan een coachingsdoel met de cliënt). Daarmee ben je verwerkingsverantwoordelijke voor de cliëntgegevens.

Softwareleveranciers (je praktijksoftware, je e-mailprovider, je agendasync-tool) zijn verwerkers: zij verwerken namens jou. Het verschil:

  • Verwerkingsverantwoordelijke — verantwoordelijk voor de keuze welke gegevens, met welk doel.
  • Verwerker — voert verwerking uit volgens jouw instructies, mag zelfstandig geen besluiten nemen over gebruik.

Wat speciaal voor B2B-coaches geldt: als je voor een werkgever coacht, kan de werkgever soms gedeeltelijke verantwoordelijkheid dragen. Maak in dat geval expliciet contractuele afspraken — geen aanname.

03Contract

Verwerkersovereenkomst: wanneer wel, wanneer niet?

Een verwerkersovereenkomst (Data Processing Agreement, DPA) is verplicht zodra een derde partij persoonsgegevens namens jou verwerkt. Praktische voorbeelden voor coaches:

  • Je praktijksoftware (waar cliëntdata in staat) → DPA verplicht.
  • Je e-mailprovider (waarin je met cliënten correspondeert) → DPA verplicht.
  • Je boekhouder (die jouw facturen ziet en daarmee cliëntgegevens) → DPA verplicht.
  • Cloudopslag waar je notities bewaart → DPA verplicht.

Goede SaaS-leveranciers stellen automatisch een DPA op of bieden die via hun account. Check dit voor je tools — zonder DPA loop je formeel een boeterisico, ook al heeft de Autoriteit Persoonsgegevens tot nu toe vooral grote partijen aangepakt.

04Bewaren

Hoe lang mag je cliëntgegevens bewaren?

De AVG schrijft geen vaste termijnen voor — het principe is "niet langer dan noodzakelijk". Voor coaches gelden in de praktijk deze richtlijnen:

  • Boekhoudkundige gegevens (facturen, financieel): wettelijk 7 jaar bewaarplicht (Belastingdienst).
  • Klantgegevens voor herhaalopdrachten (NAW, e-mail): doorgaans 2-5 jaar redelijk, afhankelijk van de aard van het coachtraject.
  • Sessieverslagen, intake-notities: maximaal zo lang als nodig voor de coaching plus een redelijke nazorgperiode (vaak 1-2 jaar).
  • Marketingdata (e-mailadressen voor nieuwsbrief): zolang als de toestemming geldt; cliënten moeten kunnen uitschrijven.

Documenteer je gekozen termijnen in je verwerkingsregister. Bij een AP-onderzoek is "omdat dat redelijk is" een prima motivatie — "geen idee" is dat niet.

05Risico&apos;s

Vijf risico&apos;s die coaches vaak missen

  1. Cliëntgegevens in WhatsApp. WhatsApp is end-to-end versleuteld maar valt onder Meta's privacybeleid, dat metadata gebruikt. Voor occasionele roosterwijzigingen prima; voor inhoudelijke coaching-content: wissel naar e-mail of een dedicated cliëntportal.
  2. Onbeveiligde notitie-apps. Notitie-apps zonder encryption (sommige gratis tools) en zonder twee-factor-authenticatie zijn een datalek-magneet.
  3. Geen aparte werk- en privé-agenda. Cliëntnamen in je gedeelde gezinsagenda is een lek dat je niet wilt.
  4. US-gebaseerde tools voor gevoelige data. Sinds Schrems II is doorgifte van persoonsgegevens naar de VS zonder aanvullende waarborgen problematisch. Kies voor tools met EU-hosting waar mogelijk.
  5. Geen back-up van de bewaartermijnen. Als je periodiek niet schoont, schendt je de opslagbeperking-eis. Plan een jaarlijkse moment om data ouder dan je bewaartermijn structureel te verwijderen.
06Bloom

Hoe AVG-proof software voor coaches eruit ziet

Een coachplatform dat AVG-proof werkt heeft minimaal: encryptie in opslag en transport (TLS/HTTPS), EU-hosting, gescheiden tenants (jouw cliëntdata staat niet door die van andere coaches gemixed), expliciete bewaartermijnen, en — belangrijk — een verwerkersovereenkomst die je als coach kunt afsluiten.

Bloom is op die principes gebouwd: data binnen de EU, versleuteld, per-coach gescheiden, met een publiek privacybeleid. Je verantwoordelijkheid als coach (verwerkingsverantwoordelijke) combineer je daarmee met de operationele waarborgen die de praktijksoftware biedt.

Veelgestelde vragen

Heb ik als zzp-coach een functionaris voor gegevensbescherming (FG) nodig?
Nee — een FG is verplicht voor (1) overheidsinstanties, (2) organisaties die op grote schaal personen monitoren, en (3) organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Een zelfstandige coach valt daar zelden onder. Wel goed om te documenteren waarom je geen FG hebt, mocht de Autoriteit Persoonsgegevens dat vragen.
Mag ik cliëntdossiers in Google Docs of Microsoft OneNote bewaren?
Mag, mits je (1) een Google Workspace- of Microsoft 365-account hebt op een professioneel domein, (2) een verwerkersovereenkomst met Google of Microsoft hebt afgesloten (die ondersteunen dat standaard voor zakelijke accounts), en (3) tweefactorauthenticatie gebruikt. Een persoonlijk Gmail-account voor cliëntdossiers voldoet niet aan de eisen.
Heb ik een privacyverklaring nodig als ik geen website heb?
Ook zonder website moet je cliënten informeren over wat je met hun gegevens doet. Een aparte verklaring die je bij intake meestuurt is dan voldoende. Heb je wel een website, dan hoort de privacyverklaring publiek toegankelijk te zijn via een link in de footer.
Moet ik cliënten toestemming vragen voor het opslaan van hun gegevens?
Voor de basisverwerking (afspraak inplannen, factureren) niet — daar geldt &apos;uitvoering van een overeenkomst&apos; als grondslag. Voor nevenverwerkingen (nieuwsbrief, marketing, testimonials) wél: expliciete, vrij ingetrokken toestemming met logging is verplicht.
Wat moet ik doen bij een datalek?
Binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens, mits het lek &apos;waarschijnlijk een risico vormt voor de rechten en vrijheden&apos; van betrokkenen. Bij hoog risico ook de betrokken cliënten zelf informeren. Documenteer elke incident (ook kleine) in een intern register — dat is verplicht.
Privacy en AVG in Bloom

AVG-proof, zonder dat het je werk wordt.

EU-hosting, encryptie, gescheiden cliëntomgevingen — 30 dagen gratis proberen.

Probeer Bloom gratis
Verder lezen