AVG voor Coaches: Privacy en Dossiervorming
Als coach werk je met gevoelige informatie. Cliënten delen persoonlijke verhalen, struggles en doelen. Die informatie moet je beschermen. De AVG (Algemene Verordening Gegevensbescherming) stelt regels voor hoe je dit doet.
In dit artikel leggen we uit wat de AVG voor jou als coach betekent, wat je verplichtingen zijn, en hoe je privacy-compliant werkt.
TL;DR: Als coach verwerk je persoonsgegevens en moet je voldoen aan de AVG. Je hebt een privacyverklaring nodig, verwerkersovereenkomsten met je software-leveranciers, en een beveiligde manier om cliëntdata op te slaan. Bewaar notities 2-5 jaar na afronding van het traject, en reageer binnen een maand op verzoeken van cliënten over hun gegevens. Digitale, versleutelde opslag is veiliger dan fysieke dossiers.
Key Takeaways
- Privacyverklaring: Verplicht als je persoonsgegevens verwerkt (wat elke coach doet)
- Verwerkersovereenkomsten: Nodig met je coaching software, boekhoudprogramma, e-mailservice
- Bewaartermijnen: 2-5 jaar na afronding coaching traject (geen wettelijke termijn, wel richtlijn)
- Fiscale stukken: 7 jaar bewaren (wettelijk verplicht)
- Rechten cliënt: Inzage, correctie, verwijdering — reageer binnen 1 maand
- Beveiliging: Versleutelde opslag, sterke wachtwoorden, 2FA waar mogelijk
Privacy en gegevensbescherming zijn essentieel voor elke coaching praktijk
Wat is de AVG?
De AVG (in het Engels: GDPR) is Europese wetgeving die regelt hoe organisaties en personen met persoonsgegevens moeten omgaan. Hij geldt sinds mei 2018.
Persoonsgegevens
Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een persoon:
- Naam, adres, e-mail, telefoon
- Geboortedatum
- Sessienotities
- Intake-informatie
- Betalingsgegevens
Bijzondere Persoonsgegevens
Sommige gegevens zijn extra gevoelig en hebben strengere regels:
- Gezondheidsgegevens
- Psychische gegevens
- Seksuele geaardheid
- Religieuze overtuigingen
Als coach kom je hier mogelijk mee in aanraking. Wees extra voorzichtig.
Bijzondere persoonsgegevens: Als je werkt met burn-out cliënten, ADHD-coaching, of andere coaching waarbij gezondheids- of psychische informatie ter sprake komt, verwerk je waarschijnlijk bijzondere persoonsgegevens. Hiervoor geldt dat je een expliciete grondslag nodig hebt (meestal toestemming van de cliënt) en extra beveiligingsmaatregelen moet nemen. Neem dit op in je coachcontract en privacyverklaring.
Praktijkvoorbeeld: Hoe Dit Werkt
Stel je voor: Caroline, loopbaancoach, krijgt een nieuwe cliënt. Wat verwerkt ze allemaal?
- Contactgegevens: Naam, e-mail, telefoon → nodig voor contact en facturatie
- Intake-informatie: Achtergrond, huidige functie, doelen → nodig voor de coaching
- Sessienotities: Wat besproken is, observaties → voor continuïteit en kwaliteit
- Facturen: Bedragen, data → fiscaal verplicht 7 jaar bewaren
- E-mailverkeer: Afspraken, huiswerk → communicatiehistorie
Al deze informatie valt onder de AVG. Caroline moet:
- In haar privacyverklaring beschrijven dat ze deze gegevens verwerkt
- Een rechtmatige grondslag hebben (uitvoering van de coachingovereenkomst)
- De gegevens beveiligd opslaan
- Niet langer bewaren dan nodig
Je Verplichtingen als Coach
1. Rechtmatige Grondslag
Je mag alleen persoonsgegevens verwerken als je een geldige reden hebt.
Relevante grondslagen voor coaches:
Uitvoering van overeenkomst: Je hebt gegevens nodig om de coaching te leveren. Dit dekt het meeste.
Toestemming: Voor zaken buiten de directe dienstverlening, zoals nieuwsbrieven.
Gerechtvaardigd belang: Voor beperkte verwerkingen die nodig zijn voor je bedrijf.
2. Transparantie (Privacyverklaring)
Je moet duidelijk maken:
- Welke gegevens je verzamelt
- Waarom je ze verzamelt
- Hoe lang je ze bewaart
- Met wie je ze deelt
- Welke rechten de cliënt heeft
Dit doe je via een privacyverklaring op je website en/of in je coachcontract.
3. Dataminimalisatie
Verzamel alleen gegevens die je echt nodig hebt. Niet “voor het geval dat”.
4. Bewaartermijnen
Bewaar gegevens niet langer dan nodig. Bepaal voor elke categorie een termijn.
5. Beveiliging
Bescherm de gegevens tegen verlies, diefstal en ongeautoriseerde toegang. Dit is een van de kernverplichtingen van de AVG.
De Autoriteit Persoonsgegevens heeft richtlijnen gepubliceerd voor adequate beveiliging:
- Sterke, unieke wachtwoorden per dienst
- Twee-factor authenticatie (2FA) waar mogelijk
- Versleutelde opslag van gevoelige bestanden
- Regelmatige back-ups
- Software up-to-date houden
Praktische beveiliging: Gebruik een wachtwoordmanager (zoals Bitwarden of 1Password) voor al je zakelijke accounts. Activeer 2FA op je e-mail, coaching software en cloud-opslag. Dit kost 30 minuten om in te richten en beschermt je tegen 90% van de gangbare aanvallen.
De zes kernverplichtingen van de AVG voor coaches
6. Rechten van de Cliënt
Je cliënten hebben rechten:
- Inzage: Ze mogen zien welke gegevens je hebt
- Correctie: Ze mogen fouten laten corrigeren
- Verwijdering: Ze mogen vragen om verwijdering
- Bezwaar: Ze mogen bezwaar maken tegen verwerking
Je moet binnen een maand reageren op zulke verzoeken.
De Privacyverklaring
Wat Moet Erin?
1. Wie je bent: Naam, adres, KvK, contactgegevens.
2. Welke gegevens je verzamelt:
- Contactgegevens
- Intakegegevens
- Sessienotities
- Betalingsgegevens
- Etc.
3. Waarom je ze verzamelt:
- Uitvoering van de coachingovereenkomst
- Facturatie
- Communicatie
- Etc.
4. Met wie je deelt:
- Coaching software provider
- Boekhouder/boekhoudprogramma
- Etc.
5. Bewaartermijnen: Hoe lang bewaar je elk type gegevens?
6. Beveiliging: Hoe bescherm je de gegevens?
7. Rechten: Welke rechten heeft de cliënt en hoe kan die ze uitoefenen?
8. Klachten: De cliënt kan klachten indienen bij de Autoriteit Persoonsgegevens.
Waar Publiceer Je Het?
- Op je website (verplicht als je een website hebt)
- Link in je coachcontract
- Link in je e-mail footer
Verwerkersovereenkomsten
Wat Is Het?
Een verwerkersovereenkomst (VO) is een contract met partijen die persoonsgegevens voor jou verwerken.
Met Wie Heb Je Het Nodig?
Coaching software: Blooom, Trackler, etc. - zij slaan cliëntgegevens voor je op.
Boekhoudprogramma: Moneybird, e-Boekhouden - zij hebben klantgegevens en factuurbedragen.
E-mailservice: Als je een mailinglijst hebt (Mailchimp, etc.).
Hosting: Als je website persoonsgegevens opslaat (contactformulieren).
Hoe Krijg Je Die?
De meeste professionele dienstverleners bieden standaard een VO aan. Vaak te vinden in hun voorwaarden of op te vragen. Controleer dit bij het afsluiten. Bekijk ons overzicht van coaching software in Nederland om te zien welke platforms dit standaard aanbieden.
Controleer altijd of je softwareleveranciers een verwerkersovereenkomst aanbieden
Dossiervorming
Wat Bewaar Je?
Minimaal:
- Contracten en overeenkomsten
- Facturen (fiscale bewaarplicht: 7 jaar)
Aanbevolen:
- Intake-informatie
- Sessienotities (in welke vorm dan ook)
- Belangrijke correspondentie
- Evaluaties
Hoe Lang Bewaar Je Het?
Fiscale stukken (facturen): 7 jaar (wettelijk verplicht)
Coaching-specifieke documenten: Geen wettelijke termijn voor coaches. Gangbare richtlijnen:
- 2 jaar na afronding: minimum
- 5 jaar na afronding: aan te raden
- Langer: alleen als er reden voor is
Documenteer je bewaartermijnen in je privacyverklaring.
Hoe Bewaar Je Het?
Fysiek:
- Afgesloten kast
- Niet toegankelijk voor anderen
- Vernietig na bewaartermijn
Digitaal (aanbevolen):
- Versleutelde opslag
- Sterke wachtwoorden
- AVG-compliant software
- Regelmatige backup
Praktische Stappen
Stap 1: Maak een Privacyverklaring
Schrijf een privacyverklaring en publiceer deze op je website. Er zijn templates online beschikbaar.
Stap 2: Neem Privacy Op in Je Contract
Voeg een privacy-clausule toe aan je coachcontract die verwijst naar je privacyverklaring.
Stap 3: Controleer Je Software
Gebruik je AVG-compliant software? Hebben ze een verwerkersovereenkomst? Staan de servers in de EU?
Stap 4: Bepaal Bewaartermijnen
Besluit hoe lang je welke gegevens bewaart en documenteer dit.
Stap 5: Beveilig Je Data
- Sterke wachtwoorden
- Twee-factor authenticatie waar mogelijk
- Versleutelde opslag
- Geen gevoelige gegevens via onbeveiligde kanalen
Stap 6: Maak een Verwerkingsregister
Als je structureel persoonsgegevens verwerkt (wat als coach waarschijnlijk is), houd dan bij:
- Welke categorieën gegevens je verwerkt
- Waarvoor
- Met wie je deelt
- Bewaartermijnen
Dit hoeft geen ingewikkeld document te zijn.
Digitale opslag met versleuteling is veiliger dan fysieke dossiers
Veelgemaakte Fouten
1. Geen Privacyverklaring
Zonder privacyverklaring ben je niet compliant. Dit is een basis-vereiste.
2. Vergeten Verwerkersovereenkomsten
Check of je software en dienstverleners VO’s aanbieden.
3. Te Lang Bewaren
“Ik bewaar alles voor de zekerheid” is geen geldige strategie. Bepaal termijnen.
4. Onbeveiligd Werken
Sessienotities in een open Excel-bestand op je desktop? Niet ideaal.
5. Gegevens via Onbeveiligde Kanalen
Gevoelige informatie via gewone e-mail of WhatsApp is risicovol.
Blooom Tip
Blooom is ontworpen met privacy als uitgangspunt. Servers staan in Nederland, alle data is versleuteld, en we bieden een complete verwerkersovereenkomst. Je cliënten krijgen een eigen beveiligde portal. Zo is privacy automatisch geregeld.
Conclusie
AVG voor coaches betekent:
- Privacyverklaring - transparant over je gegevensverwerking
- Verwerkersovereenkomsten - met al je software en dienstverleners
- Minimalisatie - alleen verzamelen wat nodig is
- Bewaartermijnen - niet langer bewaren dan nodig
- Beveiliging - gegevens beschermen
- Rechten - reageren op verzoeken van cliënten
Het klinkt misschien overweldigend, maar met de juiste software en een goede privacyverklaring is het goed te doen. AVG-compliance is een essentieel onderdeel van je totale coaching administratie — lees de complete gids voor het totaalplaatje. Gebruik onze contract-generator om direct een AVG-compliant coachcontract op te stellen.