Je intakeformulier staat online en de eerste aanmeldingen komen binnen. Naam, klachten, medicijngebruik, soms traumageschiedenis. Maar ergens onder dat formulier ontbreekt een link naar een privacyverklaring, of je hebt er een die je ooit snel kopieerde van een andere website. Voor coaches en therapeuten is dat een concreet probleem: je verwerkt bijzondere persoonsgegevens zonder dat je cliënt weet hoe, waarom en hoe lang. De AVG verplicht je dat wél te vertellen, en een generieke verklaring dekt dat meestal niet. Dit artikel legt stap voor stap uit welke onderdelen jouw privacyverklaring moet bevatten en hoe je die correct koppelt aan je intakeformulier. Volg het volledige stappenplan voor een uitgebreid overzicht van alle vereisten.

Stap 0: Verwerk jij al bijzondere persoonsgegevens zonder het te weten?

Voordat je ook maar één zin schrijft, moet je dit weten: de AVG maakt onderscheid tussen gewone persoonsgegevens (naam, adres, e-mail) en bijzondere persoonsgegevens. Die tweede categorie omvat gezondheidsgegevens, psychische toestand, seksuele oriëntatie en religie. De verwerking hiervan is in principe verboden, tenzij je aan extra strikte voorwaarden voldoet.

Kijk nu eens naar jouw intakeformulier. Vraag je naar klachten, diagnoses, medicijngebruik, traumageschiedenis of zingeving? Dan verwerk je vrijwel zeker bijzondere persoonsgegevens. Zelfs een veld als ‘wat brengt je hier?’ kan al leiden tot gevoelige informatie over iemands psychische toestand. Dit is de meest onderschatte valkuil in de praktijk van een coach of therapeut.

Stap 1: Stel de grondslag vast

Elke verwerking van persoonsgegevens heeft een wettelijke grondslag nodig. Voor coaches en therapeuten zijn drie grondslagen relevant, maar ze werken niet hetzelfde.

Uitvoering van een overeenkomst geldt wanneer je gegevens verwerkt omdat dat noodzakelijk is voor de dienst die iemand bij jou afneemt. Een naam en contactgegevens vallen hier vaak onder.

Toestemming is in veel gevallen de aangewezen grondslag voor bijzondere persoonsgegevens. Let op: toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Een prefilled vakje telt niet mee.

Wettelijke verplichting speelt een rol voor BIG-geregistreerde zorgverleners. Een psychotherapeut of psychiater heeft een wettelijke bewaarplicht voor het medisch dossier; die plicht vormt een zelfstandige grondslag voor bepaalde verwerkingen.

Het praktische verschil: een coach die geen zorgverlener is, leunt zwaarder op toestemming. Een BIG-geregistreerde therapeut heeft deels een wettelijke grondslag, maar heeft ook buiten die wettelijke verplichtingen nog altijd toestemming nodig voor specifieke verwerkingen, zoals het delen met een verwijzende huisarts.

Stap 2: De zeven verplichte bouwstenen

Een privacyverklaring voor een coach of therapeut moet minimaal deze zeven elementen bevatten:

  • Wie je bent (identiteit en contactgegevens): volledige naam of handelsnaam, adres, e-mailadres. Heb je een functionaris gegevensbescherming? Dan ook die naam.
  • Welke gegevens je verwerkt: wees specifiek. Niet ‘persoonsgegevens’, maar ‘naam, geboortedatum, klachtomschrijving, aantekeningen uit sessies’.
  • Waarom je ze verwerkt (doel): intakebeoordeling, uitvoering coaching, facturatie, wettelijke bewaarplicht.
  • De wettelijke grondslag: per doel de grondslag benoemen (zie stap 1).
  • Hoe lang je gegevens bewaart: per categorie (zie stap 5).
  • Wie er toegang toe heeft: verwerkers zoals je mailprovider of videobel-tool (zie stap 6).
  • Rechten van de betrokkene: inzage, correctie, verwijdering, bezwaar (zie stap 7).

Stap 3: Bijzondere persoonsgegevens apart benoemen

Zet in je verklaring een aparte sectie voor bijzondere persoonsgegevens. Noem concreet welke categorieën je verwerkt. Bijvoorbeeld: ‘Wij verwerken gezondheidsgegevens, waaronder uw klachten, medische voorgeschiedenis en psychische toestand, omdat dit noodzakelijk is voor de uitvoering van onze dienstverlening. Wij doen dit uitsluitend op basis van uw uitdrukkelijke toestemming.’

Die zin ‘uitdrukkelijke toestemming’ is niet zomaar een sjabloonzin. Het betekent dat je voor bijzondere gegevens een apart, actief toestemmingsmoment nodig hebt, bovenop de algemene privacytoestemming. Eén vinkje voor alles is hier niet genoeg.

Stap 4: Koppel de verklaring aan je intakeformulier

De privacyverklaring en het intakeformulier moeten technisch en redactioneel op elkaar aansluiten. Drie concrete eisen:

Timing: toon de privacyverklaring voordat iemand het formulier invult, niet achteraf in een bevestigingsmail. Zorg dat de link naar de verklaring direct zichtbaar is boven of naast het formulier.

Actieve vinkjes: gebruik losse, niet-prefilled checkboxes. Eén voor de algemene verwerking, één apart voor bijzondere persoonsgegevens als die in het formulier worden gevraagd. Beide moeten actief aangevinkt worden door de cliënt zelf.

Archivering: sla de toestemming op met tijdstempel. De meeste formulierentools (zoals Typeform of JotForm) doen dit automatisch, maar controleer het. Je moet kunnen aantonen wanneer iemand toestemming gaf en voor welke versie van je verklaring.

Stap 5: Bewaar- en verwijderingstermijnen concreet maken

Dit is het punt waarop coaches en therapeuten het meest van elkaar verschillen.

Voor een coach zonder BIG-registratie geldt geen wettelijke minimale bewaartermijn voor cliëntdossiers. De AVG schrijft voor dat je gegevens niet langer bewaart dan noodzakelijk. In de praktijk betekent dit: bepaal zelf een redelijke termijn (bijvoorbeeld twee jaar na afsluiting van het traject), leg die vast in je verklaring en houd je er ook aan.

Voor BIG-geregistreerde zorgverleners geldt op grond van de WGBO een bewaartermijn van twintig jaar na het laatste behandelcontact, of zeven jaar na het overlijden van de patiënt. Dit is een wettelijke verplichting en die vermeld je expliciet als grondslag in je verklaring. Verwijdering eerder dan die twintig jaar is in de meeste gevallen niet toegestaan, ook niet als de cliënt erom vraagt.

Stap 6: Derden en tools benoemen

Elke externe partij die persoonsgegevens van jouw cliënten verwerkt, moet in je verklaring worden benoemd. Denk aan:

  • Videobel-software (Zoom, Teams, een beveiligd zorgplatform)
  • Je e-mailprovider (Gmail, Outlook)
  • Cloudopslag voor dossiers (Google Drive, Dropbox, een zorgspecifiek systeem)
  • Je online afsprakensysteem
  • Een verwijzende huisarts of andere zorgverlener, als je gegevens met hen deelt

Voor verwerkers (partijen die gegevens verwerken in jouw opdracht) sluit je een verwerkersovereenkomst. Voor ontvangers zoals een huisarts geldt dat anders: dat is geen verwerker maar een zelfstandige verwerkingsverantwoordelijke, en je hebt voor het delen toestemming van de cliënt nodig, tenzij er een wettelijke basis is.

Stap 7: Rechten van de cliënt operationeel maken

Het is niet genoeg om te schrijven ‘u heeft recht op inzage’. Maak het concreet. Een goede privacyverklaring voor een coach of therapeut beschrijft:

Hoe de cliënt een verzoek kan indienen: via welk e-mailadres, met welke verificatie van identiteit. Binnen hoeveel tijd je reageert: de AVG schrijft een maand voor, met mogelijkheid tot verlenging. En wat je levert: een volledig overzicht van verwerkte gegevens, inclusief aantekeningen uit sessies als de cliënt daar om vraagt.

Leg ook uit wanneer je een verzoek tot verwijdering kunt weigeren. Voor een BIG-geregistreerde therapeut geldt dat je bij een wettelijke bewaarplicht het dossier niet kunt verwijderen, zelfs niet op verzoek van de cliënt. Dit moet je transparant communiceren.

Controle vóór publicatie: tien punten

Loop je concept langs deze lijst voordat je hem online zet:

  • Staat je volledige naam of handelsnaam en contactgegevens erin?
  • Heb je per categorie gegevens het doel en de grondslag benoemd?
  • Is er een aparte sectie voor bijzondere persoonsgegevens?
  • Zijn bewaartermijnen per categorie concreet (niet ‘zo lang als nodig’)?
  • Staan alle externe tools en verwerkers benoemd?
  • Heb je voor verwerkers verwerkersovereenkomsten gesloten?
  • Beschrijf je alle AVG-rechten met een concreet e-mailadres of contactpunt?
  • Is de verklaring zichtbaar gekoppeld aan je intakeformulier?
  • Werk je met losse, actieve toestemmingsvinkjes?
  • Sla je toestemmingen op met tijdstempel?

Met de juiste privacyverklaring weet je cliënt precies wat er met zijn of haar gegevens gebeurt, en voldoe jij aan je wettelijke verplichtingen. Controleer welke gegevens je formulier daadwerkelijk verzamelt, kies de juiste verwerkingsgrondslag voor elke categorie, en zorg dat de verklaring zichtbaar is vóór het moment van verzenden. Gebruik de generator op deze pagina om een verklaring op te bouwen die aansluit bij jouw praktijk. Daarna hoef je er voorlopig niet meer naar om te kijken, tenzij je werkwijze of je tools veranderen.