Je krijgt een enthousiast mailtje van een klant: “Ik ben zo blij met hoe dit gegaan is, je mag dit gerust gebruiken voor je website.” Je kopieert de tekst, zet er een naam onder, en plaatst het online. Twee jaar later staat die review er nog steeds. Maar heb je eigenlijk vastgelegd dat die klant toestemming heeft gegeven? En weet je wat je moet doen als diezelfde klant straks vraagt om zijn naam te verwijderen?
Voor veel ZZP’ers groeien testimonials precies zo: informeel, snel en zonder papierwerk. Dat werkt prima totdat iemand vragen begint te stellen, of totdat je zelf beseft dat je nooit hebt nagedacht over de AVG. Dit artikel geeft je een praktische aanpak om bestaande én nieuwe reviews correct te regelen, zonder dat je er een jurist voor hoeft in te schakelen.
Wanneer is een testimonial eigenlijk een privacyvraagstuk?
Zodra een review herleidbaar is tot een persoon, valt het onder de AVG. Dat klinkt vanzelfsprekend, maar de grens ligt eerder dan veel ZZP’ers denken. Een volledige naam is uiteraard een persoonsgegeven. Maar ook ‘Jan, directeur bij een middelgroot architectenbureau in Groningen’ kan identificeerbaar zijn als er maar één zo’n persoon bestaat. Een foto maakt het al helemaal concreet.
Bekijk je testimonials dus met deze bril: zou iemand met een beetje zoekwerk kunnen achterhalen wie dit is? Als het antwoord ja is, geldt de AVG, en heb je een geldige grondslag nodig om die gegevens te publiceren.
De enige realistische grondslag: toestemming
Er zijn meerdere grondslagen in de AVG, maar voor testimonials op je website als ZZP’er is er in de praktijk maar één die standhoudt: expliciete toestemming van de betrokkene.
Sommige ZZP’ers redeneren dat ‘gerechtvaardigd belang’ volstaat, omdat een positieve review nu eenmaal commercieel nuttig is. Dat argument houdt juridisch bijna nooit stand. De Autoriteit Persoonsgegevens kijkt bij gerechtvaardigd belang of jouw belang zwaarder weegt dan het privacybelang van de betrokkene. Bij marketing op je eigen website, waarbij je iemands naam en functie publiceert zonder dat die persoon er weet van heeft, tilt de weegschaal vrijwel altijd naar de kant van de betrokkene. Gebruik dus toestemming als grondslag, en doe dat voordat je publiceert.
Wat geldige toestemming betekent in de testimonial-praktijk
De AVG stelt vier eisen aan toestemming: die moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Vertaald naar testimonials betekent dit het volgende.
- Vrij: de klant mag geen nadeel ondervinden van weigering. Koppel toestemming nooit aan een korting of dienstverlening.
- Specifiek: vraag toestemming voor precies wat je wilt publiceren, inclusief de kanalen (website, LinkedIn, brochure).
- Geïnformeerd: vertel de klant welke gegevens je gebruikt, hoe lang, en dat hij het recht heeft om toestemming in te trekken.
- Ondubbelzinnig: een actieve handeling is vereist, zoals een bevestigende e-mail of het aanvinken van een vakje. Een stilzwijgende akkoordgang telt niet.
Voorbeeldformulering 1: toestemmingsverzoek per e-mail
Stuur dit voorafgaand aan publicatie naar je klant:
Hallo [naam],
Bedankt voor je fijne samenwerking. Ik zou jouw reactie graag delen op mijn website als testimonial. Het gaat om de volgende tekst: [citaat]. Ik wil hierbij je voor- en achternaam en functietitel vermelden. De review blijft op mijn website staan zolang die actueel is, maar je kunt je toestemming op elk moment intrekken via [e-mailadres]. Laat me weten of je hiermee akkoord gaat.
Bewaar deze e-mail en het antwoord van de klant. Dat is je bewijs van toestemming.
Voorbeeldformulering 2: toestemmingsclausule in je offerte
Als je structureel reviews wilt verzamelen, is het handiger om dit al in je offerte of opdrachtbevestiging op te nemen. Voeg een aparte, optionele clausule toe, dus niet verstopt in de algemene voorwaarden:
Optioneel: Ik geef [jouw naam/bedrijfsnaam] toestemming om een testimonial op basis van mijn ervaringen te publiceren op de website en eventueel op LinkedIn. Mijn naam en functie mogen daarbij vermeld worden. Ik begrijp dat ik deze toestemming altijd kan intrekken via [e-mailadres].
Laat de klant dit vakje zelfstandig aanvinken of paraferen. Zo heb je bij elke opdracht meteen duidelijkheid.
Wat je minimaal in je privacyverklaring opneemt over testimonials
Als je klantreviews op je website publiceert, moet je dat vermelden in je privacyverklaring. Minimaal de volgende onderdelen moeten erin staan, en je kunt de onderstaande tekst als uitgangspunt gebruiken:
Testimonials: Met toestemming van klanten publiceer ik ervaringen op mijn website. De verwerkte gegevens zijn: naam, functietitel en eventueel een foto. Doel: het tonen van klantervaring aan potentiële opdrachtgevers. Grondslag: toestemming (art. 6 lid 1 sub a AVG). Bewaartermijn: zolang de toestemming niet is ingetrokken. Je kunt je toestemming op elk moment intrekken via [e-mailadres], waarna ik de testimonial binnen 5 werkdagen verwijder.
Heb je een klantreviews privacyverklaring ZZP nodig die dit ook echt goed omschrijft? Gebruik dan onze generator als vertrekpunt en vul het testimonial-onderdeel aan met bovenstaande tekst.
Het intrekkingsscenario: wat doe je als een klant zijn review terug wil?
Dit is minder zeldzaam dan je denkt. Een oud-klant belt, wil zijn naam van je site, of stuurt een e-mail omdat hij inmiddels bij een concurrent werkt. Hier is wat je doet:
Stap 1: Bevestig de ontvangst van het verzoek per e-mail, dezelfde dag nog.
Stap 2: Verwijder de testimonial van je website binnen 5 werkdagen. Controleer ook andere plekken waar je die review hebt gedeeld: LinkedIn-posts, PDF-brochures, offertes met referenties.
Stap 3: Documenteer de verwijdering. Noteer datum, welke gegevens je hebt verwijderd en via welke kanalen. Bewaar dit minimaal een jaar.
Stap 4: Bevestig schriftelijk aan de klant dat de testimonial is verwijderd.
Je hoeft de toestemming zelf niet te vernietigen, die mag je bewaren als bewijs dat je eerder rechtmatig hebt gehandeld.
Anonieme quotes als AVG-luw alternatief
Wil je de AVG-drempel omzeilen? Gebruik dan anonieme citaten. Maar pas op: ‘alleen voornaam en sector’ is lang niet altijd echt anoniem. ‘Laura, UX-designer in Amsterdam’ kan in een kleine markt makkelijk herleidbaar zijn als Laura de enige UX-designer is die jij als klant hebt gehad in dat segment. Anoniem publiceren werkt pas echt als geen enkele combinatie van kenmerken herleidbaar is tot één persoon. Twijfel je? Laat de functie weg, of generaliseer de sector verder. Dan ben je veilig.
B2B-reviews: de contactpersoon is een persoon, het bedrijf niet
Bij zakelijke klanten denken veel ZZP’ers dat de AVG niet geldt, omdat het om een bedrijf gaat. Dat klopt voor de organisatie zelf, maar niet voor de contactpersoon. Als jij schrijft ‘Mark de Vries, inkoopdirecteur bij Bedrijf X, werkte met veel plezier met ons samen’, dan zijn dat persoonsgegevens van Mark. De AVG beschermt hem, niet Bedrijf X.
Je toestemmingsproces blijft dus hetzelfde: vraag toestemming aan de persoon, niet aan het bedrijf. Let ook op dat de contactpersoon bevoegd moet zijn om namens zichzelf toestemming te geven, niet per se namens het bedrijf. Gebruik je alleen de bedrijfsnaam zonder persoonsgegevens, dan val je buiten de AVG. Dat is de makkelijkste route als je liever geen gedoe hebt.
Bestaande testimonials zonder expliciete toestemming: wat nu?
Staan er op dit moment reviews op je site waarvoor je nooit formeel toestemming hebt gevraagd? Dan zijn er twee opties, en je moet nu een keuze maken.
Optie A: Haal ze tijdelijk offline en vraag alsnog toestemming. Stuur de klant een e-mail met de exacte tekst die je wilt gebruiken, en wacht op een bevestiging voordat je de testimonial terugplaatst. Dit is de veiligste aanpak.
Optie B: Als je de klant niet meer kunt bereiken of geen reactie krijgt, haal de testimonial dan definitief offline. Een klacht bij de Autoriteit Persoonsgegevens van een voormalige klant wiens naam nog steeds op jouw site staat, is een risico dat niet opweegt tegen de marketingwaarde van één review.
Voer dit proces nu door, niet volgende maand. De AVG kent geen overgangsperiode voor bestaande publicaties.
Het regelen van AVG-conforme testimonials vraagt om drie concrete dingen: toestemming vragen én vastleggen voordat je iets publiceert, een korte vermelding in je privacyverklaring, en een werkwijze voor als een klant zijn review wil laten verwijderen. Heb je nu reviews online staan waarvoor je nooit iets hebt vastgelegd, neem dan deze week contact op met die klanten. Een korte e-mail is genoeg. De kans dat iemand bezwaar maakt is klein, maar de zekerheid die je ermee koopt is groot.
Klaar om jouw privacy policy te maken?
Gebruik onze gratis generator en heb in 3 minuten een juridisch correcte privacy policy op maat.
Start de generator - gratis