Verwerkingsregister AVG Art. 30: Wat Het Is en Hoe Je Het Opstelt

Wat is een verwerkingsregister?

Een verwerkingsregister is een intern document waarin je vastlegt welke persoonsgegevens je bedrijf verwerkt, met welk doel, hoe lang je ze bewaart en wie er toegang toe heeft. Het is geen optioneel administratief formulier — het is een wettelijke verplichting op grond van AVG Art. 30.

Kort gezegd: als jouw bedrijf persoonsgegevens verwerkt, ben je verplicht dit bij te houden. En vrijwel elk bedrijf verwerkt persoonsgegevens — van klantnamen in je CRM tot e-mailadressen in je nieuwsbrief.

Voor wie is het verplicht?

AVG Art. 30 geldt in principe voor alle organisaties die persoonsgegevens verwerken. Er is een beperkte uitzondering voor organisaties met minder dan 250 medewerkers, maar die uitzondering vervalt zodra:

• Je regelmatig persoonsgegevens verwerkt (niet incidenteel)
• De verwerking risico's inhoudt voor de betrokkenen
• Je bijzondere categorieën persoonsgegevens verwerkt (gezondheid, religie, ras, politieke opvattingen)

In de praktijk betekent dit dat vrijwel elke ondernemer — ook ZZP'ers en kleine MKB-bedrijven — een verwerkingsregister nodig heeft.

Voorbeelden van verwerkingen die een register vereisen:

• Klantenbestand bijhouden (naam, e-mail, adres)
• Personeelsadministratie (BSN, salaris, ziektemeldingen)
• Nieuwsbrief versturen (e-mailadressen)
• Websiteanalytics (IP-adressen via Google Analytics)
• Sollicitaties ontvangen en beoordelen
• Camerabewaking in je pand
• Facturatie en boekhouding

Wat moet er in een verwerkingsregister staan?

Volgens AVG Art. 30 lid 1 moet een verwerkingsregister minimaal de volgende informatie bevatten per verwerking:

1. Naam en contactgegevens van de verwerkingsverantwoordelijke — Dat ben jij of jouw organisatie. Inclusief eventuele vertegenwoordiger en functionaris voor gegevensbescherming (FG) als je die hebt.
2. De verwerkingsdoeleinden — Waarom verwerk je deze gegevens? Wees specifiek. "Marketing" is te vaag. "Het versturen van een maandelijkse nieuwsbrief aan klanten die zich hebben aangemeld" is concreet.
3. De categorieën betrokkenen en persoonsgegevens — Wie zijn de mensen van wie je gegevens verwerkt? Klanten, medewerkers, leveranciers, websitebezoekers? En welke gegevens precies — naam, e-mail, telefoonnummer, IP-adres, BSN?
4. De categorieën ontvangers — Wie krijgt toegang tot de gegevens, naast jijzelf? Denk aan medewerkers, externe verwerkers (boekhouder, hostingprovider, salarisverwerker), of andere derde partijen.
5. Doorgiften aan derde landen — Stuur je gegevens buiten de EU? Dan moet je dit vermelden, inclusief welke waarborgen je hebt getroffen (bijv. Standard Contractual Clauses).
6. Bewaartermijnen — Hoe lang bewaar je de gegevens? Niet "zo lang als nodig" — dat is geen antwoord. Geef concrete termijnen per categorie. Fiscale gegevens: 7 jaar. Sollicitaties van afgewezen kandidaten: maximaal 4 weken (tenzij toestemming voor langer).
7. Technische en organisatorische beveiligingsmaatregelen — Hoe bescherm je de gegevens? Denk aan: versleuteling, toegangscontrole, tweefactorauthenticatie, back-upprocedures, beveiligde verbindingen (SSL/TLS).

Voorbeeld: verwerkingsregister voor een klein MKB-bedrijf

Verwerkersovereenkomst: niet vergeten

Werk je met externe partijen die namens jou persoonsgegevens verwerken? Dan ben je op grond van AVG Art. 28 verplicht een verwerkersovereenkomst (ook wel Data Processing Agreement of DPA) met hen te sluiten.

Voorbeelden van externe verwerkers:

• Boekhouder of accountant
• Hostingprovider van je website
• E-mailmarketingtool (Mailchimp, ActiveCampaign)
• Salarisverwerker
• CRM-software leverancier
• Cloudopslagdienst (Google Drive, Dropbox)

In je verwerkingsregister vermeld je deze verwerkers als "ontvangers" en noteer je dat er een verwerkersovereenkomst is gesloten.

Wat zijn de gevolgen als je geen verwerkingsregister hebt?

De Autoriteit Persoonsgegevens (AP) kan bij een controle of na een datalek vragen om inzage in je verwerkingsregister. Heb je er geen, of is het onvolledig? Dan riskeer je een boete. Bij een ernstige overtreding kan de boete oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet. Toch zijn ook boetes van tienduizenden euro's voor kleine overtreders geen uitzondering meer.

Daarnaast geldt: bij een datalek ben je verplicht dit binnen 72 uur te melden bij de AP (AVG Art. 33). Een goed verwerkingsregister helpt je om snel te overzien welke gegevens zijn getroffen en welke betrokkenen je moet informeren.

Hoe vaak moet je het bijwerken?

Een verwerkingsregister is geen document dat je één keer opstelt en daarna vergeet. Werk het bij wanneer:

• Je een nieuwe categorie persoonsgegevens gaat verwerken
• Je een nieuwe externe verwerker inschakelt
• Je een bestaande verwerking stopt
• Er een wijziging is in doel, bewaartermijn of beveiligingsmaatregelen
• Er nieuwe wet- of regelgeving van toepassing wordt

Een jaarlijkse review is een minimum. Snel groeiende organisaties doen er goed aan het elk kwartaal te controleren.

Checklist: heb jij alles op orde?

• Ik heb een lijst van alle verwerkingen van persoonsgegevens in mijn organisatie
• Per verwerking is het doel concreet omschreven
• Per verwerking zijn de categorieën betrokkenen en gegevens gespecificeerd
• Per verwerking zijn de ontvangers (inclusief externe verwerkers) vermeld
• Per verwerking is een concrete bewaartermijn vastgesteld
• Per verwerking zijn de beveiligingsmaatregelen beschreven
• Ik heb verwerkersovereenkomsten gesloten met alle externe verwerkers
• Het register is actueel en wordt bijgehouden bij wijzigingen
• Eventuele doorgiften buiten de EU zijn gedocumenteerd met passende waarborgen