Kort antwoord
Een verwerkingsregister is een intern overzicht van alle verwerkingen van persoonsgegevens in je organisatie. Op grond van AVG Artikel 30 is het verplicht voor de meeste ondernemers — ook voor ZZP'ers en kleine bedrijven.
Wat is een verwerkingsregister?
Het verwerkingsregister (ook wel “register van verwerkingsactiviteiten” of “Records of Processing Activities / ROPA”) is een intern document waarin je bijhoudt welke persoonsgegevens je verwerkt, waarvoor, op welke grondslag en hoe lang.
Het verwerkingsregister is een intern document — je hoeft het niet te publiceren, maar je moet het op verzoek kunnen overleggen aan de Autoriteit Persoonsgegevens. Het verschil met een privacyverklaring is dat een privacyverklaring extern is (voor betrokkenen), terwijl het verwerkingsregister intern is (voor de AP en voor je eigen beheer).
Wanneer is een verwerkingsregister verplicht?
AVG Artikel 30, lid 5 bevat een uitzondering voor organisaties met minder dan 250 medewerkers — maar alleen als aan álle drie onderstaande voorwaarden is voldaan:
- De verwerking vormt geen risico voor de rechten en vrijheden van betrokkenen
- De verwerking is niet meer dan incidenteel
- Er worden geen bijzondere categorieën gegevens verwerkt
In de praktijk voldoen de meeste ondernemers niet aan alle drie voorwaarden. Zodra je ook maar een nieuwsbrief verstuurt, facturen verwerkt of een website met contactformulier hebt, is de verwerking niet “incidenteel”. De Autoriteit Persoonsgegevens adviseert dan ook dat het register voor vrijwel alle ondernemers verplicht is.
Wat moet er in een verwerkingsregister staan?
Conform AVG Artikel 30 moet je register per verwerkingsactiviteit minimaal de volgende informatie bevatten:
- Naam en contactgegevens van de verwerkingsverantwoordelijke
- De doeleinden van de verwerking (bijv. facturatie, marketing, loonadministratie)
- Een beschrijving van de categorieën betrokkenen (bijv. klanten, websitebezoekers)
- De categorieën persoonsgegevens (bijv. naam, e-mail, bankrekeningnummer)
- De (categorieën van) ontvangers aan wie gegevens worden verstrekt
- Doorgiften aan landen buiten de EU en de waarborgen daarvoor
- De bewaartermijnen per categorie gegevens
- Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
Hoe stel je een verwerkingsregister op?
Je kunt het register bijhouden in een spreadsheet, Word-document of privacybeheersoftware. Doorloop systematisch alle verwerkingen in je organisatie:
Klantbeheer en facturatie
Namen, adressen, e-mailadressen, betaalgegevens van klanten en opdrachtgevers.
Website en analytics
IP-adressen, cookie-ID's, gedragsdata via tools als Google Analytics of Hotjar.
E-mailmarketing
Inschrijvingen voor nieuwsbrieven, open- en klikgegevens, via platforms als Mailchimp.
Personeel (indien van toepassing)
Arbeidscontracten, loonstroken, ziekteverzuim, functioneringsgesprekken.
Verwerkingsregister vs. privacyverklaring
Beide zijn verplicht, maar voor een ander publiek:
- Verwerkingsregister: intern document, voor de Autoriteit Persoonsgegevens bij een controle. Bevat alle technische details.
- Privacyverklaring: extern document, voor klanten en websitebezoekers. Geschreven in begrijpelijke taal.
Heb je nog geen privacyverklaring? Stel hem gratis op met de privacyverklaring-generator van Documentmaker. Lees ook: wat zijn precies persoonsgegevens?