Register van verwerkingsactiviteiten: verplicht?

Direct antwoord

Een register van verwerkingsactiviteiten is een intern overzicht van alle persoonsgegevens-verwerkingen in je organisatie. Artikel 30 AVG verplicht het voor bedrijven met 250 of meer medewerkers en in de praktijk ook voor vrijwel alle MKB-bedrijven, omdat de uitzondering vervalt zodra je structureel klant- of personeelsgegevens verwerkt.

Een register van verwerkingsactiviteiten is het kernmiddel waarmee je aantoont dat je organisatie de AVG naleeft. Dit artikel maakt onderdeel uit van de complete gids voor het opstellen van een privacyverklaring.

Wat is een register van verwerkingsactiviteiten?

Een register van verwerkingsactiviteiten is een intern overzicht waarin je per verwerking vastlegt wat je doet met persoonsgegevens, met welk doel en op welke rechtsgrond. De verplichting staat in artikel 30 van de AVG en is voor de Autoriteit Persoonsgegevens (AP) het eerste document dat zij opvragen bij een controle of na een datalek-melding.

Het register vormt de basis voor je privacyverklaring richting klanten, voor verwerkersovereenkomsten met leveranciers en voor je interne risico-inventarisatie. Zonder register kun je in de praktijk niet aantonen dat je voldoet aan de verantwoordingsplicht uit artikel 5 lid 2 AVG.

Anders dan een privacyverklaring is het register niet openbaar. Je houdt het intern bij, doorgaans in een Excel-bestand of dedicated GDPR-tool. Op verzoek van de AP moet je het binnen redelijke termijn kunnen overleggen.

Wanneer ben je verplicht een register bij te houden?

Artikel 30 lid 5 AVG bevat een uitzondering voor organisaties met minder dan 250 medewerkers. Op het eerste gezicht lijkt dat MKB-bedrijven vrij te stellen, maar de uitzondering kent drie belangrijke voorwaarden — als één daarvan van toepassing is, geldt de registerplicht alsnog:

  • De verwerking is niet incidenteel. Een klantenadministratie, personeelsadministratie of nieuwsbrieven-database is per definitie structureel.
  • De verwerking levert risico op voor rechten en vrijheden van betrokkenen. Profilering, locatietracking en grootschalige klantenbestanden vallen hier al snel onder.
  • Je verwerkt bijzondere categorieën persoonsgegevens (artikel 9 AVG) of strafrechtelijke gegevens (artikel 10 AVG): denk aan gezondheidsdata, biometrische gegevens of gegevens over religie.

De Autoriteit Persoonsgegevens heeft hier in haar voorlichting helder over geoordeeld: in de praktijk is structurele verwerking vrijwel altijd aanwezig, omdat één personeelsadministratie of klantenbestand al voldoende is om de uitzondering te laten vervallen. Het Belgisch toezicht (Gegevensbeschermingsautoriteit) komt tot dezelfde conclusie en wijst er expliciet op dat de MKB-uitzondering in de praktijk zelden werkbaar is.

Voor een Nederlandse MKB-onderneming met personeel en/of een klantenbestand is een register dus in vrijwel alle gevallen verplicht. Twijfel je? Een register opstellen is sowieso een goede investering voor compliance — ook als je strikt genomen onder een uitzondering valt.

Wat moet er minimaal in het register?

Artikel 30 lid 1 AVG schrijft voor verwerkingsverantwoordelijken (de meeste ondernemingen) deze verplichte velden voor:

  • Naam en contactgegevens van de verwerkingsverantwoordelijke; indien van toepassing ook van de gezamenlijke verantwoordelijke, vertegenwoordiger en functionaris voor gegevensbescherming.
  • Verwerkingsdoeleinden: per categorie verwerkingen wat je ermee doet (bijvoorbeeld personeelsadministratie, klantfacturatie, marketing).
  • Categorieën betrokkenen en gegevens: medewerkers, klanten, sollicitanten, websitebezoekers — met de bijbehorende gegevens-typen.
  • Categorieën ontvangers aan wie je gegevens verstrekt (boekhouder, salarisverwerker, e-mailmarketing, cloudprovider).
  • Doorgifte naar derde landen: organisatie buiten de EER, het land en de juridische waarborg (bijvoorbeeld EU-modelcontracten of de EU-US Data Privacy Framework certificering).
  • Bewaartermijn per categorie of het criterium dat je gebruikt om te bepalen wanneer je verwijdert.
  • Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen (artikel 32 AVG): toegangscontrole, encryptie, back-ups, autorisatie, awareness-training.

Voor verwerkers (organisaties die in opdracht van een ander gegevens verwerken, zoals een SaaS-leverancier) gelden iets andere vereisten in artikel 30 lid 2. Lees in dat geval ook het cluster Verwerkersovereenkomst: wanneer heb je die nodig?.

De AP biedt een gratis voorbeeld-template aan op autoriteitpersoonsgegevens.nl onder "Stap 3: maak een overzicht van alle gegevens". Deze template is een goed startpunt en bevat alle verplichte velden.

Voordelen en nadelen van een goed register

Een register goed bijhouden is werk; het is goed om de balans te zien voor zowel ondernemer als toezichthouder.

Voordelen voor de ondernemer

  • Direct bewijs bij AP-controle: een actueel register laat in één oogopslag zien dat je je verplichtingen serieus neemt. Dat scheelt bij eventuele boete-bepaling, want "genomen maatregelen" is een verzwarings- of verzachtingsfactor (art. 83 lid 2 AVG).
  • Snellere meldingen bij datalekken: je weet binnen 72 uur welke gegevens betrokken zijn, voor wie, en bij welke ontvangers ze terechtkwamen.
  • Basis voor je privacyverklaring: doelstellingen, rechtsgronden en ontvangers staan al benoemd, dus de externe verklaring schrijven kost minder werk.
  • Inzicht in toeleveranciers: het register dwingt om in kaart te brengen welke verwerkers je gebruikt en of er overal een verwerkersovereenkomst ligt.

Nadelen en aandachtspunten

  • Onderhoudslast: bij elke nieuwe tool of leverancier moet het register worden bijgewerkt. Dit vraagt om interne afspraken (bijvoorbeeld: register wordt elk kwartaal nagelopen).
  • Risico op schijn-compliance: een register dat is ingevuld en daarna niet meer wordt onderhouden geeft een vals gevoel van veiligheid en kan bij controle juist in je nadeel werken.
  • Vertrouwelijke informatie: het register bevat soms gevoelige bedrijfsdata (welke leveranciers je gebruikt voor wat). Beperk toegang binnen je organisatie tot wie het echt nodig heeft.

Veelgemaakte fouten

  • Aannemen dat de MKB-uitzondering geldt. De uitzondering vervalt vrijwel altijd door personeelsadministratie of een klantenbestand — en de bewijslast ligt bij jou, niet bij de AP.
  • Privacyverklaring en register verwarren. Het register is intern, de privacyverklaring extern. Beide hebben overlappende informatie maar elk een eigen rol en wettelijke basis.
  • Beveiligingsmaatregelen vergeten. Een veelvoorkomende omissie is het verplichte veld over technische en organisatorische maatregelen, dat letterlijk vereist is in artikel 30 lid 1 sub g AVG.
  • Bewaartermijnen op "onbepaald" zetten. Een termijn moet concreet zijn of een toetsbaar criterium hebben (bijv. "7 jaar na laatste factuur op grond van fiscale bewaarplicht").
  • Geen overzicht van verwerkers. De Autoriteit Persoonsgegevens vraagt expliciet welke partijen toegang hebben tot welke data — zonder dat overzicht kun je je verantwoordingsplicht niet invullen.

Let op: Dit artikel geeft algemene informatie over het register van verwerkingsactiviteiten en is geen juridisch advies. Voor jouw specifieke situatie laat je het document reviewen door een aangesloten jurist via lawsy.nl.

Veelgestelde vragen

Antwoorden op de meest gestelde vragen over register van verwerkingsactiviteiten: verplicht?.

Heb ik een register nodig als mijn bedrijf minder dan 10 medewerkers heeft?

In de praktijk vrijwel altijd. Artikel 30 lid 5 AVG noemt een uitzondering tot 250 medewerkers, maar die uitzondering vervalt zodra je structureel persoonsgegevens verwerkt — wat al het geval is bij één personeelsadministratie of klantenbestand.

Wat is het verschil tussen een register en een privacyverklaring?

Het register is intern (voor jou en de AP), de privacyverklaring is extern (voor je klanten). Het register bevat naast doel en rechtsgrond ook beveiligingsmaatregelen en interne ontvangers; de privacyverklaring is gericht op transparantie naar de betrokkenen volgens artikel 13 AVG.

Mag ik mijn register in Excel bijhouden?

Ja. Artikel 30 AVG schrijft de vorm niet voor. Excel of Google Sheets is voor de meeste MKB-bedrijven prima, mits de toegang beperkt is en het bestand wordt onderhouden. Voor grotere organisaties is een dedicated GDPR-tool handiger om versies en wijzigingen bij te houden.

Hoe vaak moet ik mijn register bijwerken?

Bij elke wezenlijke wijziging in je verwerkingen — dus bij een nieuwe leverancier, nieuwe verwerking, gewijzigde bewaartermijn of een wetswijziging. Plan daarnaast een vast review-moment per kwartaal of half jaar om geen incidentele wijzigingen te missen.

Wat gebeurt er als ik geen register heb?

De Autoriteit Persoonsgegevens kan een boete opleggen tot 10 miljoen euro of 2% van de jaaromzet (artikel 83 lid 4 AVG). Belangrijker voor MKB: bij een datalek-onderzoek of klacht weegt het ontbreken van een register zwaar mee in de boete-bepaling, omdat het direct bewijs is van het ontbreken van "passende maatregelen".

Moet mijn register openbaar zijn?

Nee. Anders dan de privacyverklaring is het register een intern document. De Autoriteit Persoonsgegevens kan het opvragen bij een controle of na een datalekmelding, maar je hoeft het niet op je website te publiceren of aan klanten te overhandigen.

Bronnen

Terug naar Privacyverklaring maken