AVG verwerkingsregister: sjabloon en gids

Waarom een verwerkingsregister?

Artikel 30 van de AVG verplicht organisaties die persoonsgegevens verwerken een register van verwerkingsactiviteiten bij te houden. Dit register is het fundament van uw AVG-compliance: het geeft overzicht van alle verwerkingen, hun doelen, rechtsgronden en beveiligingsmaatregelen.

De Autoriteit Persoonsgegevens (AP) kan dit register opvragen bij een controle. Ontbreekt het of is het onvolledig, dan riskeert u een boete — zelfs als u verder geen overtreding heeft begaan.

Wie moet een verwerkingsregister bijhouden?

Vrijwel elke organisatie. De uitzondering voor organisaties met minder dan 250 medewerkers is in de praktijk nauwelijks relevant, want die geldt alleen als u:

• Slechts incidenteel persoonsgegevens verwerkt
• Géén bijzondere categorieën gegevens verwerkt
• Géén gegevens verwerkt die een risico vormen voor rechten en vrijheden

In de praktijk verwerkt vrijwel elk bedrijf structureel persoonsgegevens (klantgegevens, personeelsgegevens, websiteanalytics). Ga er dus vanuit dat u een verwerkingsregister nodig heeft.

Wat moet erin staan?

Voor verwerkingsverantwoordelijken (artikel 30 lid 1)

| Veld | Toelichting | Voorbeeld | |---|---|---| | Naam en contactgegevens | Van de organisatie en eventuele FG | BedrijfX BV, [email protected] | | Verwerkingsdoel | Waarom verwerkt u de gegevens? | Uitvoering arbeidsovereenkomst | | Categorieën betrokkenen | Van wie verwerkt u gegevens? | Werknemers, klanten, sollicitanten | | Categorieën persoonsgegevens | Welke gegevens precies? | Naam, e-mail, salarisgegevens, BSN | | Categorieën ontvangers | Wie ontvangt de gegevens? | Salarisadministratie, Belastingdienst | | Doorgifte buiten EU | Worden gegevens buiten de EU verwerkt? | Google Analytics (VS), Mailchimp (VS) | | Bewaartermijnen | Hoe lang bewaart u de gegevens? | 2 jaar na einde dienstverband | | Beveiligingsmaatregelen | Technische en organisatorische maatregelen | Versleuteling, toegangscontrole, back-ups |

Voor verwerkers (artikel 30 lid 2)

Verwerkers (organisaties die in opdracht van anderen gegevens verwerken) houden een beperkter register bij met:

• Naam en contactgegevens van verwerker en verwerkingsverantwoordelijke(n)
• Categorieën verwerkingen
• Doorgifte buiten de EU
• Beveiligingsmaatregelen

Sjabloon verwerkingsregister

Hieronder een praktisch sjabloon dat u kunt gebruiken als startpunt:

Verwerking 1: Klantbeheer

Verwerkingsactiviteit: Klantrelatiebeheer (CRM)
Verwerkingsdoel: Beheer klantrelaties, facturatie, klantenservice
Rechtsgrondslag: Uitvoering overeenkomst (art. 6.1.b AVG)
Categorieën betrokkenen: Klanten, contactpersonen zakelijke klanten
Categorieën gegevens: Naam, e-mail, telefoonnummer, adres, aankoophistorie
Ontvangers: CRM-leverancier (verwerker), boekhouder
Doorgifte buiten EU: Ja — HubSpot (VS), adequaatheidsbesluit EU-VS DPF
Bewaartermijn: 7 jaar na laatste transactie (fiscale bewaarplicht)
Beveiligingsmaatregelen: TLS-encryptie, MFA, rolgebaseerde toegang

Verwerking 2: Personeelsadministratie

Verwerkingsactiviteit: Personeels- en salarisadministratie
Verwerkingsdoel: Uitvoering arbeidsovereenkomst, salarisverwerking
Rechtsgrondslag: Uitvoering overeenkomst + wettelijke verplichting
Categorieën betrokkenen: Werknemers, oud-werknemers
Categorieën gegevens: NAW, BSN, salarisgegevens, bankrekening, verzuimgegevens
Ontvangers: Salarisverwerker, Belastingdienst, UWV, pensioenfonds
Doorgifte buiten EU: Nee
Bewaartermijn: 5 jaar na einde dienstverband (loonadministratie: 7 jaar)
Beveiligingsmaatregelen: Versleuteld HR-systeem, beperkte toegang, logging

Verwerking 3: Websiteanalytics

Verwerkingsactiviteit: Website-analyse en optimalisatie
Verwerkingsdoel: Inzicht in websitegebruik, verbetering gebruikerservaring
Rechtsgrondslag: Gerechtvaardigd belang OF toestemming (afhankelijk van tool)
Categorieën betrokkenen: Websitebezoekers
Categorieën gegevens: IP-adres (geanonimiseerd), paginabezoeken, browsetype
Ontvangers: Analytics-dienstverlener (verwerker)
Doorgifte buiten EU: Afhankelijk van gekozen tool
Bewaartermijn: 26 maanden
Beveiligingsmaatregelen: IP-anonimisering, verwerkersovereenkomst, SSL

7 tips voor een goed verwerkingsregister

1. Maak het levend

Een verwerkingsregister is geen eenmalig document. Werk het bij bij elke wijziging: nieuwe software, nieuwe leverancier, nieuw verwerkingsdoel.

2. Betrek alle afdelingen

Persoonsgegevens worden niet alleen door IT verwerkt. HR, marketing, sales en klantenservice verwerken allemaal gegevens. Betrek hen bij het opstellen.

3. Wees specifiek over rechtsgronden

"Gerechtvaardigd belang" is geen vangnet. Onderbouw waarom deze rechtsgrond van toepassing is en documenteer de belangenafweging.

4. Vergeet de verwerkers niet

Elke SaaS-tool, cloudservice of externe dienstverlener die persoonsgegevens verwerkt, hoort in uw register. Inclusief:

• E-mailmarketing (Mailchimp, Brevo)
• Analytics (Google Analytics, Matomo)
• CRM (HubSpot, Salesforce)
• Hosting (AWS, Azure, Cloudflare)

5. Documenteer doorgifte buiten de EU

Sinds het Schrems II-arrest is doorgifte naar derde landen een gevoelig punt. Documenteer:

• Welke gegevens worden doorgegeven
• Naar welk land
• Op basis van welk mechanisme (adequaatheidsbesluit, SCC's, BCR's)

6. Koppel aan uw privacyverklaring

Uw verwerkingsregister en privacyverklaring moeten consistent zijn. Gebruik het register als basis voor uw externe communicatie.

7. Bewaar versiehistorie

Houd bij wanneer het register is bijgewerkt en door wie. Dit toont aan dat u actief bezig bent met compliance.

Veelgemaakte fouten

| Fout | Gevolg | |---|---| | Register eenmalig opgesteld en nooit bijgewerkt | Niet-actueel = niet-compliant | | Alleen IT-verwerkingen opgenomen | HR, marketing en finance worden vergeten | | Geen rechtsgrondslag per verwerking | AP kan elke verwerking betwisten | | Bewaartermijnen ontbreken | Risico op overmatige opslag | | Verwerkers niet opgenomen | Onvolledig register bij controle |

Tools voor verwerkingsregisters

| Tool | Type | Geschikt voor | |---|---|---| | Excel/Sheets | Spreadsheet | Klein MKB (<50 verwerkingen) | | OneTrust | SaaS | Enterprise | | Privacyzaken | SaaS (NL) | MKB Nederland | | NOYB templates | Gratis templates | Startpunt |

Conclusie

Het verwerkingsregister is niet het spannendste onderdeel van privacy-compliance, maar wel een van de belangrijkste. Het is het document dat de AP als eerste opvraagt, en het fundament waarop al uw andere privacy-maatregelen rusten.

Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.