Verwerkingsregister documentatieplicht

Verwerkingsregister voorbeeld voor een kleine webshop in Nederland

Eva de Vries Eva de Vries
· · 10 min leestijd

Je hebt een gave webshop, je verkoopt leuke producten en je klanten zijn blij. Maar dan is er die ene droge, saaie klus waar je eigenlijk geen zin in hebt: de AVG.

Inhoudsopgave
  1. Waarom een verwerkingsregister voor je webshop?
  2. Wat hoort er in een verwerkingsregister?
  3. Verwerkingsregister voorbeeld: een praktische invulling
  4. Stappen om je register op te zetten
  5. Veelvoorkomende valkuilen bij kleine webshops
  6. Hoe houd je het register up-to-date?
  7. Praktische tips voor kleine webshops
  8. Conclusie
  9. Veelgestelde vragen

In Nederland moet je als ondernemer aan kunnen tonen dat je persoonsgegevens goed beschermt.

Het middel daartoe is een verwerkingsregister. Geen paniek, het klinkt ingewikkelder dan het is. Hieronder lees je precies wat het is, waarom je het nodig hebt en vind je een praktisch voorbeeld speciaal voor jouw kleine webshop.

Waarom een verwerkingsregister voor je webshop?

Veel starters denken dat dit alleen voor grote bedrijven is, maar niets is minder waar. De Autoriteit Persoonsgegevens (AP) verwacht dit register van elke organisatie die persoonsgegevens verwerkt.

En als webshopeigenaar doe je dat volop. Denk aan namen, adressen, e-mailadressen en betaalgegevens.

Een verwerkingsregister is eigenlijk een overzichtslijst. Het laat zien welke persoonsgegevens je precies verzamelt, waarom je dat doet en wie erbij kan. Het is niet alleen een verplichting onder de AVG, het helpt je ook om je eigen processen scherp te houden.

Je ontdekt snel waar gegevens onnodig blijven rondslingeren of waar beveiliging beter kan. Bovendien: als de AP ooit langskomt (of een klacht krijgt), heb je direct je verhaal klaar.

Wat hoort er in een verwerkingsregister?

Volgens de wet moet een verwerkingsregister een aantal vaste elementen bevatten. Voor een kleine webshop hoef je niet meteen een complex systeem in te richten.

  • Naam van je bedrijf
  • Doel van de verwerking (bijvoorbeeld: leveren van bestellingen)
  • Categorieën van betrokkenen (bijvoorbeeld: klanten, leveranciers)
  • Categorieën van persoonsgegevens (bijvoorbeeld: naam, adres, betaalgegevens)
  • Ontvangers van de gegevens (bijvoorbeeld: je vervoerder, je boekhouder)
  • Doorgifte buiten de EU (bijvoorbeeld: als je gebruikmaakt van servers in de VS)
  • Bewaartermijnen (hoe lang bewaar je de gegevens?)

Een simpel Excel- of Google Sheets-bestand volstaat prima. De volgende informatie moet in ieder geval terugkomen: Het is handig om deze elementen als kolomkoppen te gebruiken in je sheet. Zo bouw je stap voor stap een overzichtelijk register op.

Verwerkingsregister voorbeeld: een praktische invulling

Laten we eens kijken naar een voorbeeld voor een kleine webshop die kleding verkoopt. Stel, je heet "ModeMijn" en je bent gevestigd in Nederland.

Basisgegevens van je bedrijf

Hieronder zie je hoe je de gegevens kunt invullen. Je kunt dit direct kopiëren naar je eigen sheet. Eerst vul je de algemene gegevens in.

  • Naam verwerkingsverantwoordelijke: ModeMijn
  • Contactpersoon privacy: Jan Jansen (eigenaar)
  • Gebruikte systemen: Shopify, Mollie (betalingen), Mailchimp ( nieuwsbrief)

Verwerking 1: Klantgegevens bij een bestelling

Dit is de context van je register. Ben je op zoek naar een verwerkingsregister voorbeeld voor een kapper of schoonheidssalon? Dit is de belangrijkste verwerking voor elke webshop.

  • Doel van de verwerking: Uitvoeren van de koopovereenkomst en bezorgen van het product.
  • Categorie betrokkenen: Particuliere klanten.
  • Categorie persoonsgegevens: Naam, adres, woonplaats, e-mailadres, telefoonnummer, betaalgegevens.
  • Rechtsgrond: Uitvoering van de overeenkomst.
  • Ontvangers: PostNL (voor bezorging), Mollie (voor betalingen), boekhouder (voor facturatie).
  • Buiten EU: Nee (tenzij je een klant in bijvoorbeeld de VS hebt, dan wel).
  • Bewaartermijn: 7 jaar (vanwege de fiscale bewaarplicht voor facturen).

Verwerking 2: Nieuwsbrief abonnees

Zonder klantgegevens geen verkoop. Veel webshops sturen nieuwsbrieven om klanten te betrekken. Dit is een aparte verwerking.

  • Doel van de verwerking: Toesturen van aanbiedingen en nieuws.
  • Categorie betrokkenen: Abonnees op de nieuwsbrief.
  • Categorie persoonsgegevens: E-mailadres, voorkeuren (indien verzameld).
  • Rechtsgrond: Toestemming (de klant meldt zich actief aan).
  • Ontvangers: Mailchimp (e-maildienst).
  • Buiten EU: Ja (Mailchimp is een Amerikaanse dienst; zorg voor passende waarborgen zoals Standard Contractual Clauses).
  • Bewaartermijn: Tot het moment dat de klant zich uitschrijft.

Verwerking 3: Website bezoek en cookies

Ook je website bezoekers genereren data. Dit hoort er ook bij.

  • Doel van de verwerking: Analyseren van websitebezoek en verbeteren van de gebruikerservaring.
  • Categorie betrokkenen: Websitebezoekers.
  • Categorie persoonsgegevens: IP-adres, browserinformatie, klikgedrag (via cookies).
  • Rechtsgrond: Gerechtvaardigd belang (voor functionele cookies) of toestemming (voor marketing cookies).
  • Ontvangers: Google Analytics (indien ingesteld met privacyvriendelijke instellingen).
  • Buiten EU: Ja (Google Analytics gebruikt servers in de VS).
  • Bewaartermijn: 14 maanden voor analytics data.

Stappen om je register op te zetten

Je hoeft niet alles in één dag te doen. Volg deze stappen om je register soepel in te richten.

Stap 1: Verzamel je systemen

Loop al je tools na. Gebruik je Shopify, WooCommerce, of een ander platform? Welke betaaldiensten zitten erop?

Stap 2: Beschrijf je processen

Welke e-maildienst gebruik je? Maak een lijst van al deze partijen.

Stap 3: Bepaal bewaartermijnen

Dit helpt je bij het invullen van de ontvangerskolom. Denk na over hoe een klant bij je komt en wat er met zijn of haar gegevens gebeurt.

Stap 4: Leg het vast

Vanaf het moment dat iemand je site bezoekt tot na de aankoop. Schets deze stappen en koppel ze aan de persoonsgegevens die je verzamelt. Voor de meeste webshops geldt: facturen bewaar je 7 jaar vanwege de Belastingdienst. Klantadressen voor bezorging mag je korter bewaren, bijvoorbeeld tot de klacht is afgehandeld.

Nieuwsbriefgegevens bewaar je zo lang als nodig tot iemand zich uitschrijft. Open je Excel- of Google Sheets-bestand en vul de gegevens in zoals hierboven getoond. Gebruik duidelijke taal en zorg dat je collega’s (of jezelf over een jaar) het nog begrijpen.

Veelvoorkomende valkuilen bij kleine webshops

Er zijn een paar fouten die webshopeigenaren vaak maken. Deze kun je makkelijk voorkomen.

Te veel gegevens verzamelen

Vraag niet om een telefoonnummer als je het niet nodig hebt voor bezorging. Beperk je tot de gegevens die echt essentieel zijn voor je doel. Een verwerkingsregister is een levend document.

Vergeten dat je een register moet bijwerken

Als je een nieuwe betaaldienst toevoegt of je nieuwsbrief verandert, pas je het register aan. Plan een maandelijkse check in.

Geen rekening houden met derde landen

Veel webshops gebruiken Amerikaanse diensten. Zorg dat je weet welke dat zijn en of er passende waarborgen zijn getroffen.

Bijvoorbeeld via de EU-US Data Privacy Framework.

Hoe houd je het register up-to-date?

Een register dat stof ligt te verzamelen, heeft geen waarde. Zorg voor een routine. Bijvoorbeeld:

  • Voeg een nieuwe verwerking toe zodra je een nieuwe tool of dienst introduceert.
  • Check elk kwartaal of alle bewaartermijnen nog kloppen.
  • Gebruik je register als leidraad bij het schrijven of bijwerken van je privacyverklaring.

Praktische tips voor kleine webshops

Hier nog een paar handige tips om je leven makkelijker te maken:

  • Gebruik een sjabloon: Er zijn online gratis sjablonen beschikbaar, bijvoorbeeld van de KvK of de Autoriteit Persoonsgegevens. Pas ze aan op je eigen situatie.
  • Combineer met je privacyverklaring: Je verwerkingsregister is de basis voor je privacyverklaring. Door ze op elkaar af te stemmen, voorkom je tegenstrijdigheden.
  • Vraag hulp bij twijfel: Weet je niet zeker of een bepaalde gegevensverwerking mag? Overleg met een jurist of privacy-expert. Een kleine investering voorkomt grote boetes.
  • Doe het stap voor stap: Begin met de belangrijkste verwerkingen (klantgegevens) en breid later uit. Het hoeft niet perfect in één keer.

Conclusie

Een verwerkingsregister maken als ZZP'er is voor een kleine webshop in Nederland geen rocket science.

Het is een overzichtelijke lijst die je helpt om je privacyzaken op orde te brengen. Met een simpel Excel-bestand en de voorbeelden hierboven kun je direct aan de slag. Denk aan je klanten, houd het bij en voorkom problemen. Zo blijf je je richten op wat echt telt: je bedrijf laten groeien.

Veelgestelde vragen

Wat moet ik precies in mijn verwerkingsregister zetten?

Een verwerkingsregister is een overzichtelijk document waarin je vastlegt welke persoonsgegevens je webshop verzamelt, waarom je die gegevens gebruikt en wie er toegang heeft. Denk aan informatie zoals klantnamen, adressen, betaalgegevens en e-mailadressen, samen met de redenen voor de verwerking en wie de gegevens ontvangt.

Hoe kan ik een verwerkingsregister opstellen?

Het opstellen van een verwerkingsregister is eenvoudiger dan je denkt! Begin met een simpel Excel- of Google Sheets-bestand en gebruik de basisgegevens van je bedrijf, zoals de naam, contactgegevens en de systemen die je gebruikt (zoals Shopify en Mollie). Voeg vervolgens de doelstellingen van de verwerking toe, zoals het leveren van bestellingen, en noteer de categorieën van betrokkenen en persoonsgegevens.

Welke privacyregels zijn er specifiek voor webshops?

Als webshop ben je verplicht om de persoonsgegevens van je klanten op een veilige manier te verwerken en te beschermen. Dit betekent dat je een duidelijke wettelijke grondslag moet hebben voor de verwerking, zoals toestemming of een contract, en dat je de gegevens alleen gebruikt voor de beoogde doelen. Daarnaast moet je aangeven hoe lang je de gegevens bewaart.

Welke gegevens worden buiten de EU gedeeld en wat moet ik daar rekening mee houden?

Als je bijvoorbeeld gebruik maakt van servers in de VS voor je webshop, dan moet je dit in je verwerkingsregister vermelden. Het delen van persoonsgegevens met partijen buiten de EU vereist extra aandacht voor de beveiliging en privacy, en je moet ervoor zorgen dat de gegevens beschermd blijven volgens de Europese wetgeving.

Wat is een verwerkingsregister en waarom is het belangrijk voor mijn webshop?

Een verwerkingsregister is een wettelijk verplicht document dat je als webshop moet bijhouden. Het helpt je om overzicht te krijgen over welke persoonsgegevens je verzamelt, hoe je die gebruikt en wie er toegang heeft. Het is niet alleen een verplichting onder de AVG, maar het helpt je ook om je eigen processen te verbeteren en eventuele vragen van de Autoriteit Persoonsgegevens (AP) adequaat te beantwoorden.

Lees ook
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden? Hoe maak je stap voor stap een verwerkingsregister als ZZP'er in 2026? Welke gegevens horen er precies in een verwerkingsregister thuis? Verwerkingsregister voorbeeld voor een freelance marketeer of tekstschrijver Verwerkingsregister voorbeeld voor een kapper of schoonheidssalon Verwerkingsregister voorbeeld voor een kleine boekhouder of administratiekantoor
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkingsregister documentatieplicht

Bekijk alle 38 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden?
Lees verder →