Verwerkingsregister documentatieplicht

Welke gegevens horen er precies in een verwerkingsregister thuis?

Eva de Vries Eva de Vries
· · 9 min leestijd

Stel je voor: je hebt een bedrijf. Je bent druk met van alles.

Inhoudsopgave
  1. Wat is een verwerkingsregister eigenlijk?
  2. De verplichte gegevens: wat móét erin?
  3. Extra details die het plaatje compleet maken
  4. Hoe houd je het bij?
  5. Veelgestelde vragen

Je verzamelt namen van klanten, e-mailadressen van mensen die je nieuwsbrief willen, en misschien wel sollicitatiebrieven. Handig, maar het zorgt ook voor chaos. Waar bewaar je die gegevens eigenlijk? En wie mag erbij?

De AVG, oftewel de Algemene Verordening Gegevensbescherming, zegt: dit moet je op een rijtje hebben. Het antwoord is simpel: een verwerkingsregister.

Het klinkt misschien als saai bureaucratie, maar het is eigenlijk de plattegrond van hoe je met data omgaat.

Zonder deze plattegrond loop je echt zoek te raken in je eigen data-stad. Een verwerkingsregister is niet optioneel. Het is je bewijs dat je je zaakjes op orde hebt.

Het is het eerste document waar de Autoriteit Persoonsgegevens (AP) om vraagt als ze langskomen voor een controle. Dus, laten we het helder maken. We gaan niet moeilijk doen, we houden het simpel, scherp en vooral heel praktisch.

Wat is een verwerkingsregister eigenlijk?

Denk aan een logboek van een vliegtuig. Het vertelt precies wat er gebeurt, waar het vandaan komt en waar het naartoe gaat.

Een verwerkingsregister doet hetzelfde, maar dan voor persoonsgegevens. Het is een overzicht van alle verwerkingen van persoonsgegevens binnen je organisatie. "Verwerken" is een breed begrip.

Het betekent letterlijk alles wat je met data doet: verzamelen, opslaan, raadplegen, doorsturen of zelfs wissen.

Je bent verplicht om zo’n register bij te houden als je meer dan 250 medewerkers hebt. Heb je er minder dan 250? Dan mag het officieel weg, maar in de praktijk is het bijna onmogelijk om aan te tonen dat je je aan de regels houdt zonder dit overzicht.

Het is dus slimmer om het altijd te doen. Het geeft rust en overzicht.

De verplichte gegevens: wat móét erin?

De wet is streng, maar gelukkig heel duidelijk over wat er in het register moet staan. Het zijn geen twijfelgevallen; het zijn harde eisen.

Hieronder de belangrijkste elementen die je echt moet invullen. Wees hier precies in, want half werk telt niet. Allereerst moet duidelijk zijn wie er aan het roer staat.

1. Wie is de verantwoordelijke?

Dit is de ‘verantwoordelijke’ partij. Meestal ben je dat zelf, als eigenaar van het bedrijf.

Je moet de naam van je organisatie en de contactgegevens van je functionaris voor de gegevensbescherming (FG) opschrijven. Die FG is er pas verplicht als je op grote schaal bijzondere persoonsgegevens verwerkt, maar voor de volledigheid is het slim om dit nu vast te regelen. Zorg dat het vestigingsadres en het KvK-nummer kloppen. Dit is cruciaal.

2. De doeleinden: waarom doe je het?

Je mag niet zomaar data verzamelen zonder reden. Je moet per verwerking opschrijven wat het doel is.

Is het voor de loonadministratie? Is het voor het versturen van een nieuwsbrief via Mailchimp? Of is het voor het beheren van je website via Google Analytics? Wees specifiek.

3. De categorieën personen

"Klantgegevens" is te vaag. "Klantgegevens voor het uitvoeren van een koopcontract" is beter.

De Autoriteit Persoonsgegevens wil zien dat je nagedacht hebt over de noodzaak. Over wie gaan deze gegevens eigenlijk? Je moet aangeven welke groepen mensen je in beeld hebt.

4. De categorieën persoonsgegevens

Zijn het je medewerkers? Zijn het sollicitanten? Of zijn het gewoon bezoekers van je website?

Je hoeft geen namen te noemen, maar de groep moet duidelijk zijn. Hier geef je aan welke soort gegevens je verwerkt.

  • Naam en adres (NAW-gegevens)
  • E-mailadres en telefoonnummer
  • Burgerservicenummer (BSN)
  • Gegevens over gezondheid (bijzondere persoonsgegevens)
  • Financiële gegevens (rekeningnummers)
  • Locatiegegevens (IP-adressen)

Dit zijn vaak standaard dingen, maar ze moeten benoemd worden. Denk aan: Let op: als je gevoelige gegevens verwerkt, zoals gezondheidsdata of strafrechtelijke gegevens, gelden er strengere regels. Je moet dan een Data Protection Impact Assessment (DPIA) uitvoeren.

Maar voor de basis geldt: noem wat je hebt. Je geeft niet alleen aan wat je doet, maar ook aan wie er nog meer bij de data kunnen.

5. Ontvangers: wie krijgt de data?

Dit zijn de 'ontvangers'. Denk aan je boekhouder, een loonverwerker, een cloudprovider zoals Microsoft of Google, of een marketingbureau. Je moet per verwerking aangeven of je data deelt met derde partijen. En als je data doorstuurt naar landen buiten de EU, moet je dat ook melden.

Dat heet 'doorgifte naar derde landen'. Dit is een veelgemaakte fout: gegevens eeuw bewaren. Mag niet.

6. Bewaartermijnen

Je moet per verwerking aangeven hoe lang je de data bewaart. Daarna moeten ze vernietigd of geanonimiseerd worden. Bij sollicitatiebrieven is de bewaartermijn vaak vier weken na de afwijzing, of langer als je toestemming hebt.

Bij klantgegevens voor de belastingdienst is dit zeven jaar. Wees hier helder in en zorg dat je proces dit automatiseert waar mogelijk.

Extra details die het plaatje compleet maken

Hoewel de bovenstaande punten de kern vormen, zijn er nog een paar aanvullende zaken die handig zijn om te noemen.

Beveiligingsmaatregelen

Dit maakt je register nog slimmer en toonbaarder. Hoe beveilig je de data? Je hoeft geen technisch verhaal te schrijven, maar je moet wel aangeven dat je maatregelen neemt. Denk aan versleuteling (encryptie), toegangscontroles (wie heeft een wachtwoord?), en afspraken met medewerkers.

Als je bijvoorbeeld werkt met Microsoft 365, vermeld dan dat je gebruikmaakt van hun beveiligde omgeving. Dit laat zien dat je risico’s inschat.

Verwerkers

Een verwerker is een partij die gegevens voor je verwerkt, maar niet zelf bepaalt waarvoor.

Een externe IT-leverancier is vaak een verwerker. Je moet weten wie dit zijn en een verwerkersovereenkomst met ze sluiten. In je register zet je dus ook de namen van deze verwerkers.

Hoe houd je het bij?

Een verwerkingsregister is geen eenmalig project; het is een levend document waarin je ook je verwerkingsdoelen helder moet formuleren.

Bedrijven veranderen, software wordt vernieuwd en nieuwe wetten komen eraan. Maak er een gewoonte van om het eens per kwartaal of half jaar te checken. Er zijn veel tools te vinden die je helpen, van simpele Excel-sheets tot gespecialiseerde software zoals Privacy Perfect of DigiTrust.

Kies wat bij je past, maar begin vooral gewoon. Zolang het overzichtelijk is en je kunt uitleggen wat er staat, ben je al een heel eind op weg.

De kern van de zaak is simpel: wees transparant. Als je weet wat je met data doet, en dat kunt aantonen, loop je minder risico op boetes en problemen. Het geeft je zelfs een voordeel: klanten vertrouwen je meer als je zorgvuldig omgaat met hun privacy. Dus, pak je notitieblok of open een spreadsheet, en begin vandaag nog. Je hoeft het niet perfect te hebben, maar het moet wel kloppen.

Veelgestelde vragen

Wat precies staat er in een verwerkingsregister?

Een verwerkingsregister is een gedetailleerd logboek van alle handelingen die u verricht met persoonsgegevens binnen uw bedrijf. Dit omvat alles van het verzamelen en opslaan van namen en e-mailadressen, tot het versturen van nieuwsbrieven of het raadplegen van klantgegevens. Het is essentieel om de doelen van elke verwerking te documenteren.

Wat is de functie van een verwerkingsverantwoordelijke?

De verwerkingsverantwoordelijke is de persoon of organisatie binnen uw bedrijf die verantwoordelijk is voor de verwerking van persoonsgegevens. Dit is meestal de eigenaar van het bedrijf, maar in sommige gevallen kan het de functionaris voor de gegevensbescherming (FG) zijn. Het is belangrijk om de naam en contactgegevens van deze persoon duidelijk vast te leggen in het register.

Waarom is een verwerkingsregister verplicht?

Hoewel het niet verplicht is voor bedrijven met minder dan 250 medewerkers, is een verwerkingsregister in de praktijk bijna onontkoombaar. Het is een bewijs dat u uw gegevensbescherming serieus neemt en aan de AVG voldoet. Het is ook het eerste document dat de Autoriteit Persoonsgegevens (AP) zal opvragen bij een controle.

Wat is het doel van een verwerkingsregister?

Het verwerkingsregister dient als een plattegrond van uw data-verwerking. Het helpt u om inzicht te krijgen in welke gegevens u verzamelt, hoe u deze gebruikt en met wie u deze deelt. Dit zorgt voor overzicht en helpt u om te voldoen aan de eisen van de AVG.

Wat is het verschil tussen een verwerkingsregister en een privacybeleid?

Hoewel ze verwant zijn, zijn een verwerkingsregister en een privacybeleid verschillende documenten. Een privacybeleid beschrijft hoe u persoonsgegevens verzamelt en gebruikt, terwijl een verwerkingsregister een gedetailleerd overzicht geeft van *alle* verwerkingen van persoonsgegevens binnen uw organisatie. Het register is dus een meer operationeel document.

Lees ook
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden? Hoe maak je stap voor stap een verwerkingsregister als ZZP'er in 2026? Verwerkingsregister voorbeeld voor een kleine webshop in Nederland Verwerkingsregister voorbeeld voor een freelance marketeer of tekstschrijver Verwerkingsregister voorbeeld voor een kapper of schoonheidssalon Verwerkingsregister voorbeeld voor een kleine boekhouder of administratiekantoor
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkingsregister documentatieplicht

Bekijk alle 38 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden?
Lees verder →