Je hebt een privacyverklaring op je website, je cookies staan goed en je dacht dat je klaar was. Totdat iemand vroeg of je ook een verwerkingsregister bijhoudt. Moet dat dan ook? En is dat niet alleen iets voor grote organisaties met een juridische afdeling?

De Autoriteit Persoonsgegevens ziet het verwerkingsregister als een van de meest basale AVG-verplichtingen en controleert er actief op. Toch laten veel ondernemers, van webshophouder tot zzp’er, het liggen: soms uit onwetendheid, soms omdat het ingewikkeld klinkt. In dit artikel ga je van nul naar een werkend register, in één middag.

Herkenbaar: het register dat er nooit van komt

Stel: je runt een kleine webshop in tuinbenodigdheden. Je verwerkt klantgegevens voor bestellingen, stuurt een nieuwsbrief, werkt met een boekhouder en slaat alles op in de cloud via een Amerikaans platform. Dat zijn minstens vier aparte gegevensstromen. Maar omdat niemand je er ooit op heeft gewezen, staat er nergens iets van opgeschreven.

Of je bent een freelance copywriter. Klantcontacten, facturen, misschien een paar assistenten. Je denkt: ik ben toch veel te klein voor al die AVG-rompslomp. Maar dat is helaas niet altijd zo.

De AP heeft de afgelopen jaren duidelijk gemaakt dat het verwerkingsregister geen papieren tijger is. Bij controles is het een van de eerste documenten waar naar gevraagd wordt. Ontbreekt het, of is het duidelijk verouderd, dan kan dat leiden tot een officiële waarschuwing of erger.

Ben jij verplicht een verwerkingsregister bij te houden?

De AVG kent een uitzondering voor kleine organisaties: bedrijven met minder dan 250 medewerkers hoeven in principe geen verwerkingsregister bij te houden. Maar let op: die uitzondering vervalt zodra aan één van de volgende vier voorwaarden wordt voldaan.

  • Je verwerkt gegevens die een risico vormen voor de rechten en vrijheden van betrokkenen.
  • De verwerking is niet incidenteel, maar structureel (denk aan klantbestanden die je regelmatig bijwerkt).
  • Je verwerkt bijzondere persoonsgegevens, zoals gezondheidsgegevens, religie of politieke opvattingen.
  • Je verwerkt strafrechtelijke gegevens.

In de praktijk betekent dit dat vrijwel elke webshophouder, elke ondernemer met een klantenbestand of nieuwsbrief, en elke ZZP’er die structureel factureert aan particulieren, toch verplicht is. De uitzondering is dus kleiner dan ze op papier lijkt.

Wat de AP minimaal verwacht: negen verplichte onderdelen

Een verwerkingsregister hoeft geen indrukwekkend juridisch document te zijn. De AP schrijft voor dat je per verwerking in ieder geval het volgende vastlegt:

  • De naam en contactgegevens van jouw organisatie (en eventuele vertegenwoordiger).
  • De doeleinden van de verwerking: waarom verwerk je deze gegevens?
  • Een beschrijving van de categorieën betrokkenen: klanten, medewerkers, bezoekers.
  • De categorieën persoonsgegevens: namen, e-mailadressen, betaalgegevens, et cetera.
  • De ontvangers van de gegevens: wie krijgt er toegang, inclusief verwerkers.
  • Eventuele doorgiften aan landen buiten de EU en de waarborgen daarvoor.
  • De bewaartermijnen per categorie.
  • De juridische grondslag van de verwerking.
  • Een algemene beschrijving van de beveiligingsmaatregelen.

Dat klinkt als veel, maar de meeste onderdelen zijn met een paar zinnen in te vullen.

Stap 1: breng je gegevensstroom in kaart (30 minuten)

Begin met een leeg vel papier of een nieuw spreadsheet-tabblad. Stel jezelf drie vragen per onderdeel van je bedrijf: welke persoonsgegevens verwerk ik hier, van wie zijn ze, en waarom heb ik ze?

Een webshophouder komt dan al snel op: klantgegevens voor bestellingen, e-mailadressen voor de nieuwsbrief, gegevens van leveranciers, en misschien gegevens van medewerkers of freelancers. Schrijf elke categorie op als een aparte rij. Dat zijn je verwerkingen.

Stap 2: bepaal de juridische grondslag per verwerking

Elke verwerking heeft een wettelijke basis nodig. Er zijn zes AVG-grondslagen maar voor de meeste ondernemers zijn er vier relevant:

  • Toestemming: de betrokkene heeft expliciet ja gezegd. Gebruik dit voor je nieuwsbrief.
  • Overeenkomst: de verwerking is noodzakelijk om een contract uit te voeren. Gebruik dit voor klantgegevens bij bestellingen.
  • Wettelijke plicht: de wet verplicht je ertoe. Gebruik dit voor je salarisadministratie of belastinggegevens.
  • Gerechtvaardigd belang: jij of een derde heeft een legitiem belang dat zwaarder weegt dan de privacy van de betrokkene. Gebruik dit voorzichtig, en noteer altijd waarom het belang opweegt.

Formuleer concreet in je register: niet “marketing” maar “het versturen van een maandelijkse nieuwsbrief aan klanten die zich actief hebben aangemeld, op basis van toestemming”.

Stap 3: vul de bewaartermijnen in

Dit is waar veel registers vaag blijven. Toch zijn er voor de meest voorkomende gevallen duidelijke richtlijnen:

  • Klantgegevens na afloop van een overeenkomst: doorgaans 7 jaar voor de fiscale bewaarplicht, maar zakelijk gezien kun je gegevens daarna verwijderen.
  • Salarisadministratie en loonadministratie: minimaal 7 jaar na het einde van het kalenderjaar.
  • Sollicitatiebrieven van afgewezen kandidaten: maximaal 4 weken na afronding van de procedure, tenzij je om toestemming vraagt voor een langere periode.
  • Nieuwsbriefabonnees: zolang ze zijn ingeschreven, plus een redelijke periode voor verificatie na uitschrijving.

Noteer in je register een concrete termijn per verwerking, geen vage formuleringen als “zo lang als nodig”.

Stap 4: voeg je verwerkers toe

Een verwerker is elke partij die namens jou persoonsgegevens verwerkt. Denk aan je e-mailmarketingplatform, je boekhoudsoftware in de cloud, je hostingprovider of een extern callcenter. Als zo’n partij toegang heeft tot persoonsgegevens van jouw klanten of medewerkers, hoort die in je register.

Noteer per verwerker de naam van de organisatie, wat ze doen met de gegevens en of er een verwerkersovereenkomst is gesloten (die is verplicht). Werk je met een Amerikaans platform zoals Mailchimp of Google Workspace, noteer dan ook op basis waarvan de doorgifte buiten de EU plaatsvindt, zoals standaard contractbepalingen.

Stap 5: kies je format

Er is geen wettelijk voorgeschreven format. Wat je kiest, hangt af van je situatie:

  • Spreadsheet (Excel of Google Sheets): goed voor zzp’ers en kleine mkb’ers. Maak kolommen voor alle negen verplichte onderdelen en vul per rij een verwerking in. Eenvoudig te delen en bij te houden.
  • AVG-software of privacytool: handig als je meerdere medewerkers hebt, of als je het register wilt koppelen aan andere privacydocumenten. Kost geld, maar bespaart structuurwerk.
  • Word-document: werkt voor heel kleine organisaties met weinig verwerkingen, maar wordt snel onoverzichtelijk bij meer dan vijf rijen.

Het register bijhouden na de eerste versie

Een register dat je één keer maakt en daarna vergeet, voldoet niet aan de AVG. Je moet het actueel houden. Praktisch gezien werkt het om een jaarlijkse reviewmoment in te plannen, bijvoorbeeld elke januari. Daarnaast pas je het register direct aan als je een nieuwe tool in gebruik neemt, een nieuwe dienst lanceert of stopt met een verwerking.

Zet een herinnering in je agenda. Koppel het aan iets wat je toch al doet, zoals het verlengen van je domein of het opstellen van je jaarrekening.

Fouten die de AP bij controles tegenkomt

De AP noemt een aantal terugkerende problemen:

  • Doelomschrijvingen die te vaag zijn, zoals “zakelijke doeleinden” of “intern gebruik”.
  • Verwerkers die ontbreken, terwijl er wel een verwerkersovereenkomst is gesloten.
  • Registers die drie of vier jaar niet zijn bijgewerkt, terwijl de organisatie ondertussen nieuwe software is gaan gebruiken.
  • Bewaartermijnen die ontbreken of onrealistisch vaag zijn geformuleerd.

Hulp nodig? Dit zijn je opties

De AP biedt op haar website een modelregister aan en heeft een zelfcheck beschikbaar waarmee je kunt bepalen welke verwerkingen je moet vastleggen. Dat zijn goede startpunten voor wie zelf aan de slag gaat.

Is je situatie complexer, bijvoorbeeld omdat je gezondheidsgegevens verwerkt, werkt met kwetsbare doelgroepen of meerdere internationale verwerkers hebt, dan is het verstandig een privacy-adviseur in te schakelen. Niet voor het hele register, maar voor een review nadat je zelf een eerste versie hebt gemaakt. Dat scheelt kosten en levert toch een professioneel eindresultaat op.

Een verwerkingsregister opzetten vraagt geen juridische kennis of dure software. Je brengt je gegevensstromen in kaart, kiest een verwerkingsgrondslag, vult bewaartermijnen in en voegt je verwerkers toe. Dat is wat de Autoriteit Persoonsgegevens als startpunt verwacht.

Begin met een spreadsheet en één verwerking. De rest bouw je stap voor stap uit. Wachten tot het uitkomt heeft geen zin: het register moet er gewoon zijn, en een middag werk is genoeg om iets werkbaars neer te zetten.