Juridische kennisbank
/
/
Wegwijzer voor het opstellen van een register van verwerkingsactiviteiten

Wegwijzer voor het opstellen van een register van verwerkingsactiviteiten

Inhoud

Ben je op zoek naar een praktisch voorbeeld van een register van verwerkingsactiviteiten? Je bent niet de enige. Veel organisaties worstelen met het opstellen van dit document dat onder de AVG verplicht is. Toch is dit register essentieel: het biedt inzicht in welke persoonsgegevens worden verwerkt, met welk doel en wie daarbij betrokken zijn. 

In dit artikel leggen we uit wanneer je zo’n register nodig hebt en bespreken we welke elementen zeker niet mogen ontbreken.

Wat is een register van verwerkingsactiviteiten?

Een register van verwerkingsactiviteiten is een overzicht waarin organisaties bijhouden welke persoonsgegevens ze verwerken. Dit document laat zien wat er gebeurt met de gegevens die je als bedrijf verzamelt of gebruikt. Zowel de verwerkingsverantwoordelijke als de verwerker moet zo’n register bijhouden, tenzij er een uitzondering geldt.

In zo’n register noteer je bijvoorbeeld welke soorten gegevens worden verwerkt, waarom je deze gegevens nodig hebt en wie toegang heeft tot de gegevens. Denk aan namen, adressen of klantnummers, maar ook meer gevoelige informatie.

De volgende zaken komen vaak voor in een register van verwerkingsactiviteiten:

Onderdeel Beschrijving
Categorieën van persoonsgegevens Wat voor gegevens worden verwerkt?
Doeleinden van de verwerking Waarvoor worden deze gegevens gebruikt?
Ontvangers van de gegevens Met wie worden de gegevens gedeeld?
Bewaartermijnen Hoelang worden de gegevens bewaard?
Beveiligingsmaatregelen Hoe worden de gegevens beschermd?

Dit document is niet alleen nuttig voor het bedrijf, maar moet ook kunnen worden voorgelegd als de Autoriteit Persoonsgegevens erom vraagt.

Wanneer heb je een register van verwerkingsactiviteiten nodig?

Iedere organisatie die persoonsgegevens verwerkt, moet volgens de AVG (Algemene Verordening Gegevensbescherming) nadenken over een register van verwerkingsactiviteiten. Dit register helpt om overzicht te houden en vergroot de transparantie van de verwerking.

Meestal ben je verplicht om een verwerkingsregister aan te maken, zeker als je structureel met persoonsgegevens werkt. Werk je in een organisatie met meer dan 250 werknemers? Dan is een verwerkingsregister sowieso verplicht. Ook kleinere organisaties met minder dan 250 medewerkers moeten een register bijhouden als ze gevoelige gegevens verwerken of als hun gegevensverwerkingen niet incidenteel zijn.

Het bijhouden van een verwerkingsregister is dus verplicht in de volgende situaties:

  • Structurele of regelmatige verwerking van persoonsgegevens
  • Verwerkingen die een risico vormen voor de rechten en vrijheden van betrokkenen
  • Verwerking van bijzondere of gevoelige persoonsgegevens (zoals medische gegevens)

Het register van verwerkingsactiviteiten hoort interne informatie te bevatten over welke persoonsgegevens worden verwerkt, met welk doel en met wie deze gegevens gedeeld worden.

Wat moet er worden opgenomen in een register van verwerkingsactiviteiten?

Een register van verwerkingsactiviteiten moet een duidelijk overzicht geven van welke persoonsgegevens worden verwerkt, waarom dat gebeurt en wie erbij betrokken zijn.

De volgende onderdelen zijn onmisbaar in het register:

  • Naam en contactgegevens van de verwerkingsverantwoordelijke (bijvoorbeeld het bedrijf) en eventuele verwerkers.
  • Doelen van de verwerking: Leg kort uit waarvoor je de persoonsgegevens gebruikt, zoals klantbeheer, marketing of personeelsadministratie.
  • Categorieën van betrokkenen: Geef aan van wie je gegevens verwerkt, bijvoorbeeld klanten, medewerkers of leveranciers.
  • Soorten persoonsgegevens: Specificeer welke gegevens je verwerkt, zoals namen, adressen, telefoonnummers of e-mailadressen.
  • Ontvangers of ontvangerscategorieën: Noteer aan wie de gegevens eventueel worden verstrekt, zoals externe dienstverleners of partners.

Vergeet ook deze punten niet:

  • Doorgifte aan derde landen: Geef aan of je persoonsgegevens buiten de EU deelt en noem de betrokken landen.
  • Bewaartermijnen: Geef per specifiek verwerkingsdoel aan hoelang je de persoonsgegevens bewaart.
  • Beveiligingsmaatregelen: Beschrijf kort welke technische en organisatorische maatregelen je neemt om persoonsgegevens te beschermen.

Hieronder vind je een overzicht van hoe een deel van een register eruit zou kunnen zien:

Onderdeel Voorbeeld
Doel verwerking Klantbeheer
Categorie betrokkenen Klanten
Soorten gegevens Naam, e-mail, telefoon
Ontvanger IT-dienstverlener
Bewaartermijn 2 jaar na einde dienstverlening

Wanneer heb je een register van verwerkingsactiviteiten en een privacyverklaring nodig?

Volgens de AVG zijn organisaties die structureel persoonsgegevens verwerken, zoals werknemersgegevens of klantdata, verplicht om een register van verwerkingsactiviteiten bij te houden. Heb je minder dan 250 medewerkers in dienst en verwerk je alleen incidenteel persoonsgegevens? Dan zijn er uitzonderingen, maar in de praktijk heeft bijna elke organisatie toch een register nodig. Denk hierbij aan een eenmanszaak met klantenbestanden - ook in deze situatie wordt een verwerkingsregister aangeraden.

Een privacyverklaring is echter verplicht zodra je persoonsgegevens verwerkt van klanten, websitebezoekers of medewerkers. Dit laat aan betrokkenen zien welke gegevens je verzamelt, waarom je dit doet, en hoe je die gegevens beschermt.

Hieronder vind je een kort overzicht:

Register van verwerkingsactiviteiten Privacyverklaring
Intern document Richt zich op betrokkenen
Overzicht van welke data, waarom, door wie Duidelijkheid over verwerking en rechten van betrokkenen
Bijna altijd verplicht onder de AVG Altijd verplicht bij verwerking van persoonsgegevens

Je hoeft geen privacyverklaring te maken als je geen persoonsgegevens verwerkt. Doe je dit wel, dan is het slim om meteen beide documenten goed op te stellen.

Belangrijkste punten

Een register van verwerkingsactiviteiten is verplicht onder de AVG en geeft duidelijkheid over welke persoonsgegevens je verwerkt, met welk doel en met wie je ze deelt. 

Het register bevat verplichte onderdelen zoals contactgegevens, verwerkingsdoelen, gegevenscategorieën en bewaartermijnen. 

Het helpt niet alleen om aan de wet te voldoen, maar biedt ook intern een overzicht en inzicht in mogelijke knelpunten. 

Zo toon je aan dat je zorgvuldig en veilig met persoonsgegevens omgaat.

Veelgestelde vragen

Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker? 

Een verwerkingsverantwoordelijke is de partij die bepaalt waarom en hoe persoonsgegevens worden verwerkt. Dit is meestal de organisatie die het doel en de middelen van de verwerking vaststelt. Een verwerker daarentegen verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke en handelt alleen volgens diens instructies. De verwerkingsverantwoordelijke draagt de eindverantwoordelijkheid voor de verwerking, terwijl de verwerker verplicht is passende beveiligingsmaatregelen te treffen en een verwerkersovereenkomst af te sluiten.

Wat is het verschil tussen een verwerkingsregister en een privacyverklaring?

Een verwerkingsregister is een intern document dat organisaties moeten bijhouden volgens de AVG en waarin zij gedetailleerd vastleggen welke persoonsgegevens zij verwerken, voor welk doel, op welke grondslag, hoelang ze deze bewaren en met wie ze die gegevens delen. Een privacyverklaring daarentegen is een extern document dat bedoeld is voor betrokkenen (zoals klanten of werknemers) en waarin op transparante wijze wordt uitgelegd welke persoonsgegevens worden verzameld, waarom dat gebeurt, welke rechten betrokkenen hebben en hoe zij die kunnen uitoefenen. Het verwerkingsregister is dus voor intern toezicht en verantwoording, terwijl de privacyverklaring bedoeld is voor externe communicatie en transparantie.

Wat is incidentele gegevensverwerking?

Incidentele gegevensverwerking verwijst naar het eenmalig of sporadisch verwerken van persoonsgegevens, vaak buiten de reguliere bedrijfsactiviteiten om. Dit kan bijvoorbeeld het geval zijn bij een eenmalige klanttevredenheidsenquête, een tijdelijke campagne of het afhandelen van een datalek. Omdat het geen structurele of grootschalige verwerking betreft, gelden sommige verplichtingen onder de AVG in beperktere mate. Maar ook bij incidentele verwerking moeten organisaties zorgvuldig omgaan met persoonsgegevens en voldoen aan de basisprincipes van de privacywetgeving.

Moet een mkb een verwerkingsregister bijhouden?

Ja, ook een mkb (midden- en kleinbedrijf) moet in principe een verwerkingsregister bijhouden als het persoonsgegevens verwerkt, tenzij het gaat om incidentele verwerkingen met weinig risico voor de privacy van betrokkenen. Zodra een mkb-bedrijf structureel persoonsgegevens verwerkt, zoals bij personeelsadministratie, klantenbeheer of marketingactiviteiten, of gevoelige gegevens zoals medische informatie of strafrechtelijke gegevens, is het verplicht om een verwerkingsregister bij te houden.

Hoelang moet je een verwerkingsregister bijhouden?

Een verwerkingsregister moet worden bijgehouden en bewaard zolang de daarin beschreven persoonsgegevens worden verwerkt. De AVG maakt geen melding van een specifieke bewaartermijn, maar het register moet altijd actueel zijn en beschikbaar zijn voor de toezichthouder (zoals de Autoriteit Persoonsgegevens) op het moment dat daarom wordt gevraagd. Zolang de betreffende verwerkingen plaatsvinden, moet het register dus worden bijgehouden en regelmatig worden bijgewerkt bij wijzigingen in processen, systemen of doelen van de verwerking. Zodra een verwerking stopt, kan de betreffende registratie worden gearchiveerd of verwijderd, mits dit verantwoord gebeurt.

Wie houdt binnen een bedrijf het verwerkingsregister bij?

Binnen een bedrijf draagt de verwerkingsverantwoordelijke de eindverantwoordelijkheid voor het bijhouden van het verwerkingsregister. In de praktijk wordt deze taak echter vaak gedelegeerd aan een functionaris voor gegevensbescherming (FG), een privacy officer of iemand binnen HR, IT of juridische zaken. Het is belangrijk dat degene die het register bijhoudt voldoende inzicht heeft in de gegevensverwerkingen binnen de organisatie, zodat het register volledig en actueel blijft. In kleinere bedrijven kan deze taak ook bij de directeur of een administratief medewerker liggen, zolang de AVG-verplichtingen maar worden nageleefd.

Veelgestelde vragen

No items found.
Maak juridische documenten snel en makkelijk
Geen dure advocaten meer nodig – juridisch goedgekeurde documenten zelf maken
Altijd en overal ter wereld te gebruiken
Up-to-date gepersonaliseerde juridische documenten
Document maken
Sluit voorbeeld
Document Popup Title
Dit is een voorbeeld. Het uiteindelijke document wordt aangepast op basis van de informatie die je in de volgende stappen verstrekt.
Document maken