---
title: "AVG Verwerkingsregister"
url: https://mkbjuristen.nl/contracten/avg-verwerkingsregister/
date: 2018-06-24
modified: 2026-05-26
author: "denian@mkbrecht.nl"
description: "Wat is een AVG verwerkingsregister? Een AVG verwerkingsregister — ook verwerkingsactiviteitenregister of register van verwerkingsactiviteiten — is het interne document waarin een organisatie vastlegt welke persoonsgegevens zij verwerkt, voor welk..."
word_count: 1120
---

# AVG Verwerkingsregister

## Wat is een AVG verwerkingsregister?

Een **AVG verwerkingsregister** — ook verwerkingsactiviteitenregister of register van verwerkingsactiviteiten — is het interne document waarin een organisatie vastlegt welke persoonsgegevens zij verwerkt, voor welk doel, op welke rechtsgrond, hoe lang en met wie ze worden gedeeld. Het register is verplicht op grond van artikel 30 van de Algemene Verordening Gegevensbescherming (AVG) en vormt de kern van de verantwoordingsplicht — de verplichting van elke organisatie om te kunnen aantonen dat zij de AVG naleeft. De Autoriteit Persoonsgegevens (AP) kan bij een controle of onderzoek het verwerkingsregister opvragen en het ontbreken of de onvolledigheid ervan beschouwen als bewijs van structurele non-compliance. De boetes die de AP oplegt voor AVG-overtredingen kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Een verwerkingsregister is dan ook geen papieren exercitie maar een essentieel compliance-instrument.

*Onze advocaten stellen voor uw organisatie een volledig en actueel AVG verwerkingsregister op dat aansluit bij uw bedrijfsprocessen, uw branche en de actuele interpretatie van de AP — en dat u beschermt bij een AVG-controle, een datalek of een klacht van een betrokkene.*

## Wanneer bent u verplicht een verwerkingsregister bij te houden?

De verplichting tot het bijhouden van een verwerkingsregister geldt voor vrijwel elke organisatie. Op grond van artikel 30 lid 5 AVG zijn organisaties met minder dan 250 medewerkers in beginsel vrijgesteld, maar die vrijstelling geldt niet als de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkenen, de verwerking niet incidenteel is, of de organisatie bijzondere categorieën persoonsgegevens of strafrechtelijke gegevens verwerkt. In de praktijk betekent dit dat **vrijwel elke organisatie** een verwerkingsregister moet bijhouden. U verwerkt niet incidenteel zodra u structureel klantgegevens, personeelsgegevens of leveranciersgegevens verwerkt — wat elke ondernemer doet. Bijzondere categorieën persoonsgegevens — gezondheidsgegevens, biometrische gegevens, gegevens over ras of geloof — zijn al aanwezig zodra u personeelsdossiers bijhoudt over ziektemeldingen. De AP bevestigt dat de praktische uitzondering voor kleine organisaties minimaal is. Onze advocaten beoordelen voor u welke verwerkingen u moet registreren.

## Wat moet er in een verwerkingsregister staan?

Artikel 30 AVG schrijft voor welke informatie het verwerkingsregister minimaal moet bevatten. Als **verwerkingsverantwoordelijke** legt u vast: de naam en contactgegevens van de verwerkingsverantwoordelijke en — indien aangesteld — de functionaris voor gegevensbescherming (FG), de doeleinden van elke verwerking, een beschrijving van de categorieën betrokkenen en persoonsgegevens, de categorieën ontvangers aan wie de gegevens worden verstrekt, de verwachte bewaartermijnen en — indien van toepassing — de doorgifte van gegevens naar landen buiten de EER met de bijbehorende passende waarborgen. Als **verwerker** legt u vast: uw naam en contactgegevens, de naam van de verwerkingsverantwoordelijken voor wie u verwerkt, de categorieën verwerkingen die u namens hen uitvoert en de beveiligingsmaatregelen. Een goed verwerkingsregister gaat verder dan deze minimale elementen: het bevat ook de rechtsgrond voor elke verwerking — toestemming, overeenkomst, wettelijke verplichting, gerechtvaardigd belang — en de resultaten van eventuele gegevensbeschermingseffectbeoordelingen (DPIA's). Onze advocaten zorgen ervoor dat uw register voldoet aan de AVG-vereisten én bruikbaar is als compliance-instrument.

## Hoe inventariseert u welke verwerkingen in het register moeten worden opgenomen?

De **verwerkingsinventarisatie** is de meest tijdrovende stap bij het opstellen van een verwerkingsregister. U moet per bedrijfsproces analyseren welke persoonsgegevens worden verwerkt. De meest voorkomende verwerkingscategorieën zijn personeelsbeheer — arbeidsovereenkomsten, loonadministratie, ziekte en re-integratie, functioneringsgesprekken — klantrelatiebeheer — CRM-systemen, offertes, facturen, klantenservice — leveranciersbeheer, marketing en communicatie — nieuwsbrieven, sociale media, cookies en analyticstools — fysieke en digitale beveiliging — camerabewaking, toegangscontrole, computerbewaking — en financiële administratie. Voor elke categorie moet u per verwerking de doeleinden, de betrokken persoonsgegevens, de rechtsgrond, de bewaartermijn en de eventuele verwerkers identificeren. Onze advocaten begeleiden uw organisatie door de inventarisatiefase en zorgen ervoor dat alle verwerkingen compleet zijn gedocumenteerd.

## Hoe regelt u de verwerkersovereenkomsten die samenhangen met het register?

Het verwerkingsregister staat niet op zichzelf: het is nauw verbonden met de **verwerkersovereenkomsten** die u moet sluiten met alle partijen die namens u persoonsgegevens verwerken. Elke cloudapplicatie die klantgegevens of personeelsgegevens opslaat — uw boekhoudpakket, uw CRM, uw HR-systeem, uw e-maildienst, uw website-hostingprovider — is een verwerker waarmee u een verwerkersovereenkomst moet hebben op grond van artikel 28 AVG. Uw verwerkingsregister moet de verwerkers per verwerkingsactiviteit benoemen. Ontbreekt een verwerkersovereenkomst met een van uw verwerkers, dan loopt u het risico dat de AP u aansprakelijk stelt voor een AVG-overtreding die de verwerker begaat. Onze advocaten stellen voor u zowel het verwerkingsregister als de bijbehorende verwerkersovereenkomsten op en zorgen ervoor dat ze op elkaar zijn afgestemd.

## Hoe houdt u het verwerkingsregister actueel?

Een verwerkingsregister dat bij opstelling compleet is maar nooit wordt bijgewerkt, biedt bij een controle of datalek geen bescherming. De AVG vereist dat het register een **actuele weergave** is van alle verwerkingen. Dit betekent dat u het register moet updaten bij elke nieuwe applicatie of systeem die persoonsgegevens verwerkt, bij elke nieuwe categorie verwerking die u start, bij wijzigingen in bewaartermijnen of ontvangers, bij het beëindigen van verwerkingen, en bij organisatiewijzigingen die de verwerkingsverantwoordelijke of de FG raken. Een jaarlijkse review is het absolute minimum. Praktisch: wijs intern een verantwoordelijke aan voor het onderhoud van het register en maak het updaten van het register onderdeel van uw processen voor nieuwe leveranciers en nieuwe systemen. Onze advocaten adviseren u over een beheerstructuur voor uw verwerkingsregister en stellen een update-procedure op.

## Wat zijn de meest gemaakte fouten bij AVG verwerkingsregisters?

In de praktijk zien onze advocaten bij organisaties steeds dezelfde tekortkomingen. De eerste is een **register dat alleen de meest voor de hand liggende verwerkingen bevat** en marketingtools, beveiligingscamera's en externe HR-systemen mist. De tweede is het **ontbreken van de rechtsgrond per verwerking**, waardoor het register formeel voldoet aan artikel 30 maar niet kan worden gebruikt om te verdedigen dat de verwerking rechtmatig is. De derde is een **onjuiste bewaartermijn** die afwijkt van de wettelijke bewaarplichten — artikel 52 AWR schrijft zeven jaar voor financiële administratie, de AVG schrijft kortere termijnen voor bij persoonsgegevens. De vierde is het **ontbreken van een link naar de verwerkersovereenkomsten** per verwerking, waardoor de samenhang tussen register en verwerkersstructuur niet aantoonbaar is. De vijfde is een register dat **niet is bijgewerkt na een bedrijfsovername, fusie of nieuwe applicatie**. En de zesde is het **register dat niet aansluit bij het privacybeleid** en de privacyverklaring die aan betrokkenen zijn verstrekt.

## Hoe werkt het bij MKBjuristen?

Na een korte intake brengen onze advocaten uw bedrijfsprocessen, uw applicatielandschap en uw bestaande AVG-documentatie in kaart. Op basis van een verwerkingsinventarisatie stellen wij voor u een **AVG verwerkingsregister** op dat volledig is, de juiste rechtsgronden bevat, aansluit bij de wettelijke bewaartermijnen en is afgestemd op uw verwerkersovereenkomsten. Wij leveren ook een beheerprotocol waarmee u het register actueel houdt. Heeft u een bestaand verwerkingsregister dat u wilt laten controleren op volledigheid en actualiteit? Dan beoordelen wij dat op alle AVG-vereisten en stellen wij de benodigde aanvullingen op.