Leesbaarheid:

Verwerkingsregister bijhouden

Deze informatie is geplaatst door: Antwoord voor bedrijven

Verwerkt uw bedrijf persoonsgegevens? Dan moet u kunnen laten zien dat u aan de privacywetgeving voldoet. Dat laat u zien met een verwerkingsregister.

Verwerkt uw bedrijf persoonsgegevens? Zoals het bewaren, gebruiken of delen van bijvoorbeeld namen, adresgegevens en telefoonnummers? Dan heeft u een verantwoordingsplicht. U moet kunnen laten zien dat u aan de privacywetgeving, de Algemene verordening gegevensbescherming AVG), voldoet. Een verwerkingsregister is mogelijk verplicht voor u. De toezichthouder Autoriteit Persoonsgegevens kan dit controleren.

Hoe houdt u zich aan de AVG?

In de privacywetgeving (AVG) staan een aantal maatregelen waaraan u zich moet houden:

 • Een verwerkingsregister bijhouden
 • Een data protection impact assessment (DPIA) doen bij een hoog privacyrisico
 • Een register bijhouden van datalekken
 • Aantonen dat er toestemming is gegeven voor de verwerking van de persoonsgegevens
 • Onderbouwen waarom u wel/niet een Functionaris voor de gegevensbescherming heeft

Is een verwerkingsregister verplicht?

Of een verwerkingsregister AVG voor u verplicht is, heeft te maken met het soort gegevens dat uw bedrijf verwerkt en hoe groot uw bedrijf is.

Werken er meer dan 250 mensen in uw bedrijf? Dan moet u een verwerkingsregister bijhouden.

Werken er minder dan 250 mensen in uw bedrijf? Dan hoeft u geen verwerkingsregister bij te houden.

Let op: in de volgende situaties moet u ook bij minder dan 250 medewerkers een verwerkingsregister bijhouden:

 • Het verwerken van persoonsgegevens gebeurt vaak.
 • Het verwerken van persoonsgegevens heeft een hoog risico voor de rechten en vrijheden van de betrokken personen.
 • U verwerkt bijzondere persoonsgegevens. (Bijvoorbeeld gegevens over gezondheid, religie, politieke voorkeur of strafrechtelijke gegevens)

Bent u verplicht een verwerkingsregister bij te houden? Dan moet u dit kunnen laten zien als de toezichthouder Autoriteit Persoonsgegevens dat vraagt.

Wat staat er in het verwerkingsregister?

In het verwerkingsregister staat informatie over persoonsgegevens die u verwerkt. U mag zelf weten hoe u het verwerkingsregister opstelt. Volgens de privacywet moet er in ieder geval het volgende in een verwerkingsregister staan:

 • De naam en contactgegevens van uw bedrijf.
 • Eventuele andere organisaties waarmee u bepaalt welke gegevens u verwerkt en hoe.
 • Wie de functionaris voor de gegevensbescherming (FG) is (als u die heeft).
 • Het doel van de gegevensverwerking.
 • Een beschrijving van de personen van wie u gegevens verwerkt.
 • Een beschrijving van de soort gegevens.
 • De datum waarop u de gegevens moet wissen.
 • Met welke organisaties u de persoonsgegevens deelt en of dit organisaties buiten de EU zijn.
 • Een beschrijving van de maatregelen om de persoonsgegevens te beveiligen.

Voorbeeld verwerkingsregister

Er bestaat geen standaard model van een verwerkingsregister. U mag zelf bepalen hoe u het verwerkingsregister opstelt. Volgens de privacywet moeten de bovenstaande punten in ieder geval in een verwerkingsregister staan. Zoekt u een voorbeeld van een verwerkingsregister voor uw bedrijf? Informeer dan bij uw brancherorganisatie.

Verwerker moet ook verwerkingsregister bijhouden

Bent u niet de organisatie die bepaalt waarom en hoe de persoonsgegevens worden gebruikt (de verwerkingsverantwoordelijke)? Maar verwerkt u persoonsgegevens in opdracht van een andere organisatie (de verwerker)? Dan moet u ook een verwerkingsregister bijhouden.

Privacyverklaring

Als u persoonsgegevens verwerkt heeft u naast een verantwoordingsplicht ook een informatieplicht. U moet uw klanten laten weten wat u met hun persoonsgegevens doet. Dat kunt u doen met een privacyverklaring.