Zo maak je een AVG verwerkingsregister
- KVK Redactie
- De basis
- Bijgewerkt 13 maart 2025
- 3 min
- Wetten en regels
Werk je met persoonsgegevens, dan heb je te maken met privacywet AVG. Volgens die wet moet je een verwerkingsregister maken. In dat register staat welke gegevens je gebruikt en waarom je dat doet.
Inzicht in verzekeringen
De KVK Verzekeringscheck helpt je je verzekeringen te kiezen
Persoonsgegevens zijn gegevens die iets over iemand zeggen. Denk daarbij aan een naam, adres en telefoonnummer. Maar ook aan klant- en personeelsnummers, aankoopgedrag op internet en video- en geluidsopnames waarop een persoon herkenbaar is.Â
Verwerkingsregister is verplicht
Volgens de AVG moet je je aan een aantal regels houden als je met persoonsgegevens werkt. Â Zo moet je bijvoorbeeld een privacyverklaring opstellen, de gegevens die je verzamelt goed beveiligen en een verwerkingsregister bijhouden. Dat register helpt je om te laten zien dat je aan de AVG-regels voldoet.
Een verwerkingsregister is verplicht. Als je geen register hebt, of dat voldoet niet aan de eisen, kan de Autoriteit Persoonsgegevens je een geven. De hoogte van de boete hangt af van de overtreding.
Zo maak en onderhoud je een verwerkingsregister
In een verwerkingsregister leg je vast welke persoonsgegevens je verwerkt met welk doel. Je bewaart dus geen namen en adressen van klanten in je register.
Er is geen vaste vorm waarin je het verwerkingsregister moet maken. Je mag zelf bepalen hoe je het verwerkingsregister opstelt. Sommige brancheorganisaties hebben een voorbeeld van een verwerkingsregister dat je als basis kan gebruiken.Â
Volgens de privacywet moet het verwerkingsregister in ieder geval bestaan uit de volgende punten:Â
- De gegevens van de persoon die bepaalt welke persoonsgegevens je bedrijf voor welk doel verzamelt: de verwerkingsverantwoordelijke. Dat kun je zelf zijn of bijvoorbeeld je besloten vennootschap (bv).Â
- De doelen waarvoor je de persoonsgegevens verwerkt. Je bepaalt die doelen voordat je begint met het verwerken van persoonsgegevens. Bijvoorbeeld het bezorgen van producten, de werving en selectie van personeel of direct marketing.
- Je beschrijft de groep personen van wie je gegevens verwerkt, zoals klanten of medewerkers. Dat zijn de ‘betrokkenen’.
- In het register neem je voor ieder doel op welke soort persoonsgegevens je verwerkt. Bijvoorbeeld naam, adres, woonplaats en internetadres.
- Je beschrijft of en wie er nog meer persoonsgegevens ontvangt. Verstuur je bestellingen bijvoorbeeld via een pakketdienst? Dan deel je persoonsgegevens van de klant met de postleverancier.
- Je legt vast met welke je de persoonsgegevens beveiligt. Een voorbeeld van een beveiligingsmaatregel is het instellen van multifactor authenticatie voor documenten of je laptop.
- Sommige persoonsgegevens moet je wettelijk een aantal jaren . Zo moet je de financiële administratie bijvoorbeeld 7 jaar bewaren voor de Belastingdienst. Als je gegevens verwerkt waarvoor geen wettelijke bewaartermijn geldt, bewaar de gegevens dan niet langer dan nodig is. Zet dan in je verwerkingsregister dat je de gegevens verwijdert op het moment dat je ze niet meer nodig hebt.
- Als je de persoonsgegevens deelt met bedrijven of organisaties buiten de EU, zet je dat in het verwerkingsregister. Bijvoorbeeld als je software gebruikt van een bedrijf buiten de EU voor het sturen van nieuwsbrieven.
Als je nieuwe persoonsgegevens gaat verwerken, moet je het register aanpassen. Bijvoorbeeld wanneer je een nieuw bedrijfsproces start, zoals het sturen van nieuwsbrieven. Zo houd je het verwerkingsregister actueel en blijf je voldoen aan de privacywetgeving.
AVG: verwerkingsregister
Niet verplicht, wel verstandig
Iedere keer als je persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag je alleen persoonsgegevens verwerken als je zonder deze gegevens je doel niet kunt bereiken. Dat betekent dat je een goede reden moet hebben om persoonsgegevens te verwerken: een juridische . Die grondslagen staan in de wet.
Een voorbeeld van een grondslag is ‘uitvoering van een overeenkomst’. Dat geldt bijvoorbeeld als je gegevens van een klant nodig hebt om een bestelling te bezorgen.
Een juridische grondslag voor het verzamelen van persoonsgegevens is een AVG-verplichting. Maar het is niet verplicht dat in het verwerkingsregister te vermelden. Toch is het verstandig de grondslagen daar ook te noteren. Zo weet je zeker dat je voldoet aan de AVG-verplichting om een juridische grondslag te hebben voor het verzamelen van persoonsgegevens.
Voorbeeld verwerkingsregister
Verwerkingsverantwoordelijke:
Alex Computershop
Alex van de Kamer
alex@computershop.nl - 06-12345678
Verwerkinggegevens van klanten
| Â | Verkoop via webshop | Verzenden nieuwsbrief |
|---|---|---|
| Doel | Leveren van bestelling, nakomen overeenkomst | Informeren over aanbiedingen |
| Betrokkenen | Klanten | Klanten |
| Soort gegevens | Naam, adres, e-mailadres, telefoonnummer en betalingsgegevens | E-mailadres |
| Ontvangers | Postbedrijf, hostingprovider, Payment Service Provider | Nieuwsbrief- systeem |
| Grondslag | Uitvoering overeenkomst | Toestemming |
| Bewaar- termijn | Fiscale bewaarplicht, 7 jaar | Tot afmelding klant |
| Beveiligings- maatregelen | Beveiligingssoftware, SSL | Via beveiligde mailserver |
Verwerkinggegevens van medewerkers en leveranciers
| Â | Loon uitbetalen medewerker | Inkoop |
|---|---|---|
| Doel | Loon uitbetalen, administratieplicht | Inkopen nieuw materiaal, onderhouden contact |
| Betrokkenen | Medewerkers | Leveranciers |
| Soort gegevens | Adresgegevens, bankgegevens, BSN, kopie ID, gegevens arbeidsovereenkomst | Telefoonnummer en e-mailadres |
| Ontvangers | LoonadministratieÂkantoor | n.v.t. |
| Grondslag | Uitvoering overeenkomst | Uitvoering overeenkomst |
| Bewaar- termijn | Fiscale bewaarplicht, 7 jaar | Fiscale bewaarplicht, 7 jaar |
| Beveiligings- maatregelen | Via beveiligd loon- uitbetalingssysteem | Multifactor Authenticatie |
