Gratis register verwerkingsactiviteiten (art. 30 AVG)
Onder de AVG ben je verplicht een register bij te houden van alle verwerkingen van persoonsgegevens — het hart van je verantwoordingsplicht. Met dit sjabloon documenteer je elk doel, elke gegevenscategorie en elke beveiligingsmaatregel volgens art. 30 AVG. Direct als PDF te downloaden.
| NAAM ORGANISATIE | Bouwgroep Lemmens B.V. |
| KVK-NUMMER | 34123456 |
| ADRES | Westeinde 200, 9722 BN Groningen |
| FUNCTIONARIS GEGEVENSBESCHERMING | Hr. T. Visser |
| E-MAIL FG | fg@bouwgroeplemmens.nl |
| VERTEGENWOORDIGER EU (INDIEN VAN TOEPASSING) | n.v.t. (binnen EU gevestigd) |
| VERSIE · INGANGSDATUM | 3.2 · 15 mei 2026 |
1.2 Voor verwerkers geldt een vergelijkbare verplichting in art. 30 lid 2 AVG.
1.3 Vrijstelling geldt voor organisaties met < 250 werknemers, tenzij: de verwerking waarschijnlijk een risico inhoudt voor betrokkenen, niet incidenteel is, of bijzondere gegevens (art. 9 AVG) of strafrechtelijke gegevens (art. 10 AVG) betreft. In de praktijk vallen vrijwel alle ondernemingen onder de plicht.
- (a) Naam en contactgegevens verwerkingsverantwoordelijke en FG;
- (b) Doeleinden van de verwerking;
- (c) Categorieën betrokkenen en categorieën persoonsgegevens;
- (d) Categorieën ontvangers, inclusief in derde landen of internationale organisaties;
- (e) Doorgiften naar derde landen, met identificatie van het land en passende waarborgen;
- (f) Voorgenomen termijnen voor verwijdering van verschillende gegevenscategorieën;
- (g) Algemene beschrijving technische en organisatorische beveiligingsmaatregelen (art. 32 AVG).
Per activiteit worden alle elementen uit clausule 2 vastgelegd. Dit register geldt als de canonieke bron; andere documenten (privacyverklaring, verwerkersovereenkomsten) verwijzen ernaar.
Bewaartermijnen worden bepaald per gegevenscategorie en zijn afgestemd op (a) wettelijke bewaartermijnen (bijv. art. 52 AWR boekhouding 7 jaar; art. 7:454 BW WGBO 20 jaar; art. 52a Mededingingswet 5 jaar); (b) het doel van de verwerking; (c) de gerechtvaardigde belangen.
Doorgiften buiten de EER vinden alleen plaats onder een passende waarborg conform Hoofdstuk V AVG: adequaatheidsbesluit (art. 45), Standard Contractual Clauses (art. 46 lid 2 sub c), Binding Corporate Rules (art. 47), of een uitzondering uit art. 49.
De maatregelen zijn afgestemd op de stand van de techniek, uitvoeringskosten en het waarschijnlijke risico voor betrokkenen (art. 32 AVG).
6.2 Periodieke herziening: Halfjaarlijks (juni en december) en bij elke nieuwe verwerking. Bij wezenlijke wijziging (nieuwe categorie betrokkenen, nieuwe verwerker, gewijzigde rechtsgrond) volgt directe update..
6.3 Op verzoek van de AP wordt het register binnen de gestelde termijn verstrekt (art. 30 lid 4 AVG). Een onvolledig of niet-bijgehouden register kan op grond van art. 83 lid 4 sub a AVG worden bestraft met een boete tot € 10 miljoen of 2% van de wereldwijde jaaromzet.
Wat is het register van verwerkingsactiviteiten?
Het register van verwerkingsactiviteiten is een verplichte interne documentatie die elke verwerkingsverantwoordelijke onder de AVG moet bijhouden (art. 30 AVG). Het register vormt het centrale overzicht van alle manieren waarop de organisatie persoonsgegevens verwerkt: van personeelsadministratie en klantgegevens tot cameratoezicht, marketing, sollicitatieprocedures en eventuele bijzondere gegevens. Het register is intern — niet openbaar — maar moet op verzoek van de Autoriteit Persoonsgegevens (AP) binnen een korte termijn worden overgelegd.
De verplichting geldt niet voor alle organisaties. Art. 30 lid 5 AVG stelt vrijstelling voor organisaties met minder dan 250 werknemers — maar deze vrijstelling vervalt zodra de verwerking een risico inhoudt voor betrokkenen, niet incidenteel is, of bijzondere gegevens (gezondheid, religie, etniciteit) of strafrechtelijke gegevens betreft. In de praktijk komt vrijwel elke onderneming onder de plicht: een webshop met klantgegevens, een ZZP'er met administratie, een vereniging met ledenregister.
Een goed register doet meer dan alleen aan de wet voldoen. Het is je centrale instrument voor privacy-governance: het stuurt je privacyverklaring, je verwerkersovereenkomsten, je DPIA's, je datalek-respons en je AVG-trainingen. Bij een AP-onderzoek of een datalek is het register het primaire bewijs van zorgvuldigheid (art. 5 lid 2 AVG, verantwoordingsplicht). Een verouderd of ondermaats register is bij handhaving een verzwarende factor met boetes tot € 10 miljoen of 2% van de wereldwijde omzet (art. 83 lid 4 AVG).
Wat omvat dit sjabloon
Het Doxuno register-sjabloon volgt de structuur van art. 30 lid 1 AVG en de WP243-richtlijnen.
Verwerkingsverantwoordelijke
Organisatie, KvK, adres en eventuele EU-vertegenwoordiger
Functionaris Gegevensbescherming
Naam en contactgegevens FG of contactpersoon AVG
Doel per verwerking
Concrete doelen — geen vage formuleringen
Categorieën betrokkenen
Wie zijn de betrokkenen (klanten, werknemers, sollicitanten...)
Categorieën persoonsgegevens
Welke gegevens met aandacht voor bijzondere categorieën
Categorieën ontvangers
Verwerkers, derden, overheden
Doorgiften buiten EER
Naar welke derde landen en met welke waarborg
Bewaartermijnen
Per gegevenscategorie de termijn en de wettelijke basis
Technische beveiliging
Encryptie, MFA, logging, toegangsmanagement
Organisatorische beveiliging
Training, VWO's, incident response, awareness
Versiebeheer
Versie, ingangsdatum en herzieningsfrequentie
Toetsbaarheid AP
Beschikbaar binnen 24 uur op verzoek toezichthouder
Hoe stel je het register op
Het opstellen van een register vergt een inventarisatie van alle gegevensstromen in de organisatie. Werk systematisch.
- 1
Inventariseer alle verwerkingen
Werk per afdeling de gegevensstromen door. Standaardcategorieën: HR (personeelsdossier, salaris, ziekteverzuim), klanten (CRM, facturatie), marketing (nieuwsbrief, website-tracking), sollicitanten, leveranciers, cameratoezicht, IT-security (logs). Een organisatie heeft typisch 8–25 verwerkingsactiviteiten; een kleinere onderneming 3–8.
- 2
Beschrijf doel en rechtsgrond per verwerking
Het doel moet specifiek en legitiem zijn (art. 5 lid 1 sub b AVG). Niet "marketing" maar "B2B e-mailmarketing aan zakelijke contactpersonen die opt-in hebben gegeven". Per doel: rechtsgrond uit art. 6 AVG (toestemming, overeenkomst, wettelijke verplichting, vitaal belang, taak van algemeen belang, gerechtvaardigd belang). Voor bijzondere gegevens (art. 9 AVG) een aanvullende grond.
- 3
Identificeer betrokkenen, gegevens en ontvangers
Per verwerking: welke categorieën betrokkenen (klanten, werknemers, sollicitanten), welke gegevens (NAW, contact, financieel, gezondheid), welke ontvangers (interne afdelingen, verwerkers, overheden). Vermeld verwerkers met naam (Mailchimp, AWS, Salesforce); verwijs naar de verwerkersovereenkomst per verwerker.
- 4
Bepaal bewaartermijnen per categorie
Per gegevenscategorie een concrete termijn met wettelijke onderbouwing waar mogelijk: boekhouding 7 jaar (art. 52 AWR), personeelsdossier 5 jaar na uitdiensttreding (UWV), medisch dossier 20 jaar (art. 7:454 BW WGBO), camerabeelden 28 dagen (AP-richtlijn), sollicitanten 4 weken zonder toestemming. Algemene termijnen vermijden — wees specifiek per gegevenstype.
- 5
Documenteer beveiligingsmaatregelen
Algemene beschrijving conform art. 32 AVG: technisch (encryptie, MFA, logging, pentest, EDR) en organisatorisch (training, role-based access, VWO's, incident response). Niet uitgebreid, maar specifiek genoeg om aan te tonen dat de maatregelen passen bij het risico. Plan ook een herzieningsfrequentie — minimaal halfjaarlijks en bij elke nieuwe verwerking.
Juridische aandachtspunten
Het register is een wettelijk vereist document met directe handhavingsgevolgen.
Dit sjabloon vervangt geen privacy-juridisch advies bij grote of complexe organisaties. Bij verwerking van bijzondere gegevens, doorgiften naar onveilige derde landen of profilering raadpleeg een privacy-jurist of FG.
Beoordeeld door juridische professionals. De clausules en structuur van dit sjabloon zijn beoordeeld door in Nederland praktiserende juristen privacy en gegevensbescherming.
Verplichting (art. 30 AVG)
Elke verwerkingsverantwoordelijke moet een register bijhouden van verwerkingsactiviteiten (lid 1) — verwerkers eveneens (lid 2). De vrijstelling voor < 250 werknemers (lid 5) is in praktijk beperkt: zij vervalt zodra verwerking risico inhoudt, niet incidenteel is, of bijzondere/strafrechtelijke gegevens betreft. Vrijwel elke onderneming komt onder de plicht.
Verplichte inhoud (art. 30 lid 1 sub a–g AVG)
Het register bevat minimaal: (a) naam en contactgegevens organisatie en FG; (b) doelen; (c) categorieën betrokkenen en gegevens; (d) categorieën ontvangers; (e) doorgiften naar derde landen + waarborgen; (f) bewaartermijnen; (g) algemene beschrijving beveiligingsmaatregelen. Een register zonder een van deze elementen is incompleet.
Inzage door AP (art. 30 lid 4 AVG)
Op verzoek van de AP wordt het register binnen de gestelde termijn (vaak 24 uur tot enkele dagen) verstrekt. De AP gebruikt het register als startpunt bij onderzoeken naar datalekken, klachten of routine-audits. Een goed bijgehouden register versnelt het onderzoek aanzienlijk en is een mitigerende factor bij eventuele handhaving.
Boetes en aansprakelijkheid (art. 83 lid 4 sub a AVG)
Het ontbreken of niet bijhouden van een register kan worden bestraft met een boete tot € 10 miljoen of 2% van de wereldwijde jaaromzet. In Nederland heeft de AP herhaaldelijk handhavingsmaatregelen genomen om het register, vaak in combinatie met andere overtredingen. Het is een laaghangend fruit voor toezichthouders: het register is direct toetsbaar zonder uitgebreid onderzoek.
Veelgestelde vragen
Klaar om je register op te stellen?
Vul de gegevens van je organisatie en de verwerkingsactiviteiten in en download een AVG-conform register klaar voor implementatie en eventuele AP-toetsing.
Free · Instant PDF · No account required