Compliance

Register verwerkingsactiviteiten AVG art. 30

Register verwerkingsactiviteiten AVG art. 30: verplichte inhoud, template, MKB-vrijstelling, AP-handhaving. Praktische gids 2026.

Also available in:Svenska·Italiano·Português·et

In één zin. Het register van verwerkingsactiviteiten is het centrale documentatie-instrument onder de AVG (art. 30) — verplicht voor vrijwel elke organisatie in Nederland en het eerste document dat de Autoriteit Persoonsgegevens opvraagt bij elk onderzoek.

Belangrijkste punten

  • Verplicht bij organisaties >250 werknemers; bij <250 alsnog verplicht bij risicovolle, structurele of bijzondere verwerking (art. 30 lid 5).
  • In praktijk: vrijwel iedereen verplicht.
  • Verantwoordelijke én verwerker houden eigen register.
  • Schriftelijk en elektronisch te overleggen aan AP op verzoek.
  • Boetecategorie II (basis 310 K EUR) bij ontbreken.
  • Vorm vrij — Excel volstaat, software handig vanaf 30+ verwerkingen.

1. Wettelijk kader

Art. 30 AVG kent twee aparte registers: art. 30 lid 1 voor verwerkingsverantwoordelijke, art. 30 lid 2 voor verwerker. De Uitvoeringswet AVG (UAVG) voegt niets toe — directe werking AVG. Schending valt onder art. 83 lid 4 (tot 10 M EUR / 2% omzet). De Autoriteit Persoonsgegevens heeft register-tekortkomingen meegenomen in boetes tegen Bouwinvest, KPN en TomTom.

2. MKB-uitzondering: wanneer wel/niet

Art. 30 lid 5: organisaties <250 werknemers zijn vrijgesteld TENZIJ:

  • Verwerking waarschijnlijk hoog risico voor betrokkenen, OF
  • Verwerking niet incidenteel (structureel), OF
  • Verwerking bijzondere categorieën (art. 9) of strafrechtelijke gegevens (art. 10).

In de praktijk: bijna elke organisatie heeft structurele verwerking (HR, klanten) → register verplicht. AP heeft uitzondering eng geïnterpreteerd — zie ook de gids AVG voor MKB en kleine bedrijven.

3. Inhoud register verantwoordelijke

Per verwerkingsactiviteit (art. 30 lid 1):

  • Naam en contactgegevens verantwoordelijke (+ gezamenlijke verantwoordelijken, vertegenwoordiger, FG).
  • Doeleinden verwerking.
  • Categorieën betrokkenen.
  • Categorieën persoonsgegevens.
  • Categorieën ontvangers (incl. derde landen, internationale organisaties).
  • Doorgifte aan derde land + waarborgen (art. 46 of art. 49 lid 1).
  • Termijnen voor wissing per categorie.
  • Algemene beschrijving technische en organisatorische beveiligingsmaatregelen.

4. Inhoud register verwerker

Per categorie verwerkingsactiviteit voor verantwoordelijke (art. 30 lid 2):

  • Naam en contactgegevens verwerker + elke verantwoordelijke + FG verwerker.
  • Categorieën verwerkingen uitgevoerd voor elke verantwoordelijke.
  • Doorgifte derde landen + waarborgen.
  • Algemene beschrijving beveiligingsmaatregelen.

5. Voorbeeld register-rij (verantwoordelijke)

Veld Voorbeeld
Verwerkingsnaam Salarisadministratie
Verantwoordelijke BV X, KvK 12345678
FG Jan Jansen, fg@bvx.nl
Doel Loonbetaling, fiscale aangifte
Rechtsgrond Overeenkomst (art. 6.1.b) + wet (art. 6.1.c)
Categorieën betrokkenen Werknemers, ex-werknemers
Categorieën gegevens NAW, BSN, bankrekening, salaris, ziekteverzuim
Ontvangers Belastingdienst, pensioenfonds, payroll-verwerker
Doorgifte derde land Geen
Bewaartermijn Loonadm. 7 jaar (AWR), ziekteverzuim 2 jaar
Beveiliging RBAC, encryptie at rest, MFA, audit log

6. Granulariteit: hoeveel verwerkingen

Te grof: “klantbeheer” = onbruikbaar. Te fijn: 500 microverwerkingen = onbeheersbaar. Praktische vuistregel: één verwerking per doel × per categorie betrokkenen × per rechtsgrond. MKB doorgaans 15-40 verwerkingen, middelgroot bedrijf 40-100, grote organisatie 100-300+.

7. Typische verwerkingen om op te nemen

  • HR: werving, personeelsadm., salaris, ziekteverzuim, functionering, ontslag, ex-werknemers.
  • Klanten: CRM, facturatie, klantenservice, marketing, loyaltyprogramma.
  • Leveranciers: contact, contracten, betalingen, KvK-controle.
  • Marketing: nieuwsbrief, website analytics, social media, evenementen.
  • IT: beveiligingslogs, gebruikersbeheer, helpdesk, back-up.
  • Cameratoezicht: bedrijfspand, parkeren.
  • Bezoekersregistratie.
  • Juridische dossiers en geschillen.

8. Versiebeheer en updates

Register is levend document. Update bij:

  • Nieuwe verwerking.
  • Wijziging doel of rechtsgrond.
  • Nieuwe verwerker of doorgifteland.
  • Wijziging bewaartermijn.
  • Implementatie nieuwe beveiligingsmaatregel.

Best practice: versiehistorie bijhouden, kwartaalreview, jaarlijkse audit door FG. AP toetst actualiteit bij onderzoek.

9. Tools en formats

  • Excel/spreadsheet: voldoende tot circa 30 verwerkingen.
  • Specifieke software: OneTrust, BigID, Privacyverklaring.nl, Privacy1, GDPR365.
  • CISO/GRC-suites: ServiceNow GRC, RSA Archer, Smartsheet.
  • Open source: SIMPL (UK ICO), Privazy.

Vorm is vrij; inhoud moet voldoen aan art. 30. Software loont vanaf middelgrote organisatie wegens workflow, attestation, koppeling met DPIA en datalekregister.

10. Koppeling met andere AVG-instrumenten

Register staat centraal in compliance-architectuur:

  • DPIA (art. 35): per risicovolle registerentry een DPIA.
  • Verwerkersovereenkomsten (art. 28): per ontvanger.
  • Privacyverklaring (art. 13): vertaling register voor betrokkenen.
  • Datalekregister (art. 33 lid 5): koppel incidenten aan registerentry.
  • Bewaartermijnenbeleid: extractie uit register.

11. Verzoek door AP

AP kan register opvragen onder art. 30 lid 4 en art. 58 lid 1. Termijn doorgaans 5-10 werkdagen. Schriftelijk of elektronisch leveren. Onvolledig/ontbrekend register = aparte overtreding. Vermijd: alleen mondelinge beschrijving, prototype zonder waarheid, register voor de show.

12. AP-handhaving op register-tekortkomingen

Verantwoordelijke Jaar Boete Register-issue
Bouwinvest 2025 525 K EUR Onvolledig, ontbrekende DSAR-tracking
KPN 2025 215 K EUR Geen verwerkersovereenkomsten in register
TomTom 2025 275 K EUR Locatieverwerkingen ontbraken
Klein advocatenkantoor 2024 30 K EUR Geen register aanwezig
Recruitmentbureau 2024 75 K EUR Doorgifte CV’s niet vermeld

Registerontbreken is zelden eerste boetegrond, maar vaak cumulatief. AP gebruikt register als startpunt onderzoek: ontbreken signaleert structureel accountability-tekort. Zie AP boetes 2025 en AVG Art. 5 beginselen over accountability.

13. Veelvoorkomende fouten

  • Register “ooit gemaakt” maar nooit ge-update — actualiteit ontbreekt.
  • Te grove granulariteit (“alle klantverwerking” als één rij).
  • Bewaartermijnen niet onderbouwd of niet operationeel.
  • Verwerkers ontbreken (alleen verantwoordelijke-verwerkingen).
  • Doorgifte naar derde landen ontbreekt of zonder waarborgen.
  • Beveiligingsmaatregelen generiek (“ISO 27001”) zonder concrete invulling.
  • Geen koppeling met DPIA’s, verwerkersovereenkomsten, datalekregister.
  • Versiebeheer ontbreekt — geen audit trail.

14. Sancties en handhaving

Schending art. 30 valt onder art. 83 lid 4: tot 10 M EUR of 2% wereldwijde omzet. AP-boetebeleid: categorie II (basis 310 K EUR). Ontbrekend register is vaak combinatie-boete: AP-onderzoek constateert primair een andere overtreding (datalek, rechten betrokkene) en cumuleert met register-tekortkoming.

FAQ

Mag ik mijn register in Excel houden?

Ja, vorm is vrij. Excel volstaat tot circa 30 verwerkingen. Bij grotere organisaties wordt versiebeheer, workflow en koppeling met andere registers (DPIA, verwerkers) complex — software loont.

Moet ik mijn register publiceren?

Nee, register is intern document. Niet publiek toegankelijk verplicht. Wel: op verzoek aan AP overleggen. Voor overheid: vaak transparantieplicht via Wet open overheid.

Geldt de MKB-uitzondering voor mijn bedrijf?

Zelden. De uitzondering in art. 30 lid 5 vereist dat verwerking niet structureel is. Een MKB met klantbestand, personeel of nieuwsbrief heeft per definitie structurele verwerking → register verplicht.

Wat is het verschil tussen register verantwoordelijke en verwerker?

Verantwoordelijke beschrijft eigen verwerkingen (doel, gegevens, ontvangers). Verwerker beschrijft welke categorieën verwerkingen worden uitgevoerd voor welke verantwoordelijken. Verschillende inhoud, beide verplicht.

Hoe vaak moet ik mijn register updaten?

Bij elke wijziging in een verwerking. Best practice: kwartaalreview operationeel, jaarlijkse formele audit met FG. Bij stabiele organisaties minimaal halfjaarlijkse update. AP toetst actualiteit bij elk onderzoek.

Hoe gedetailleerd moet beveiligingsbeschrijving zijn?

Algemene beschrijving volstaat (art. 30 lid 1 sub g): “encryptie at rest AES-256, MFA op admin-accounts, RBAC, jaarlijkse pentest, ISO 27001-conform” volstaat. Detail per verwerking alleen waar verschillend. Voor AVG Art. 32 beveiliging hangt diepte af van risicocategorie verwerking.

Moet ik gezamenlijk verantwoordelijken (joint controllers) opnemen?

Ja. Art. 30 lid 1 sub a noemt expliciet gezamenlijke verantwoordelijken. Vermeld in register: naam joint controller, contractuele afspraken (art. 26 AVG), taakverdeling. Bekend voorbeeld: Facebook + websitebeheerder met Fashion ID-arrest (HvJ EU 2019). Voor Verwerkersovereenkomst template zie verschil met verwerker.

Hoe documenteer ik gerechtvaardigd belang in register?

Per verwerking met grondslag art. 6.1.f: specifiek belang, noodzakelijkheid-onderbouwing, balanstoets met betrokkene-belangen, waarborgen. Schriftelijke LIA (Legitimate Interest Assessment) als bijlage. EDPB Guidelines 1/2024 over gerechtvaardigd belang vereisen documentatie. Bij AP-onderzoek standaard opgevraagd.

Wat als ik geen FG heb — wie houdt register bij?

Verantwoordelijke blijft eindverantwoordelijk ongeacht FG-status. Praktisch toewijzen aan compliance officer, privacy officer, of senior medewerker. Bij MKB zonder FG: directie of administrateur. Bij verzoek AP: degene die register beheert kan tonen, maar bestuurder ondertekent.

Zie ook: verwerkingsregister-software.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →