Agnes bouwt stap voor stap een verwerkingsregister op, omringd door documenten en datasymbolen.

Verwerkingsregister AVG opstellen: wat is een RoPA en hoe doe je dat?

AVG, GDPR

Je krijgt een klantvragenlijst op je bureau. Of een auditor belt. Of je eigen accountant stelt de vraag: "Hebben jullie eigenlijk een verwerkingsregister?"

Dan begint het googlen. Register van verwerkingsactiviteiten. RoPA. Artikel 30 AVG. En al snel verdwaal je in juridisch jargon en templates die eerder verwarring dan duidelijkheid brengen.

Het goede nieuws: zo ingewikkeld is het niet. We leggen hieronder uit wat een verwerkingsregister is, wat erin moet staan, en hoe je er als mkb een opstelt zonder jurist en zonder eindeloze templates.

Wat is een register van verwerkingsactiviteiten (RoPA)?

Een verwerkingsregister is een overzicht van alle manieren waarop je organisatie persoonsgegevens verwerkt. In het Engels heet het Record of Processing Activities, afgekort RoPA.

Zie het als een plattegrond van je data. Het laat zien welke persoonsgegevens je verzamelt, waarom, wie er toegang toe heeft en hoe lang je ze bewaart. Artikel 30 van de AVG schrijft dit register voor. Het is een wettelijke verplichting, niet iets dat je "ooit nog eens" oppakt.

Wie moet een RoPA bijhouden?

Er bestaat een hardnekkig misverstand: "Een verwerkingsregister is alleen verplicht voor grote bedrijven." Dat klopt niet.

De AVG stelt dat organisaties met minder dan 250 medewerkers vrijgesteld zijn, tenzij:

  • de verwerking niet incidenteel is (en dat is het bij vrijwel elk bedrijf niet)
  • er bijzondere categorieën persoonsgegevens worden verwerkt (zoals gezondheidsdata)
  • de verwerking een risico vormt voor de rechten van betrokkenen

In de praktijk: als je een CRM hebt, personeel in dienst hebt, klantgegevens opslaat of nieuwsbrieven verstuurt, heb je een verwerkingsregister nodig. Die uitzonderingsregel gaat bijna nooit op.

De Autoriteit Persoonsgegevens is hier duidelijk over. Ze verwacht van elke organisatie een actueel register. En bij een controle is het verwerkingsregister vaak het eerste document dat ze opvragen.

Wat moet er per verwerking in staan?

Elke verwerking in je register bevat een aantal verplichte gegevens. Artikel 30 AVG schrijft tien kernvelden voor:

  1. Naam en contactgegevens van de verwerkingsverantwoordelijke (en eventueel de vertegenwoordiger of functionaris gegevensbescherming)
  2. Het doel van de verwerking
  3. Categorieën van betrokkenen (over wie gaan de gegevens?)
  4. Categorieën van persoonsgegevens (welk type data?)
  5. Ontvangers (met wie deel je de gegevens, intern en extern?)
  6. Doorgifte buiten de EER
  7. Bewaartermijnen
  8. Beveiligingsmaatregelen
  9. Rechtsgrondslag
  10. Bron van de gegevens

Dat klinkt abstract. Een voorbeeld maakt het duidelijker.

Voorbeeld: verwerking "nieuwsbrief versturen"

| Veld | Invulling | |---|---| | Verwerkingsverantwoordelijke | Jouw BV, inclusief contactgegevens | | Doel | Versturen van commerciele nieuwsbrieven | | Categorieën betrokkenen | Klanten, prospects, websitebezoekers | | Categorieën persoonsgegevens | E-mailadres, voornaam, klikgedrag | | Ontvangers | Mailchimp (verwerker), intern marketingteam | | Doorgifte buiten EER | Ja, Mailchimp (VS) met EU Standard Contractual Clauses | | Bewaartermijn | Tot uitschrijving, daarna 30 dagen | | Beveiligingsmaatregelen | Encryptie bij transport, 2FA op Mailchimp-account | | Rechtsgrondslag | Toestemming (opt-in) | | Bron | Aanmeldformulier website |

Dit is het detailniveau dat je nodig hebt. Niet "we verwerken klantgegevens", maar precies wat, waarom, hoe lang en via welk systeem.

Hoe inventariseer je je verwerkingen?

Het lastigste aan een verwerkingsregister is niet het invullen van de velden. Het is achterhalen welke verwerkingen je eigenlijk allemaal hebt. De meeste organisaties onderschatten dat. Je denkt dat je vijf verwerkingen hebt, en uiteindelijk tel je er vijftien.

Begin niet bij de gegevens, maar bij je tools en processen. Dat werkt beter.

Stap 1: Maak een lijst van al je software en systemen. CRM, boekhoudpakket, HR-tool, e-mailtool, projectmanagementsoftware, klantenserviceplatform. Vergeet ook de tools niet die je "even snel" hebt geinstalleerd: formulier-tools, enqueteplatforms of een losse spreadsheet met persoonsgegevens.

Stap 2: Bepaal per tool welke persoonsgegevens erin zitten. Welke data gaat erin? Van wie? Wie heeft er toegang?

Stap 3: Koppel elke tool aan een verwerkingsdoel. Eenzelfde tool kan meerdere doelen dienen. Je CRM gebruik je misschien voor sales, klantenservice en marketing. Dat zijn drie aparte verwerkingen, elk met een eigen doel en mogelijk een andere rechtsgrondslag.

Stap 4: Vul de tien verplichte velden in per verwerking. Gebruik het overzicht hierboven als checklist.

Weet je niet waar je moet beginnen? Dit zijn verwerkingen die bij vrijwel elk mkb voorkomen:

  1. Salarisadministratie van personeel
  2. Versturen van nieuwsbrieven
  3. Opslaan van klantgegevens in een CRM
  4. Onboarding van nieuwe medewerkers
  5. Verwerken van sollicitaties
  6. Websiteanalytics met cookies
  7. Klantenservice via een ticketsysteem
  8. Facturering en debiteurenadministratie
  9. Toegangsbeheer met logingegevens
  10. Delen van persoonsgegevens met een accountant

In ComplianceHive leg je per systeem vast welke gegevens erin zitten, wie de leverancier is en welke Verwerkersovereenkomst erbij hoort. Zo bouw je je verwerkingsregister software op vanuit je bestaande tools, in plaats van vanuit een leeg document. Bekijk hoe dat werkt.

Veelgemaakte fouten in een RoPA

Een verwerkingsregister dat er op papier goed uitziet, kan bij een audit alsnog onvoldoende zijn. Dit gaat het vaakst mis:

1. Te weinig detail. "Wij verwerken klantgegevens in ons CRM" is geen geldige entry. Je moet specificeren welke gegevens, van wie, met welk doel en op welke grondslag. Een auditor prikt hier direct doorheen.

2. Alles op een hoop. Sommige bedrijven maken een handvol brede entries in plaats van per verwerkingsdoel een aparte regel. Je CRM-verwerking voor sales en je CRM-verwerking voor marketing zijn twee verschillende verwerkingen, met verschillende doelen en grondslagen.

3. Eenmalig opstellen en daarna vergeten. Een verwerkingsregister is geen eenmalig project. Als je een nieuwe tool toevoegt, een leverancier wisselt of een nieuw proces opstart, moet het register mee veranderen.

4. Bewaartermijnen ontbreken of zijn onrealistisch. "We bewaren alles voor altijd" is niet AVG-compliant. Elke verwerking heeft een bewaartermijn nodig die je kunt onderbouwen.

5. Geen koppeling met leveranciers en Verwerkersovereenkomsten. Je register vermeldt dat je Mailchimp gebruikt, maar is er ook een getekende Verwerkersovereenkomst? Zonder die koppeling is je register incompleet. Bij een audit wil een toezichthouder die koppeling kunnen volgen: van verwerking naar systeem naar leverancier naar overeenkomst.

RoPA in de praktijk: een stappenplan voor MKB

Je hoeft niet alles in een keer te doen. Reken op zo'n vier weken als je het naast je gewone werk doet:

Week 1: Inventarisatie Maak een overzicht van al je software en systemen. Vraag per afdeling welke tools ze dagelijks gebruiken. Noteer ook tools die niet "officieel" zijn maar wel persoonsgegevens bevatten.

Week 2: Verwerkingen vastleggen Koppel per tool de verwerkingsdoelen. Vul de tien verplichte velden in per verwerking. Gebruik het voorbeeld uit dit artikel als referentie.

Week 3: Controle en aanvulling Loop elk record door op volledigheid. Controleer of er getekende Verwerkersovereenkomsten zijn voor externe partijen. Markeer ontbrekende informatie en plan wie dat oppakt.

Week 4: Eigenaarschap en onderhoud Wijs per verwerking een eigenaar aan: wie is verantwoordelijk voor het actueel houden van dit record? Leg vast hoe vaak je het register reviewt (minimaal twee keer per jaar). Koppel het register aan je leveranciersbeheer en je AVG-checklist.

Hoe houd je je RoPA actueel?

Een verouderd verwerkingsregister is bijna net zo risicovol als helemaal geen register.

Stel je voor: een inspecteur van de Autoriteit Persoonsgegevens komt langs. Het eerste dat ze vragen is je verwerkingsregister. Ze pakken er een willekeurige verwerking uit en stellen vragen. Welke gegevens verwerk je precies? Hoe lang bewaar je ze? Wie is de verwerker? Heb je daar een Verwerkersovereenkomst mee? Als je register zegt "Mailchimp" maar je bent drie maanden geleden overgestapt op Brevo, heb je een probleem. Ze kijken niet alleen of je een register hebt, maar of het klopt met de werkelijkheid.

Werk je register bij als je:

  • een nieuwe tool of systeem introduceert
  • van leverancier wisselt of een nieuwe subverwerker toevoegt
  • een nieuw proces opstart dat persoonsgegevens raakt (denk aan een nieuw onboardingproces)
  • bewaartermijnen of rechtsgrondslag wijzigt
  • te maken krijgt met een organisatiewijziging zoals een fusie, overname of nieuwe afdeling

Maak het jezelf makkelijk: koppel je register aan je software-inventaris. Voeg je een nieuwe tool toe? Dan is dat direct het moment om ook de bijbehorende verwerking vast te leggen.

In ComplianceHive werkt dat precies zo. Je systemeninventaris en je verwerkingsregister zitten in hetzelfde platform. Voeg je een nieuwe tool toe in je systemeninventaris, dan is dat direct het moment om ook de bijbehorende verwerking bij te werken. Zo houd je het overzicht in één platform in plaats van verspreid over losse administraties.

Klaar om je verwerkingsregister op te zetten?

ComplianceHive geeft je de structuur om je RoPA stap voor stap op te bouwen. Leg verwerkingen vast, koppel ze aan je tools en leveranciers, en zet de eerste stap zonder spreadsheet-chaos.

Probeer het 30 dagen gratis

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis