Agnes houdt een verwerkingsregister vast met een 'optional?' label, maar geeft er zelfverzekerd een duim omhoog bij

Hoef ik straks nog een verwerkingsregister bij te houden? De Digital Omnibus uitgelegd voor MKB

GDPR, Compliance

Veel mkb-ondernemers stelden dezelfde vraag na de berichten over de Digital Omnibus: "Hoef ik mijn verwerkingsregister straks nog bij te houden?" Het is een begrijpelijke vraag. En het antwoord is eerlijk: de vrijstelling is er nog niet, en ook als die er straks komt, zijn er drie goede redenen om je register gewoon te blijven bijhouden.

Wat stelt de Digital Omnibus precies voor?

Op 7 mei 2026 bereikte de EU politieke overeenstemming over het Digital Omnibus-pakket. Een van de voorstellen: bedrijven met minder dan 750 werknemers en een omzet onder de 150 miljoen euro vrijstellen van de verwerkingsregister-verplichting uit Artikel 30 AVG. Dat zou een grote verandering zijn voor het Nederlandse mkb.

Maar "voorgesteld" en "van kracht" zijn twee heel andere dingen. De Omnibus is een politiek akkoord, geen wet. Het traject van politieke overeenstemming naar daadwerkelijke wetgeving duurt maanden, soms langer dan een jaar. En in die tussentijd gelden de huidige AVG-regels gewoon.

De suggestie dat je nu al kunt stoppen met je verwerkingsregister bijhouden, berust op een misverstand over hoe Europese wetgeving werkt.

Wanneer treedt dit in werking?

De Digital Omnibus moet nog formeel worden aangenomen door het Europees Parlement en de Raad van de EU. Daarna begint een implementatietermijn: de tijd die lidstaten krijgen om de nieuwe regels in hun nationale wetgeving te verwerken. Niemand verwacht dat deze wijzigingen voor 2027 van kracht worden.

Tot die tijd is het verwerkingsregister verplicht op grond van de huidige AVG. Bedrijven die nu alvast stoppen met bijhouden omdat ze denken vrij te zijn, lopen een reeel compliance-risico. De Autoriteit Persoonsgegevens handhaaft op basis van de wet zoals die nu geldt, niet op basis van voorstellen die misschien ooit worden aangenomen.

Drie redenen om je verwerkingsregister toch bij te houden

Zelfs als de vrijstelling er ooit komt, zijn er drie sterke argumenten om je register vrijwillig te blijven bijhouden.

De eerste reden is zakelijk van aard: klanten en partners vragen er steeds vaker naar als bewijs van naleving. Enterprise-klanten en inkoopteams stellen steeds hogere compliance-eisen aan hun leveranciers. Een verwerkingsregister is daarin het meest concrete bewijs dat je weet wat je doet met persoonsgegevens. "We hebben dat niet, want we zijn misschien volgend jaar vrijgesteld" is geen geruststellend antwoord in een due diligence-gesprek. Voor bedrijven die willen groeien naar grotere klanten, is een goed bijgehouden register een verkoopargument.

De tweede reden is juridisch: de verantwoordingsplicht uit Artikel 5(2) AVG blijft van kracht, ook zonder een formeel verplicht register. Dat artikel vereist dat je kunt aantonen dat je persoonsgegevens verwerkt in overeenstemming met de basisprincipes van de AVG. Wat verwerk je, voor welk doel, op welke rechtsgrond, hoe lang bewaar je het? Zonder gedocumenteerde antwoorden op die vragen kun je die verantwoording niet leveren. Het verwerkingsregister is de meest praktische manier om die documentatie bij te houden. De vrijstelling van Artikel 30 neemt die bewijslast niet weg.

De derde reden is strategisch: proactief compliance-beleid verkleint je risico bij AP-handhaving aanzienlijk. De Autoriteit Persoonsgegevens kijkt niet alleen naar overtredingen, maar ook naar de mate waarin een organisatie zichtbaar werk maakt van privacy. Bedrijven die vrijwillig nauwkeurige registraties bijhouden, laten precies het soort proactief beleid zien dat de kans op een formeel onderzoek verkleint. En als er toch iets misgaat, vergroot dat de kans op een correctieve maatregel in plaats van een boete.

Wat verandert er dan wel?

Het is eerlijk om te zeggen dat de richting van de Omnibus reeel is. De EU erkent dat de AVG voor kleine bedrijven onevenredig veel administratieve last heeft gecreeerd. De vereenvoudiging gaat er komen.

Maar de verwachting is dat dit eerder zal leiden tot lichtere registerformaten, kant-en-klare templates of minder strikte update-frequenties, dan tot de afschaffing van documentatie als principe. Het gaat om administratieve verlichting, niet om het wegnemen van de verantwoordingsplicht.

Volg de ontwikkelingen, maar pas je werkwijze aan als de wet daadwerkelijk verandert. Niet eerder.

Conclusie: vrijstelling of niet, een register loont

De vraag "hoef ik nog een verwerkingsregister bij te houden?" gaat voorbij aan de eigenlijke vraag: "Wat is de meest praktische manier om aan te tonen dat ik zorgvuldig omga met persoonsgegevens?" Het verwerkingsregister beantwoordt die vraag, ongeacht of het formeel verplicht is.

ComplianceHive maakt je verwerkingsregister bijhouden eenvoudig en actueel, precies wat klanten en de AP willen zien als ze vragen om bewijs van naleving. Bekijk ook onze AVG compliance software om te zien hoe je je volledige AVG-administratie op orde houdt zonder het een dagtaak te maken.

Veelgestelde vragen

Hoef ik geen verwerkingsregister meer bij te houden na de Digital Omnibus?

Niet per se. De Digital Omnibus stelt voor om bedrijven tot 750 werknemers vrij te stellen van de verwerkingsregister-verplichting uit Artikel 30 AVG. Maar de vrijstelling geldt pas als de Omnibus definitief wordt aangenomen, en dat duurt nog zeker tot 2027. Tot die tijd blijft het register verplicht.

Wanneer treedt de Digital Omnibus in werking?

De Digital Omnibus is op 7 mei 2026 politiek goedgekeurd, maar moet nog formeel worden aangenomen door het Europees Parlement en de Raad. Daarna geldt nog een implementatietermijn. Voor 2027 verwacht niemand dat de wijzigingen van kracht worden. Het huidige verwerkingsregister blijft dus gewoon verplicht.

Wat verandert er voor MKB onder de AVG-vereenvoudiging?

Het voorstel richt zich op bedrijven tot 750 werknemers en 150 miljoen euro omzet. Die groep zou vrijgesteld worden van de formele verwerkingsregister-verplichting, al blijft de basisverplichting om persoonsgegevens zorgvuldig te verwerken van kracht. De verantwoordingsplicht uit Artikel 5(2) AVG verdwijnt nergens.

Waarom is een vrijwillig verwerkingsregister nog steeds waardevol?

Drie redenen: klanten en partners vragen er steeds vaker naar als bewijs van naleving, de verantwoordingsplicht (Artikel 5(2) AVG) blijft in stand ook zonder een formeel verplicht register, en het aantonen van proactief compliance-beleid verkleint je risico bij AP-handhaving aanzienlijk.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis