Skip to content
GDPR Verplichtingen calendar_today Bijgewerkt: 28 april 2026 schedule 4 min leestijd

GDPR-register: moet ik er een hebben?

verified Laatst beoordeeld 28 april 2026 · het GDPRWise juridisch team

Ja, vrijwel elk bedrijf wel. De uitzondering voor 'minder dan 250 werknemers' geldt in de praktijk bijna nooit. Wat moet erin staan en hoe begin je?

summarize Kernpunten
  • check_circle Vrijwel elk bedrijf heeft een GDPR-register (verwerkingsregister) nodig zodra je één klant, één werknemer of één leverancier hebt waarvan je gegevens verwerkt
  • check_circle De uitzondering 'minder dan 250 werknemers' klinkt ruim, maar geldt in de praktijk bijna nooit door de drie uitzonderingen op de uitzondering
  • check_circle Er is geen officieel sjabloon, maar de Gegevensbeschermingsautoriteit kan je register op elk moment opvragen
  • check_circle GDPRWise genereert je verwerkingsregister automatisch zodra je dossier is ingevuld, geen Excel-bestanden nodig

Het korte antwoord

Ja. Als je persoonsgegevens van klanten, personeel of leveranciers verwerkt, heb je een GDPR-register nodig, ook wel verwerkingsregister of AVG-register genoemd. Dit is verplicht volgens artikel 30 van de GDPR, en de verplichting begint zodra je je eerste klant, leverancier of werknemer hebt.

De mythe van ‘minder dan 250 werknemers’

Artikel 30(5) lijkt organisaties met minder dan 250 werknemers vrij te stellen. In de praktijk geldt die vrijstelling zelden, want er zijn drie uitzonderingen op, en bijna elk bedrijf valt in minstens één ervan:

  • De verwerking is meer dan incidenteel. Facturen sturen naar terugkerende klanten, elke maand loon uitbetalen, contactgegevens van leveranciers bewaren, dat zijn allemaal regelmatige activiteiten, geen incidentele.
  • Je verwerkt bijzondere categorieën. Gezondheidsgegevens, biometrische data, gegevens over minderjarigen of andere data uit artikel 9 sluiten je uit.
  • De verwerking kan risico’s vormen voor rechten. Klantprofilering, marketingautomatisering, monitoring van werknemers, en gelijkaardige activiteiten vallen daaronder.

De vrijstelling was bedoeld voor heel specifieke gevallen, zoals een eenmalige actie van een liefdadigheidsorganisatie. Heb je een echt bedrijf met vaste klanten en personeel, dan geldt de registerplicht voor jou.

Wat het register moet bevatten

Volgens artikel 30(1) moet het register voor elke verwerking de volgende info bevatten:

  • Wie: wiens gegevens je verwerkt (klanten, personeel, leveranciers, partners)
  • Wat: de categorieën persoonsgegevens (naam, e-mail, adres, betaalgegevens, enz.)
  • Waarom: het doel van de verwerking (facturatie, aanwerving, marketing, enz.)
  • Rechtsgrond: toestemming, contract, wettelijke verplichting, gerechtvaardigd belang, enz.
  • Ontvangers: welke derde partijen de gegevens ontvangen, en of die binnen of buiten de EU zitten
  • Bewaartermijn: hoe lang je elke categorie bewaart
  • Beveiliging: de technische en organisatorische maatregelen die je hebt genomen

Houd aparte registers bij voor activiteiten waarbij je verwerkingsverantwoordelijke bent (jij beslist waarom en hoe de gegevens worden verwerkt) en waar je verwerker bent (je verwerkt gegevens namens iemand anders).

Wat als je er geen hebt

De Gegevensbeschermingsautoriteit kan je register opvragen bij een controle of na een klacht. Kun je het niet voorleggen, dan is dat op zich al een GDPR-inbreuk. Boetes voor ontbrekende of onvolledige registers zijn al uitgedeeld in heel de EU, ook aan KMO’s. Naast de boete is het register ook je interne kompas: zonder register kun je geen verzoeken van betrokkenen behandelen, geen datalekken beheren en geen compliance aantonen.

Hoe begin je

Je hebt drie opties:

  1. Zelf bouwen in een spreadsheet. Gratis, maar onderhoudsintensief en snel onvolledig.
  2. Een consultant inschakelen. Grondig, maar duur en afhankelijk van hun beschikbaarheid.
  3. Een tool zoals GDPRWise gebruiken. Het platform stelt de juiste vragen per sector, genereert het register op basis van je antwoorden, en houdt het actueel.
auto_awesome Genereer je GDPR-register in minuten

GDPRWise scant je website, stelt de juiste vragen voor jouw sector, en produceert een volledig artikel-30-register dat je aan de toezichthouder kunt voorleggen.

Delen share LinkedIn mail E-mail
GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.