Een verwerkingsregister (of Register van verwerkingsactiviteiten) is een gestructureerd overzicht van elke manier waarop je organisatie persoonsgegevens verwerkt. Onder AVG Artikel 30 moeten organisaties met meer dan 250 medewerkers er een bijhouden — maar in de praktijk zou elke startup die op schaal persoonsgegevens verwerkt of AI gebruikt er een moeten hebben, want toezichthouders verwachten het.
Wat documenteer je per verwerkingsactiviteit:
- Doel: Waarom verwerk je deze data? Wees specifiek — "onze dienst verbeteren" is te vaag; "ons aanbevelingsmodel trainen op geanonimiseerde gebruikspatronen" is duidelijk.
- Rechtsgrondslag: Welke van de zes AVG-gronden is van toepassing? Toestemming, overeenkomst, wettelijke verplichting, vitaal belang, algemeen belang of gerechtvaardigd belang.
- Categorieën data en betrokkenen: Welke data (bijv. namen, e-mails, AI-interactielogs) en van wie (bijv. klanten, medewerkers, websitebezoekers)?
- Ontvangers: Wie ontvangt de data? Vermeld verwerkers (cloudproviders, AI API's), subverwerkers en eventuele integraties met derden.
- Bewaartermijnen: Hoe lang bewaar je de data per activiteit? Koppel aan je bewaarbeleid.
- Beveiligingsmaatregelen: Welke technische en organisatorische maatregelen beschermen deze data? Encryptie, toegangscontrole, pseudonimisering, etc.
Begin desnoods met een spreadsheet, maar stap over op een gestructureerde tool naarmate je groeit. De Autoriteit Persoonsgegevens biedt een template. Tidal Control onderhoudt je verwerkingsregister als een levend document gekoppeld aan je controls, beleid en datastromen.