Het probleem met het verwerkingsregister
Het verwerkingsregister, ook wel het register van verwerkingsactiviteiten of ROPA genoemd, is een van de meest fundamentele vereisten van de GDPR (in Nederland en Belgie ook AVG genoemd). De toezichthouder kan het op elk moment opvragen en je wordt verwacht het klaar te hebben. Niet “binnenkort”, niet “we zijn ermee bezig” - klaar.
Voor de meeste KMO’s is dit het punt waarop GDPR-compliance vastloopt. Een verwerkingsregister vanaf nul aanmaken betekent dat je elke activiteit met persoonsgegevens moet identificeren, de rechtsgrond voor elk ervan moet bepalen, de gegevenscategorieen moet vermelden, bewaartermijnen moet vaststellen en beveiligingsmaatregelen moet documenteren. Zelfs als je weet wat de GDPR vereist, is het vertalen daarvan naar een compleet register tijdrovend en foutgevoelig.
Dat is precies waarom GDPRWise het drielagenmodel heeft ontwikkeld. In plaats van te beginnen met een leeg spreadsheet, begin je met een register dat al voor 80% compleet is.
Hoe het drielagenmodel werkt
GDPRWise genereert je verwerkingsregister via drie complementaire lagen. Elke laag voegt detail en nauwkeurigheid toe.
Laag 1: Sectorbasis
Elke branche heeft gangbare verwerkingsactiviteiten. Een tandartspraktijk verwerkt patientendossiers en afspraakgegevens. Een online retailer verwerkt bestellingen, betalingsgegevens en verzendadressen. Een accountantskantoor verwerkt financiele klantgegevens.
GDPRWise onderhoudt voorgebouwde sectorbasissen voor tientallen branches. Wanneer je je sector selecteert, vult het platform de verwerkingsactiviteiten vooraf in die standaard zijn voor jouw type bedrijf. Elke activiteit bevat al het doel, de rechtsgrond, gegevenscategorieen, gebruikelijke bewaartermijnen en gangbare ontvangers.
Dit is geen giswerk. Deze basissen zijn opgebouwd op basis van regelgevingsrichtlijnen, sectorspecifieke gedragscodes en praktijkervaring met duizenden bedrijven.
Laag 2: AI-scanresultaten
Wanneer je je website scant, detecteert GDPRWise de daadwerkelijke tools, scripts en dataverzamelpunten die actief zijn op je site. Google Analytics? Dat is een verwerkingsactiviteit. Een contactformulier dat namen en e-mailadressen verzamelt? Nog een. Een nieuwsbriefaanmelding via Mailchimp? Toegevoegd aan het register.
De AI-scan vertaalt elke bevinding naar een concrete registervermelding met de relevante details ingevuld. Je hoeft niet zelf uit te zoeken dat “Google Analytics plaatst een _ga cookie” betekent “je verwerkt IP-adressen en surfgedrag van websitebezoekers met als doel webanalyse, met toestemming als rechtsgrond.”
GDPRWise doet die vertaling voor je.
Laag 3: Gerichte verfijning
Je website vertelt een deel van het verhaal, maar niet het volledige beeld. Je verwerkt waarschijnlijk ook persoonsgegevens offline of via interne systemen: personeelsdossiers in je HR-software, klantbestanden in je CRM, facturen in je boekhoudsysteem.
GDPRWise stelt gerichte vragen om deze aanvullende activiteiten te identificeren. De vragen zijn specifiek voor jouw sector en de bevindingen uit je scan. Een restaurant krijgt vragen over reserveringssystemen en camerabewaking. Een adviesbureau krijgt vragen over klantdossiers en projectgegevens. Je wordt niet gevraagd naar zaken die niet op jou van toepassing zijn.
Je antwoorden worden vertaald naar registervermeldingen, waarmee het beeld compleet wordt.
Betrouwbaarheidslabels: weet wat geverifieerd is
Een van de grootste frustraties bij automatisch gegenereerde documenten is onzekerheid. “Is dit correct? Kan ik dit vertrouwen? Moet ik alles controleren?”
GDPRWise pakt dit aan met betrouwbaarheidslabels op elke vermelding in je register:
Gedetecteerd - Deze verwerkingsactiviteit is door de scan met hoge zekerheid geidentificeerd. De tool, het gegevenstype en het doel zijn bevestigd. Je kunt deze vermelding vertrouwen zonder verdere actie.
Beoordeling nodig - Deze vermelding is gebaseerd op je sectorbasis of je antwoorden, maar vereist verificatie. Misschien is de bewaartermijn een standaardwaarde die mogelijk niet overeenkomt met jouw specifieke beleid, of moet de lijst van ontvangers worden bijgewerkt.
Deze labels geven je duidelijkheid. Je weet precies waar je je tijd aan moet besteden en waar het register al solide is. In plaats van honderden velden te beoordelen, focus je alleen op de items die jouw aandacht nodig hebben.
Wat je register bevat
Elke verwerkingsactiviteit in je register bevat de velden die vereist zijn onder artikel 30 van de GDPR:
- Doel van de verwerking - waarom je deze gegevens verwerkt (bijv. “beheer van klantbestellingen”)
- Rechtsgrond - op welke grond de verwerking is toegestaan (bijv. uitvoering van een overeenkomst, gerechtvaardigd belang, toestemming)
- Categorieen persoonsgegevens - welke gegevens betrokken zijn (bijv. naam, e-mail, betalingsgegevens)
- Categorieen betrokkenen - wiens gegevens het zijn (bijv. klanten, werknemers, websitebezoekers)
- Ontvangers - wie de gegevens ontvangt (bijv. betalingsverwerker, e-mailmarketingplatform, accountant)
- Bewaartermijnen - hoe lang je de gegevens bewaart
- Beveiligingsmaatregelen - hoe de gegevens worden beschermd
- Doorgifte naar derde landen - of gegevens de EU/EER verlaten
GDPRWise vult zoveel mogelijk automatisch in. Waar het platform onzeker is, biedt het suggesties met uitleg zodat je een weloverwogen keuze kunt maken.
Exporteren in professionele formaten
Je register moet deelbaar zijn. De toezichthouder kan het opvragen. Je accountant heeft het misschien nodig. Een auditor kan ernaar vragen tijdens een certificeringsproces.
GDPRWise laat je je register exporteren in twee formaten:
- PDF - Een professioneel opgemaakt document, gestructureerd en overzichtelijk. Klaar om te presenteren aan een inspecteur of op te nemen in je compliancedocumentatie.
- Excel - Een bewerkbaar spreadsheet, handig voor interne samenwerking, verdere analyse of integratie met andere beheersystemen.
Beide exports weerspiegelen altijd de nieuwste versie van je register, inclusief alle aanpassingen die je hebt gemaakt.
Actueel houden met doorlopende monitoring
Een verwerkingsregister is geen eenmalig document. Wanneer je een nieuwe tool aan je website toevoegt, van betaalprovider wisselt of een nieuwe marketingcampagne start, moet je register worden bijgewerkt.
Met het Peace of Mind-abonnement herscant GDPRWise periodiek je website en vergelijkt de resultaten met je bestaande register. Nieuwe verwerkingsactiviteiten verschijnen als suggesties. Stopgezette activiteiten worden gemarkeerd voor verwijdering. Wijzigingen aan bestaande tools of scripts worden uitgelicht.
Je ontvangt een helder overzicht van wat er is veranderd en wat je aandacht nodig heeft. Geen noodzaak om zelf te onthouden je register handmatig te beoordelen. Geen risico dat het veroudert zonder dat je het merkt.
Waarom dit belangrijk is voor je bedrijf
Het verwerkingsregister is niet zomaar een compliance-vinkje. Het is het document dat bewijst dat je je eigen datastromen begrijpt. Wanneer een klant vraagt welke gegevens je over hem hebt, vertelt het register je waar je moet kijken. Wanneer je een nieuwe tool evalueert, helpt het register je de privacy-impact te beoordelen. Wanneer er iets misgaat, toont het register de toezichthouder dat je je zaakjes op orde had.
Het aanmaken van dat register zou geen weken handmatig werk moeten kosten. Met het drielagenmodel, de betrouwbaarheidslabels en de doorlopende monitoring van GDPRWise krijg je een compleet, nauwkeurig en onderhoudbaar register in een fractie van de tijd.
Start een gratis scan en ontdek hoe het drielagenmodel van GDPRWise je verwerkingsregister opbouwt. Sectorgegevens, scanresultaten en jouw antwoorden - gecombineerd tot een compleet register met betrouwbaarheidslabels.