
Gratis AVG-verwerkingsregister (2026) — artikel 30-sjabloon, Excel
Sjabloon voor het register van verwerkingsactiviteiten: werkbladen voor verwerkingsverantwoordelijke en verwerker, rechtsgrondslag, doorgiften en bewaartermijnen. Gratis XLSX, PDF en Markdown, zonder e-maildrempel.
Download dit sjabloon
Versie 1.0 · Bijgewerkt 14 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Nederlands (anders: Engels)
AVG-verwerkingsregister: gratis artikel 30-sjabloon
Het register van verwerkingsactiviteiten (RoPA) is het register dat AVG-artikel 30 vrijwel elke organisatie verplicht bij te houden: verwerkingsverantwoordelijken documenteren onder artikel 30, lid 1, per verwerkingsactiviteit de doeleinden, gegevenscategorieën, ontvangers, doorgiften, bewaartermijnen en beveiligingsmaatregelen, en verwerkers documenteren onder artikel 30, lid 2, de categorieën van verwerkingen die zij voor elke verwerkingsverantwoordelijke uitvoeren. Dit gratis sjabloon levert beide registers in één dropdown-gestuurd Excel-bestand — opgezet voor de EU-27/EER, met kolommen voor rechtsgrondslag en doorgifte-instrument en tien vooraf ingevulde voorbeeldactiviteiten — zodat u rijen invult in plaats van spreadsheets ontwerpt.
Het verwerkingsregister is meestal het eerste document waar een toezichthoudende autoriteit — in Nederland de Autoriteit Persoonsgegevens — om vraagt: de richtsnoeren van de Ierse DPC verwachten een register dat volledig en zelfstandig leesbaar is voor een externe beoordelaar, en verwachten dat organisaties het op verzoek kunnen overleggen. Toch bouwen de meeste teams het hunne nog vanaf een leeg werkblad in de week dat een toezichthouder of een enterprise-klant erom vraagt. Dit sjabloon — beschikbaar als XLSX, PDF-veldgids en een machine-leesbaar Markdown-bestand voor AI-agents (de downloadbestanden zijn beschikbaar in het Nederlands) — haalt die stap weg. Het is de operationele metgezel van onze AVG-compliancegids, die het verantwoordingsbeginsel uitlegt dat dit register dient; deze pagina geeft u het artefact dat het aantoont.
Belangrijkste punten
- Artikel 30 geldt afzonderlijk voor verwerkingsverantwoordelijken en verwerkers: artikel 30, lid 1, regelt uw eigen verwerkingen; artikel 30, lid 2, regelt wat u voor klanten verwerkt. Een B2B-SaaS-bedrijf heeft vrijwel altijd beide registers nodig — dit sjabloon levert ze allebei.
- De vrijstelling onder 250 werknemers is smaller dan ze lijkt. Volgens het WP29-standpuntdocument (april 2018) activeert elk van de drie factoren — risico, niet-incidentele verwerking of bijzondere categorieën van gegevens — de plicht al afzonderlijk. Routinematige salarisadministratie, CRM en support zijn nooit "incidenteel".
- Het register moet schriftelijk, actueel en op verzoek overlegbaar zijn (artikel 30, leden 3 en 4). De Ierse DPC beschouwt een verouderd of fragmentarisch register op zichzelf al als een verantwoordingstekort.
- Registergebreken vallen in de lagere boetecategorie — tot 10 miljoen euro of 2% van de wereldwijde jaaromzet onder artikel 83, lid 4 — en worden geregeld als verzwarende factor aangehaald naast bevindingen over het verantwoordingsbeginsel van artikel 5, lid 2.
- Eén register, drie toezichthouders: de UK GDPR behoudt artikel 30 ongewijzigd (ICO), en het Noorse Datatilsynet verwacht hetzelfde protokoll over behandlingsaktiviteter onder de Personal Data Act — de structuur van het sjabloon bedient alle drie.
Wat er in het sjabloon zit
De XLSX bevat vier werkbladen: Organisatiegegevens (het identiteitsblok van artikel 30, lid 1, onder a) en lid 2, onder a) — verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijken, artikel 27-vertegenwoordiger, FG), het Register verwerkingsverantwoordelijke, kolom voor kolom gemapt op artikel 30, lid 1, onder b) tot en met g), het Register verwerker, gemapt op artikel 30, lid 2, onder b) tot en met d), en Instructies, inclusief een beslishulp voor artikel 30, lid 5. De PDF spiegelt de veldgids voor print en reviewvergaderingen; de Markdown-variant bevat volledige velddefinities met enums, zodat een AI-agent uw register kan opstellen op basis van uw systeeminventaris.
Tien veelvoorkomende verwerkingsactiviteiten zijn vooraf ingevuld als uitgewerkte voorbeelden — vervang ze door uw eigen activiteiten:
| Ref | Activiteit | Rechtsgrondslag | Bijzondere categorie | Doorgifte buiten EER | Bewaartermijn |
|---|---|---|---|---|---|
| C-01 | Personeelsadministratie en salarisverwerking | Overeenkomst — art. 6, lid 1, onder b) | Nee | Nee | Dienstverband + wettelijke termijnen |
| C-02 | Verzuim- en gezondheidsbeheer | Wettelijke verplichting — art. 6, lid 1, onder c) | Ja — art. 9, lid 2, onder b) | Nee | Dienstverband + wettelijke termijnen |
| C-03 | Sollicitantenbeheer | Gerechtvaardigd belang — art. 6, lid 1, onder f) | Nee | Ja — VS (SCC's) | 6 maanden na de procedure |
| C-04 | CRM en klantbeheer | Gerechtvaardigd belang — art. 6, lid 1, onder f) | Nee | Ja — VS (SCC's) | Relatie + 3 jaar |
| C-06 | Websiteanalyse | Toestemming — art. 6, lid 1, onder a) | Nee | Nee | 14 maanden |
Elke rij van het verwerkingsverantwoordelijkenregister bevat verder de kolommen waar toezichthouders op doorvragen: categorieën van betrokkenen en persoonsgegevens (art. 30, lid 1, onder c)), categorieën van ontvangers inclusief verwerkers (art. 30, lid 1, onder d)), het hoofdstuk V-doorgifte-instrument met een verwijzing naar de artikel 49-waarborgen (art. 30, lid 1, onder e)), bewaarcriteria (art. 30, lid 1, onder f)), de beschrijving van de beveiligingsmaatregelen van artikel 32, lid 1 (art. 30, lid 1, onder g)), plus DPIA-status, eigenaar, reviewdatum en een rijstatus — met dropdown-validaties die de waarden consistent houden.
Zo gebruikt u het
Stap 1 — Vul het identiteitsblok in. Het werkblad Organisatiegegevens legt de namen, contactgegevens, vertegenwoordigers en FG van artikel 30, lid 1, onder a) en lid 2, onder a) één keer vast, zodat niet elke registerrij ze hoeft te herhalen.
Stap 2 — Inventariseer per doel, niet per systeem. De registre-richtsnoeren van de CNIL geven de helderste structuurregel: één rij per verwerkingsactiviteit, geïdentificeerd door haar doel. Eén systeem kan meerdere activiteiten hosten en één activiteit kan meerdere systemen beslaan — "personeelsadministratie en salarisverwerking", niet "het HR-platform". Groepeer rijen per bedrijfsfunctie, zoals de Ierse DPC aanbeveelt.
Stap 3 — Vul elke kolom van het verwerkingsverantwoordelijkenregister in, inclusief de rechtsgrondslag. De rechtsgrondslag staat niet in de tekst van artikel 30, maar elk toezichthouderssjabloon neemt haar op, en de DPA-review van een enterprise-klant zal ernaar vragen. Markeer bijzondere categorieën van gegevens onder artikel 9 en leg de ingeroepen voorwaarde van artikel 9, lid 2, vast — verwerking van bijzondere categorieën is bovendien een van de drie factoren die de vrijstelling van artikel 30, lid 5, doen vervallen.
Stap 4 — Registreer doorgiften per rij. "Buiten de EER" is de operationele toets. Benoem het derde land, kies het hoofdstuk V-instrument — adequaatheidsbesluit, SCC's, BCR's — en verwijs voor elke artikel 49-afwijking naar de gedocumenteerde waarborgen, die artikel 30, lid 1, onder e), uitdrukkelijk vereist. Houd dit consistent met de subverwerkerslijst die uw klanten zien; onze gids over AVG-subverwerkerbeheer behandelt dat aangrenzende register.
Stap 5 — Verwerkt u voor klanten, vul dan het verwerkersregister in. Eén rij per verwerkingsverantwoordelijke, met beschrijvingen van de uitgevoerde verwerkingen op categorieniveau — hosting, back-up, supporttoegang — geen detail per record. Verwijs naar de artikel 28, lid 3-verwerkersovereenkomst waaronder elke rij opereert.
Stap 6 — Houd het levend. Wijs een registereigenaar aan, plan reviewdata en markeer vervangen rijen als "Vervallen — bewaard" in plaats van ze te verwijderen, zodat het register zijn eigen geschiedenis toont. Een verwerkingsregister dat bij livegang klopte en daarna nooit meer is aangeraakt, zakt voor de "levend document"-verwachting die elke toezichthouder inmiddels hanteert.
Juridische grondslag
Het register is gemapt op Verordening (EU) 2016/679, artikel 30: het register van de verwerkingsverantwoordelijke onder artikel 30, lid 1, onder a) tot en met g), het verwerkersregister onder artikel 30, lid 2, onder a) tot en met d), het schriftelijkheidsvereiste in artikel 30, lid 3, en de inzage door de toezichthoudende autoriteit in artikel 30, lid 4. De afwijking van artikel 30, lid 5, wordt toegepast volgens de uitleg van het WP29-standpuntdocument van april 2018, bekrachtigd door de EDPB: de drie diskwalificerende factoren zijn alternatieven, en "incidenteel" betekent buiten de normale bedrijfsvoering.
Eén vooruitblik: het digital-omnibuspakket van de Commissie uit 2025 stelt voor artikel 30, lid 5, zo te wijzigen dat organisaties met minder dan 750 werknemers zijn vrijgesteld, behalve voor verwerkingen die waarschijnlijk een hoog risico inhouden, en het gezamenlijke advies 01/2025 van EDPB en EDPS verwelkomde de gerichte vereenvoudiging, met vragen om verduidelijking van de drempel. Medio 2026 blijft dit een voorstel in de gewone wetgevingsprocedure — het huidige artikel 30 geldt onverkort, en een register blijft hoe dan ook de praktische ruggengraat van de verantwoordingsplicht. De structuurconventies volgen de RoPA-richtsnoeren van de Ierse DPC (april 2023) — zelfstandig leesbaar, granulair, per bedrijfsfunctie, leesbaar voor de toezichthouder — en de registre-richtsnoeren van de CNIL over inventariseren per doel. Het verwerkingsregister voedt bovendien uw bewijs van beveiligingsmaatregelen onder artikel 32: kolom g) is een samenvatting van de TOM's die die pagina u leert aantonen.
Buiten de EU-27: VK en Noorwegen
In het VK behoudt de UK GDPR artikel 30 ongewijzigd, en de documentatierichtsnoeren van de ICO leveren gratis sjablonen voor verwerkingsverantwoordelijken en verwerkers. Het ICO-bestand is op het VK gericht en primair voor verwerkingsverantwoordelijken; dit sjabloon voegt het verwerkersregister, de EER-doorgiftekolommen en uitgewerkte voorbeelden toe in één werkmap — behandel bij inzet in het VK "buiten het VK" als doorgiftetoets en de ICO als uw autoriteit. In Noorwegen geldt de AVG via de EER-overeenkomst en de Personal Data Act (personopplysningsloven), en beoordeelt Datatilsynet het protokoll over behandlingsaktiviteter in onderzoeken — zijn Telenor-besluit maakte expliciet dat organisaties boven de drempels van artikel 30, lid 5, het volledige register moeten bijhouden. Voor EU-verwerkingsverantwoordelijken zijn doorgiften naar Noorwegen intra-EER, geen doorgiften aan een derde land.
Van register naar levend bewijs
Een spreadsheet-verwerkingsregister bewijst dat u uw verwerkingen hebt gedocumenteerd; het kan de documentatie niet waar houden. Er komen nieuwe leveranciers bij, bewaarinstellingen verschuiven, een subverwerker wisselt van regio — en het register loopt geruisloos uit de pas met de werkelijkheid, precies de inconsistentie die een toezichthoudende autoriteit of een enterprise-DPA-review als eerste vindt. Het Trust Center-platform van Orbiq houdt de koperszijde van dit bewijs — verwerkersovereenkomst, TOM's, subverwerkerslijst, certificaten — actueel en toegangsgecontroleerd op één plek, zodat het werk dat uw verwerkingsregister documenteert ook de volgende security review van een klant beantwoordt; Trust Center voor juridische teams laat zien hoe privacyjuristen die workflow draaien. Vraagt een klant u om uw bewijs te sturen in plaats van te tonen, combineer het register dan met ons AVG-sjabloon voor wijzigingsmeldingen van subverwerkers.
Bronnen en verwijzingen
- Verordening (EU) 2016/679 (AVG) — volledige tekst — artikel 30, leden 1 tot en met 5, artikel 83, lid 4.
- WP29 — standpuntdocument over de afwijkingen van artikel 30, lid 5 — april 2018, bekrachtigd door de EDPB; de lezingen "alternatieve factoren" en "incidenteel".
- Ierse DPC — "Records of Processing Activities under Article 30 GDPR" (april 2023) — richtsnoeren over volledigheid en structuur, gepubliceerd op de website van de Ierse Data Protection Commission (die geautomatiseerde linkcheckers blokkeert en hier daarom zonder hyperlink wordt aangehaald).
- CNIL — Record of processing activities (GDPR-toolkit) — registre-structurering per doel.
- ICO — documentatierichtsnoeren en sjablonen — UK GDPR artikel 30-sjablonen voor verwerkingsverantwoordelijken en verwerkers.
- Datatilsynet — besluit over de FG-rol bij Telenor ASA — verwachtingen rond artikel 30-registratie in Noorwegen.
- Gezamenlijk advies 01/2025 van EDPB en EDPS — vereenvoudiging van de registerplicht — juli 2025; het aanhangige onder-750-voorstel.
Verder lezen
Download dit sjabloon
Versie 1.0 · Bijgewerkt 14 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Nederlands (anders: Engels)
Veelgestelde vragen
Wat is een verwerkingsregister onder AVG-artikel 30?
Het register van verwerkingsactiviteiten (in het Engels: RoPA) is het verplichte AVG-register waarin een organisatie elke verwerkingsactiviteit documenteert. Verwerkingsverantwoordelijken leggen onder artikel 30, lid 1, de doeleinden, categorieën van betrokkenen en persoonsgegevens, ontvangers, doorgiften aan derde landen, bewaartermijnen en beveiligingsmaatregelen vast; verwerkers documenteren onder artikel 30, lid 2, de categorieën van verwerkingen die zij voor elke verwerkingsverantwoordelijke uitvoeren. Het register moet schriftelijk zijn, elektronische vorm inbegrepen, en op verzoek aan de toezichthoudende autoriteit worden verstrekt.
Wie is vrijgesteld van de registerplicht?
In de praktijk vrijwel niemand. Artikel 30, lid 5, stelt organisaties met minder dan 250 werknemers alleen vrij wanneer de verwerking waarschijnlijk geen risico voor betrokkenen inhoudt, incidenteel is en geen bijzondere categorieën van gegevens of strafrechtelijke gegevens omvat. Het standpuntdocument van de WP29 van april 2018 leest deze voorwaarden als alternatieven — elk van de drie afzonderlijk activeert de plicht al — en 'incidenteel' betekent buiten de normale bedrijfsvoering. Salarisadministratie, CRM, support en marketing zijn de normale bedrijfsvoering, dus vrijwel elk opererend bedrijf moet zijn routineactiviteiten vastleggen.
Wat moet het register van een verwerkingsverantwoordelijke bevatten?
Artikel 30, lid 1, vereist: de naam en contactgegevens van de verwerkingsverantwoordelijke (plus gezamenlijke verwerkingsverantwoordelijken, vertegenwoordiger en FG waar van toepassing); de verwerkingsdoeleinden; categorieën van betrokkenen en persoonsgegevens; categorieën van ontvangers, ook in derde landen; doorgiften aan derde landen met vermelding van het land en, voor doorgiften op grond van de artikel 49-afwijkingen, gedocumenteerde waarborgen; waar mogelijk de beoogde bewaartermijnen; en waar mogelijk een algemene beschrijving van de beveiligingsmaatregelen van artikel 32, lid 1.
Hebben verwerkers een eigen verwerkingsregister nodig?
Ja. Artikel 30, lid 2, verplicht elke verwerker een register bij te houden van alle categorieën van verwerkingen die namens elke verwerkingsverantwoordelijke worden uitgevoerd — de identiteit en contactgegevens van de verwerker en van elke verwerkingsverantwoordelijke, de categorieën van uitgevoerde verwerkingen, doorgiften aan derde landen en een algemene beschrijving van de beveiligingsmaatregelen. Een B2B-SaaS-bedrijf is doorgaans beide: verwerkingsverantwoordelijke voor zijn eigen HR-, sales- en marketinggegevens, en verwerker voor de klantgegevens op zijn platform. Dit sjabloon levert beide registers in één bestand.
Is de rechtsgrondslag verplicht in het verwerkingsregister?
Niet volgens de letterlijke tekst van artikel 30 — maar elk sjabloon van een Europese toezichthouder neemt haar op, en toezichthouders beschouwen een register zonder rechtsgrondslagen als onvolledige verantwoordingsdocumentatie. Dit sjabloon bevat op elke rij van het verwerkingsverantwoordelijkenregister een dropdown-kolom voor de rechtsgrondslag van artikel 6, lid 1, plus velden voor de artikel 9, lid 2-voorwaarde bij bijzondere categorieën van gegevens.
Wordt de registerplicht versoepeld voor bedrijven met minder dan 750 werknemers?
Nog niet. Het digital-omnibusvereenvoudigingsvoorstel van de Europese Commissie uit 2025 zou artikel 30, lid 5, wijzigen zodat organisaties met minder dan 750 werknemers zijn vrijgesteld tenzij de verwerking waarschijnlijk een hoog risico inhoudt, en het gezamenlijke advies 01/2025 van EDPB en EDPS verwelkomde die gerichte wijziging in grote lijnen. Maar medio 2026 is het nog altijd een voorstel in de gewone wetgevingsprocedure — artikel 30 geldt vandaag onverkort, en ook onder het voorstel blijft een register verplicht voor verwerkingen met een hoog risico.
Waarin verschilt dit sjabloon van het gratis RoPA-sjabloon van de ICO?
Het Excel-sjabloon van de ICO is op het VK gericht en primair voor verwerkingsverantwoordelijken. Dit sjabloon is opgezet voor de EU-27/EER met aantekeningen voor het VK en Noorwegen, levert de registers voor verwerkingsverantwoordelijke en verwerker in één werkmap, voegt EER-doorgiftekolommen toe met dropdowns voor de hoofdstuk V-instrumenten, bevat tien vooraf ingevulde verwerkingsactiviteiten als uitgewerkte voorbeelden en omvat een machine-leesbare Markdown-variant zodat een AI-agent uw register kan opstellen.