TrustYourWebsite
AVG & Privacy

Verwerkingsregister AVG België: GBA-gids voor kmo's

Steven | TrustYourWebsite · 16 juni 2026 · Laatst bijgewerkt: juni 2026

Het verwerkingsregister is de schriftelijke inventaris van elk gebruik van persoonsgegevens in je onderneming. Artikel 30 AVG (verordening 2016/679) verplicht de verwerkingsverantwoordelijke dit document bij te houden. In België vraagt de Gegevensbeschermingsautoriteit (GBA) het als eerste op bij een controle of na een klacht.

Weet je niet welke externe tools je site laadt? Scan je website gratis en zie welke trackers en scripts actief zijn voordat je het register invult.

Spring direct naar het modelregister voor een Belgische kmo, of lees verder voor de regels.

Wie moet een register bijhouden?

Artikel 30.5 AVG voorziet een vrijstelling voor organisaties met minder dan 250 werknemers. Die geldt alleen als de drie volgende voorwaarden samen gelden:

  • De verwerking is incidenteel en geen vaste activiteit
  • De verwerking vormt geen risico voor de rechten en vrijheden van betrokkenen
  • Er worden geen bijzondere gegevens verwerkt (gezondheid, overtuiging, religie, biometrie, strafrechtelijke gegevens)

In de praktijk is de vrijstelling erg smal. De GBA bevestigt in haar vademecum voor kmo's dat nagenoeg elke organisatie een register nodig heeft.

Als je ... hebtWaarom het register verplicht is
Een website met bezoekersmetingVaste verwerking, geen vrijstelling
Een nieuwsbriefVaste verwerking, geen vrijstelling
Een klantenbestandVaste verwerking, geen vrijstelling
Reservaties met dieetgegevensBijzondere gegevens, geen vrijstelling
Personeel aangegeven bij de RSZVaste verwerking, geen vrijstelling

Wat het register moet bevatten

Voor een verwerkingsverantwoordelijke documenteert elke verwerking:

  1. Naam en contactgegevens van de verantwoordelijke en een eventuele vertegenwoordiger
  2. Naam van de DPO als je er een hebt aangesteld
  3. Doeleinden van de verwerking, bijvoorbeeld orderbevestigingen sturen of de bezoekersmeting
  4. Categorieën betrokkenen, klanten, bezoekers, werknemers of sollicitanten
  5. Categorieën gegevens, namen, e-mails, IP-adressen, financiële of gezondheidsgegevens
  6. Ontvangers, elke dienstverlener die gegevens ontvangt. Elke verwerker vereist een verwerkersovereenkomst op grond van artikel 28
  7. Doorgiften buiten de EU, het land en de toepasselijke garantie (modelcontractbepalingen, adequaatheidsbesluit)
  8. Bewaartermijn per categorie gegevens
  9. Algemene beschrijving van de beveiligingsmaatregelen (versleuteling, toegangscontrole, back-ups)

Het modelregister van de GBA

Je hoeft niet van een leeg blad te starten. De GBA stelt een modelregister en een vademecum ter beschikking, gericht op kmo's. De Belgische wet van 30 juli 2018 vult de AVG aan zonder de registerplicht te wijzigen.

Het model dekt de velden van artikel 30.1. Je vervangt de voorbeelden door je eigen situatie en hebt binnen een uur een bruikbaar register.

Modelregister voor een Belgische kmo

Hieronder een tabel om aan te passen. Elke rij staat voor een verwerking.

Onderneming: [Naam van je onderneming]
Ondernemingsnummer (KBO): [Je KBO-nummer]
Contact: [E-mailadres voor gegevensvragen]
Laatst bijgewerkt: [Datum]

VerwerkingDoelBetrokkenenCategorieën gegevensRechtsgrondOntvangersDoorgifte buiten EUBewaring
BezoekersmetingNavigatie begrijpenBezoekersIP-adres, paginaweergavenToestemmingAnalysetoolVolgens tool25 maanden
ContactformulierVragen beantwoordenBezoekers, prospectsNaam, e-mail, berichtGerechtvaardigd belangE-mailhostGeen1 jaar
NieuwsbriefMarketingcommunicatieAbonneesNaam, e-mailToestemmingE-maildienstVolgens toolDuur van het abonnement
BestellingenBestellingen uitvoerenKlantenNaam, adres, betalingOvereenkomstBetaaldienstVolgens tool7 jaar (boekhouding)
LoonPersoneel betalenWerknemersNaam, rekening, loonWettelijke verplichtingSociaal secretariaatGeen7 jaar
WervingPersoneel aanwervenSollicitantenNaam, cv, contactPrecontractueelHR-toolGeen1 jaar na contact

Bewaartermijnen in Belgisch recht

De bewaartermijn is het veld dat de GBA als eerste bekijkt. Vermijd de vermelding "zolang als nodig" en geef een concrete termijn met de grondslag.

CategorieTermijnGrondslag
Boeken en verantwoordingsstukken7 jaarWetboek van economisch recht, art. III.86
Btw-stukken7 jaarBtw-wetboek, art. 60
Loonfiches5 jaar na einde contractWet van 3 juli 1978
Klantgegevens (beheer)3 jaar na einde relatieAanbeveling GBA
Cookies (levensduur)13 maanden, gegevens 25 maandenAanbeveling GBA

Veelgemaakte fouten

FoutDoe dit in plaats daarvan
"Gegevens bewaard zolang als nodig"Een concrete termijn en de grondslag noteren
Doel en rechtsgrond verwarren"Vragen beantwoorden" is het doel, de grond is gerechtvaardigd belang of overeenkomst
Alleen je eigen onderneming als ontvangerElke verwerker opnemen die gegevens ontvangt
IP-adressen vergetenEen IP is een persoonsgegeven zodra je logs het bewaren
Niet bijwerkenHet register herzien bij elke nieuwe tool of dienstverlener

Wat de GBA met je register doet

Het register is een intern document. Je hoeft het niet te publiceren. Maar de GBA kan het opvragen bij een controle of na een klacht. Een ontbrekend of onvolledig register is op zich een inbreuk, en een aanleiding voor verder onderzoek.

Een goed register bewijst dat je over je verwerkingen hebt nagedacht en dat je AVG-verplichtingen voor Belgische kmo's op orde zijn.

Praktische stappen om je register op te stellen

  1. Vertrek van het GBA-model of een rekenblad
  2. Lijst elke tool en dienst op die persoonsgegevens raakt
  3. Vul de kolommen per verwerking in met de tabel hierboven
  4. Overloop je website voor analytics, kaarten, chatwidgets en andere scripts
  5. Neem offline verwerkingen mee, papieren formulieren, telefoonnotities, camerabewaking
  6. Dateer het register en zet een herinnering voor een herziening om de 6 tot 12 maanden

Voor de zichtbare punten van je site start je met een AVG-website-audit.

Veelgestelde vragen

Moet een Belgische kmo onder 250 werknemers een register bijhouden?

Meestal wel. Artikel 30.5 AVG stelt alleen vrij als de drie voorwaarden samen gelden: incidentele verwerking, geen risico en geen bijzondere gegevens. Een onderneming met website, nieuwsbrief of personeel blijft verplicht.

Welke autoriteit controleert het register in België?

De Gegevensbeschermingsautoriteit (GBA). Zij kan het register opvragen bij een controle of na een klacht.

Moet het register openbaar zijn?

Nee. Het is een intern document. Alleen de GBA, op verzoek, en je eventuele DPO en directie hebben er toegang toe.

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor je specifieke situatie.

Bronnen

Deel dit artikel

Check je website nu

Scan je website op AVG & Privacy-problemen en 30+ andere checks.

Gratis scan starten

Website-handleidingen

AI-website en GBA-klacht: wie betaalt in België?

Uw bouwer gebruikte Cursor of Lovable. Werkt de cookiebanner niet? De GBA spreekt u aan, niet OpenAI. Wat verandert er op 9 december 2026?

AVG website-audit: stap-voor-stap voor Belgische ondernemers

Doe in twee uur een volledige AVG-audit van uw Belgische website. GBA-aanpak, TCF-ruling 2022, Belgische bewaartermijnen. Stap voor stap.

AVG-checklist voor Belgische KMO (2026): 35 punten

35 controlepunten voor AVG-naleving op uw Belgische website. GBA-handhaving, wet 30 juli 2018, KBO-nummer en cookiebanner. Bijgewerkt mei 2026.

Cookiebanner België: GBA boetes en regels voor uw website

Wat de GBA vereist voor uw cookiebanner. Dark patterns, Alles weigeren knop, GBA-boetes. De Mediahuis-zaak uitgelegd. Gratis check voor uw website.

Cookiebanner vereisten België: GBA-regels 2026

Wat uw cookiebanner moet bevatten onder art. 10/2 Kaderwet en de GBA-regels. Gelijke knoppen, drietalige tekst, geen dark patterns en een checklist.