Wat is een verwerkingsregister (RoPA)? (AVG Art. 30)

Een verwerkingsregister (Engels: Record of Processing Activities, RoPA) is een verplichte interne lijst van alle verwerkingen die jouw organisatie uitvoert (AVG Art. 30). De AP kan dit op elk moment opvragen — dat is de toets voor verantwoordingsplicht (Art. 5 lid 2). Verplichte inhoud voor verwerkingsverantwoordelijke (Art. 30 lid 1): naam + contact verantwoordelijke + DPO, doeleinden, categorieën betrokkenen + persoonsgegevens, ontvangers (incl. derde landen), bewaartermijnen, beveiligingsmaatregelen, internationale doorgifte met waarborgen. Voor verwerker (Art. 30 lid 2): naam + contact verantwoordelijke + verwerker + DPO, categorieën verwerkingen die je doet voor elke verantwoordelijke, doorgifte, beveiligingsmaatregelen. Uitzondering klein bedrijf? Art. 30 lid 5 lijkt te suggereren dat <250 werknemers vrijstelling — maar de uitzondering vervalt zodra je verwerkt: (a) niet-incidenteel, (b) bijzondere of strafrechtelijke data, (c) data die risico oplevert. In de praktijk = elke MKB-bakker, webshop, of HR-club moet er één hebben. Vorm: Excel volstaat. AP heeft een gratis template. Externe SaaS-tools beschikbaar (OneTrust, Privacy Tools) voor grote organisaties. Wat NIET in het register staat: de daadwerkelijke persoonsgegevens — dat is de verwerking zelf. Register is de meta-data over verwerking. Boete: geen register = Art. 83 lid 4, tot €10m / 2%. Recente AP-boetes 2023-2025 voor ontbrekend RoPA bij zorgaanbieders + onderwijsinstellingen.