Verwerkingsregister vs. Privacyverklaring: Wat is het Verschil (en Waarom u Beide Nodig Heeft)

U heeft het (waarschijnlijk) netjes geregeld: er staat een privacyverklaring op uw website. Misschien heeft u een jurist betaald, of misschien heeft u een template online gevonden en aangepast. U informeert uw klanten, dus u bent klaar met de AVG. Toch?

Niet zo snel. U mist waarschijnlijk de belangrijkste stap van de twee: het verwerkingsregister.

Het hebben van alleen een privacyverklaring is als een restaurant met een prachtige menukaart, maar zonder keuken. Het ziet er goed uit, maar het is gebakken lucht als de inspectie langskomt.

Wat is een Privacyverklaring? (De 'Menukaart')

Een privacyverklaring (of 'privacy policy') is een extern document. Het is bedoeld voor de buitenwereld: uw klanten, websitebezoekers, en sollicitanten.

Het doel is informeren. U legt in begrijpelijke taal uit:

• Wie u bent.
• Welke persoonsgegevens u van hen verzamelt.
• Waarom u dat doet (de doelen).
• Hoe lang u het bewaart.
• Met wie u het deelt (bijv. "Onze boekhouder" of "Mailchimp").
• Wat hun rechten zijn (zoals inzage of verwijdering).

Het is een juridische belofte aan uw klanten. Maar het is géén administratie.

Wat is een Verwerkingsregister? (De 'Keuken')

Het verwerkingsregister is een intern document. Het is niet voor uw klanten, maar voor uzelf en als verplicht bewijsstuk voor de Autoriteit Persoonsgegevens (AP).

Het doel is documenteren. Het is uw complete, interne administratie van álle dataverwerkingen binnen uw bedrijf. Waar de policy zegt "We gebruiken uw e-mailadres voor de nieuwsbrief", staat in het register:

Verwerking: Nieuwsbrief
Data: Voornaam, e-mailadres
Grondslag: Toestemming (double opt-in)
Tool (Verwerker): Mailchimp (Verenigde Staten)
Bewaartermijn: Tot uitschrijving
Beveiliging: 2FA op Mailchimp-account

U ziet het verschil: het register bevat de *harde feiten* en de *specifieke tools*. Het is de blauwdruk van uw bedrijfsvoering.

Het Echte Risico: Een Policy Zonder Register

Dit is het cruciale punt: als de Autoriteit Persoonsgegevens (AP) aanklopt (bijvoorbeeld na een klacht of een datalek), zullen ze niet om uw mooie privacyverklaring vragen. Ze negeren die.

Ze stellen één vraag: "Kunt u ons uw verwerkingsregister sturen?"

Als u dat niet heeft, staat u direct 1-0 achter. U kunt niet bewijzen dat u controle heeft. Dat 'gekopieerde' template van uw website is op dat moment waardeloos. Sterker nog, het kan tegen u werken:

Het Gevaar van een Gekopieerde Policy

Stel, in uw template-policy staat: "Wij delen uw data nooit met partijen buiten de EU." Maar u gebruikt Mailchimp, Google Analytics, of Microsoft 365, die data (vaak) in de VS verwerken.

U liegt dan publiekelijk tegen uw klanten én u heeft uw interne administratie (het register) niet op orde om deze fout te ontdekken. Dit is het 'gedoe' waar de AP niet van houdt.

De Juiste Volgorde: Eerst de Keuken, Dan de Menukaart

U kunt geen menukaart (policy) schrijven als u de recepten (register) niet heeft.

1. Stap 1 (Intern): Het Verwerkingsregister. U brengt eerst voor uzelf in kaart: Wát doe ik met welke tools en waarom? Dit is de feitelijke basis.
2. Stap 2 (Extern): De Privacyverklaring. Daarna schrijft u een samenvatting van die feiten voor uw klanten.