Een verwerkingsregister is een gestructureerd overzicht van welke persoonsgegevens worden verwerkt, met welk doel, op basis van welke grondslag en binnen welke systemen of processen dat gebeurt. Het bestaat om organisaties te dwingen hun dataverwerking expliciet te maken, zodat duidelijk wordt welke gegevens worden verzameld, wie daarvoor verantwoordelijk is en hoe lang die gegevens worden bewaard. Zonder dit overzicht blijft privacywetgeving abstract, omdat risico’s, verplichtingen en afhankelijkheden niet concreet zijn vastgelegd.
In de praktijk fungeert een verwerkingsregister als het geheugen van de organisatie op het gebied van data. Het laat zien welke applicaties persoonsgegevens verwerken, welke externe partijen daarbij betrokken zijn en welke technische en organisatorische maatregelen zijn genomen. Dit maakt het mogelijk om vragen van toezichthouders, betrokkenen of auditors feitelijk te beantwoorden, in plaats van op basis van aannames.
Het register is geen beleidsstuk en ook geen eenmalige exercitie. Het moet kunnen meebewegen met wijzigingen in systemen, processen en samenwerkingen. Mijn uitgangspunt hierbij is eenvoudig: wie niet precies kan beschrijven welke data hij verwerkt, heeft daar in werkelijkheid ook geen aantoonbare controle over.