AVG en bezoekersregistratie: wat is verplicht?

Is een bezoekersregister wettelijk verplicht?

De AVG schrijft geen verplichting voor om bezoekers te registreren. De wet verbiedt het ook niet. Maar zodra u het wel doet, gelden er strikte eisen aan hóe u dat doet. En vrijwel iedereen doet het, omdat het noodzakelijk is voor toegangscontrole, BHV en aansprakelijkheid.

In de praktijk komt het er dus op neer dat bezoekersregistratie de facto onmisbaar is. De vraag is niet of u registreert, maar of u dat AVG-conform doet. Voor advocaten- en notariskantoren komt daar het beroepsgeheim nog bovenop, wat de eisen in feite verzwaart.

Wat zegt de AVG over fysieke bezoekersregistratie?

Artikel 5 van de AVG legt zes basisbeginselen vast die op alle persoonsgegevens van toepassing zijn. Voor bezoekersregistratie zijn er drie het meest relevant:

• Doelbinding (artikel 5 lid 1 sub b): u mag bezoekersgegevens alleen verwerken voor een specifiek, vooraf bepaald doel, bijvoorbeeld toegangscontrole en ontruimingsoverzicht. Niet voor marketing, niet voor analyse achteraf zonder grondslag.
• Minimale gegevensverwerking (artikel 5 lid 1 sub c): u verzamelt alleen wat strikt nodig is. Naam en bedrijf zijn doorgaans gerechtvaardigd. Volledige bezoekreden, telefoonnummer of geboortedatum zelden.
• Integriteit en vertrouwelijkheid (artikel 5 lid 1 sub f): u beschermt de gegevens tegen ongeautoriseerde of onrechtmatige verwerking, verlies, vernietiging of beschadiging. Dit is precies waar het papieren register de mist in gaat.

Waarom een papieren register vrijwel altijd niet voldoet

Stelt u zich het scenario voor: een bezoeker stapt binnen, ondertekent het register, en ziet daarbij de naam, het bedrijf en het bezoekdoel van de vorige tien bezoekers. Dat is geen theoretisch risico. Het is de standaardpraktijk bij vrijwel elk papieren bezoekersboek.

Wat een externe AVG-functionaris of de Autoriteit Persoonsgegevens daar bij een audit van vindt: dit is een ongeautoriseerde verwerking van persoonsgegevens en daarmee in beginsel een datalek. Of het ook gemeld moet worden hangt af van de gevoeligheid van de gegevens en de waarschijnlijkheid van schade. Maar de constatering "er is iets misgegaan" is vaak al gemaakt.

Daarbovenop komen vier praktische problemen:

• Geen audit-trail. Wie tekende wanneer? Het register kent geen betrouwbaar tijdstempel. Een receptionist die om 11:00 even de hele ochtend bijwerkt? Dat is achteraf niet te onderscheiden van realtime registratie.
• Geen automatische verwijdering. Bezoekersgegevens mogen volgens de AVG niet langer bewaard worden dan strikt nodig. Een papieren schrift uit 2018 dat nog ergens in een lade ligt: structureel risico.
• Geen ontruimingsoverzicht. Bij een brandalarm wilt u binnen 30 seconden weten wie er nog binnen is. Een schrift bij de balie helpt niet als de balie zelf ontruimd wordt.
• Geen reproduceerbaarheid. Een AVG-functionaris of accountant die vraagt "wie is er afgelopen kwartaal binnen geweest?" krijgt een stapel papier in plaats van een queryable log.

Wat geldt specifiek voor advocaten en notariskantoren?

Voor de juridische dienstverlening staan de eisen hoger. Naast de AVG geldt het beroepsgeheim (artikel 11a Advocatenwet, artikel 22 Wet op het notarisambt). Een tegenpartij die toevallig in de wachtruimte ziet wie er vóór hem op gesprek kwam, en bij welke advocaat, is een direct lek van professionele vertrouwelijkheid.

Dit speelt met name bij:

• Familierecht en strafrecht: tegenpartijen die toevallig in dezelfde zaal zitten kunnen elkaar herkennen via het register.
• Ondernemingsrecht en fusies: bezoekersnamen kunnen markt-gevoelige informatie prijsgeven (concurrenten die elkaars klanten zien).
• Internationale clientele: Amerikaanse en Britse bedrijven stellen in hun vendor due diligence steeds vaker expliciete vragen over fysieke beveiliging en bezoekersregistratie. Een papieren boek pakt slecht uit in zo'n vragenlijst.

Bij audits van internationale advocatenkantoren is "hoe is uw bezoekersregistratie georganiseerd?" een terugkerende vraag. Het antwoord "wij hebben een schrift bij de receptie" is in 2026 nauwelijks nog acceptabel.

Hoe lang mag u bezoekersgegevens bewaren?

De AVG geeft geen vaste bewaartermijn. U mag de gegevens bewaren zolang dat nodig is voor het doel waarvoor ze zijn verzameld. Voor reguliere bezoekersregistratie (toegangscontrole, BHV-overzicht) hanteren de meeste organisaties:

• Standaard: 90 dagen. Lang genoeg om een incident te reconstrueren, kort genoeg om proportioneel te zijn.
• Bij beveiligingsincidenten of geschillen: tot afhandeling. Houd de specifieke records dan apart en goed beargumenteerd.
• Voor controlled-access omgevingen (rechtbanken, banken): tot 1 jaar. Verdedigbaar als de organisatie kan onderbouwen waarom langer nodig is.

Wat u nooit doet: gegevens onbeperkt bewaren omdat "het kan handig zijn". Dat is een schoolvoorbeeld van een AVG-overtreding.

Praktische checklist voor uw kantoor

Onderstaande zeven punten dekken het minimum dat een AVG-functionaris of externe audit verwacht:

• Bezoekers kunnen elkaars gegevens niet zien tijdens of na het registreren.
• Er is een betrouwbare digitale tijdstempel bij elke check-in en check-out.
• De bezoeker geeft expliciet akkoord op het privacybeleid vóór registratie.
• U verzamelt alleen wat noodzakelijk is, geen overbodige velden.
• Er is een vastgelegde bewaartermijn (bv. 90 dagen) en automatische verwijdering.
• Tijdens een ontruiming is binnen 30 seconden zichtbaar wie er nog binnen is.
• De data is opgeslagen op servers binnen de EU, met passende technische maatregelen.

Voor advocatuur en notariaat komt daar bovenop: bezoekers van verschillende partijen zien elkaars aanwezigheid niet, en de oplossing voldoet aan eventuele aanvullende eisen uit de gedragsregels van de NOvA of de KNB.

Hoe digitaliseert u uw bezoekersregistratie?

De praktische oplossing is een tablet bij de ingang waarop bezoekers zichzelf aanmelden. Elke aanmelding is een afgesloten transactie: de bezoeker ziet alleen het eigen scherm, gegevens worden direct versleuteld weggeschreven, en het systeem houdt automatisch de bewaartermijn in de gaten.

Daarmee verdwijnen alle hierboven beschreven problemen in één keer: zichtbaarheid voor anderen, audit-trail, ontruimingsoverzicht, bewaartermijnen, export voor audits. En in tegenstelling tot wat veel kantoren denken is het geen ICT-project van maanden. Een goede oplossing staat binnen een uur live.

Veelgestelde vragen

Moeten wij echt elke bezoeker registreren?

De AVG verplicht het niet, maar Arbo, BHV en aansprakelijkheid praktisch wel. Bij een ontruiming, schade-claim of incident moet u kunnen aantonen wie er binnen was. Een bedrijf zonder bezoekersregistratie heeft een verzekeringsrisico, geen privacy-voordeel.

Wij hebben een Excel met bezoekers. Voldoet dat?

Beter dan papier, maar in de praktijk zelden voldoende. De Excel staat vaak op een gedeelde schijf zonder toegangscontrole, mist een betrouwbare audit-trail en wordt gemakkelijk gekopieerd of vergeten. Bij een audit moet u kunnen aantonen wie de Excel heeft bekeken, wanneer en waarom. Iets dat een gewone Excel niet registreert.

Wij zijn maar een klein kantoor. Geldt dit ook voor ons?

Ja. De AVG kent geen ondergrens op organisatiegrootte. Een advocatenkantoor van twee partners heeft dezelfde verplichtingen rondom persoonsgegevens als een kantoor van honderd. De Autoriteit Persoonsgegevens kijkt bij handhaving wel naar de proportionaliteit van uw maatregelen, maar "niets doen" is geen optie.

Kost een digitaal bezoekersregister niet veel?

De moderne oplossingen, waaronder Bezoekregistratie.nl, beginnen vanaf €39 per maand. De boete bij een datalek-melding gaat in de duizenden of tienduizenden euro's. Het bedrag is daarmee een verzekeringspremie tegen privacy-incidenten en reputatieschade.

Conclusie

De AVG verplicht u niet om bezoekers te registreren, maar wel om het zorgvuldig te doen wanneer u het toch doet. Een papieren register voldoet vrijwel nooit aan de basisbeginselen van doelbinding, minimalisatie en vertrouwelijkheid. Voor advocaten- en notariskantoren komt daar het beroepsgeheim nog bovenop. In 2026 is het excuus "wij hebben altijd al een schrift gehad" daarmee volledig achterhaald.

De goede oplossing is geen jaren-lange ICT-implementatie. Het is een tablet bij de receptie die binnen een uur live staat. Bezoekregistratie.nl is daarvoor gebouwd: voor bedrijven die privacy serieus willen nemen zonder een ICT-team in huis te hoeven hebben.