Iubenda logo
Aan de slag

Documentatie

Inhoud

Gids over het Register van de gegevensverwerkingsactiviteiten

De Algemene Verordening Gegevensbescherming (AVG) (Verordening (EU) 2016/679), legt vast hoe persoonsgegevens rechtmatig moeten worden verwerkt (met inbegrip van de wijze waarop deze moeten worden verzameld, gebruikt, beschermd of hoe er in het algemeen mee moet worden omgegaan). Het doel van deze verordening is de gegevensbescherming te versterken voor alle personen wiens persoonsgegevens binnen het toepassingsgebied vallen. De controle over de persoonsgegevens komt hierdoor weer in eigen handen.

Het voldoen aan deze regels kan in de praktijk technische uitdagingen opleveren. Dit geldt in het bijzonder voor het register van de gegevensverwerkingsactiviteiten. De gebruikers moeten kunnen beschrijven welke gegevens zij verzamelen, voor welke doeleinden, welke partijen daarbij betrokken zijn en enkele andere gegevens voor het gehele bedrijf, waaronder gegevens van werknemers.

Meer achtergrondinformatie over de AVG vind je in onze uitgebreide gids over de AVG.

Deze gids is bedoeld om je stap voor stap door onze tool voor het register van de gegevensverwerkingsactiviteiten te begeleiden.

Houd er rekening mee dat: Hoewel de AVG vaak wordt vermeld als reden om meer aandacht te besteden aan een register van de gegevensverwerkingsactiviteiten, is onze tool niet exclusief daarvoor gemaakt. Ze kan ook worden gebruikt voor een register van de gegevensverwerkingsactiviteiten in het algemeen, zelfs door bedrijven die geen gebruikers of klanten binnen de EU hebben.

 

Lees verder of bekijk de volledige tutorial.

Moet mijn organisatie een administratie bijhouden van verwerkingsactiviteiten krachtens de AVG? 

De AVG verplicht zowel verwerkingsverantwoordelijken als verwerkers om een register van verwerkingsactiviteiten bij te houden. De gegevens moeten schriftelijk worden vastgelegd, en dit kan ook in elektronische vorm. Het Register van de gegevensverwerkingsactiviteiten is speciaal ontworpen voor verwerkingsverantwoordelijken en verwerkers zodat zij aan deze eis kunnen voldoen.

Het register van verwerkingsactiviteiten moet op verzoek ter beschikking worden gesteld aan de toezichthoudende autoriteit.

Wanneer is mijn organisatie vrijgesteld van deze verplichting?

Ondernemingen of organisaties die minder dan 250 personen in dienst hebben, zijn vrijgesteld van deze verplichting.

👉 Als je echter minder dan 250 personen in dienst hebt, maar aan een van de volgende voorwaarden voldoet, moet je wel aan deze verplichting van de AVG voldoen:

  • de verwerking die je uitvoert, kan een risico opleveren voor de rechten en vrijheden van betrokkenen
  • de verwerking is niet incidenteel, OF
  • de verwerking omvat bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 van de AVG

Wat is het concept “gebied”?

Een gebied is een groep homogene verwerkingsactiviteiten. Voorbeelden van gebieden zijn je website, je mobiele app, je fysieke winkels, je medewerkers, je wervingsactiviteiten, je productie enz. Voor elk gebied kun je een beschrijving geven van de manier waarop gegevens worden verwerkt, net zoals je dat waarschijnlijk al doet met de privacybeleid- of de algemene voorwaarden-generator voor een bepaalde site. Kortom, gebieden zijn replicaties van de “site”-entiteit die met elkaar verbonden zijn, en die je zelf naar eigen inzicht kunt maken.

Hoe worden leden/rollen gedefinieerd?

Je kunt op accountniveau leden toevoegen, die vervolgens worden gekoppeld aan een bepaalde rol (zoals “verwerkingsverantwoordelijke”, “verwerker”, enz.) of aan een specifiek gebied.

Bij het koppelen kun je kiezen welke rol het lid heeft binnen de volgende opties:

  • Verwerkingsverantwoordelijke: elke natuurlijke of rechtspersoon die betrokken is bij de bepaling van het doel en de wijze van verwerking van de persoonsgegevens.
  • Lid van de organisatie van de verwerkingsverantwoordelijke: zie lijst met voorbeelden hieronder
  • Verwerker: elke natuurlijke of rechtspersoon die betrokken is bij de verwerking van persoonsgegevens namens de verwerkingsverantwoordelijke
  • Betrokkene (soms ook gebruiker genoemd): een persoon van wie de persoonsgegevens door een verwerkingsverantwoordelijke of een verwerker worden verwerkt.

Bijvoorbeeld, een internetbedrijf kan gebruikersinformatie verzamelen via hun website en deze opslaan met behulp van een clouddienst van een derde. In dit scenario is het internetbedrijf de verwerkingsverantwoordelijke en de organisatie die de clouddienst exploiteert de gegevensverwerker.

Je kunt het zien als een adresboek. Alle huidige eigenaars zijn ook lid.

Let op: De standaardwaarden die je in het ledengebied zet, worden dan standaard toegepast op elke dienst.

De volgende leden zijn standaard beschikbaar:

  • Werknemers
  • Gebruikers
  • Gebruikers in de EU
  • Marketingafdeling
  • HR-afdeling
  • Financiële afdeling
  • Klantenservice
  • Verkoopafdeling
  • Afdeling onderzoek en ontwikkeling
  • Ontwikkelingsafdeling
  • Productafdeling
  • Juridische afdeling
  • PR-afdeling
  • Informatieafdeling

Hoe kan ik met de nieuwe velden diensten configureren?

Je privacybeleid moet worden aangepast aan de gegevensverzamelingspraktijken van je site of app. Dat doe je door een dienst toe te voegen.

Diensten vallen in het algemeen in twee categorieën uiteen:

  • Diensten in verband met je eigen gegevensverzamelingsactiviteiten (bv. contactformulieren)
  • Diensten in verband met gegevensverzameling door derden (bv. Google Analytics)

Stel jezelf de volgende vragen om te weten te komen welke basisdiensten je aan je beleid moet toevoegen:

  • Welke gebruikersgegevens verzamel ik zelf en hoe verzamel ik die?
    (bv. nieuwsbriefformulieren, contactformulieren, reacties)
  • Welke diensten van derden gebruik ik op mijn site/in mijn app? Deze diensten gebruiken waarschijnlijk ook gebruikersgegevens en moeten daarom in je beleid worden opgenomen.

In het volgende onderdeel vertellen we meer over de nieuwe velden die we hebben ingevoerd om je het creëren van je register van de gegevensverwerkingsactiviteiten te vergemakkelijken (je kunt deze velden vinden in het aanpassingsvenster dat verschijnt bij het toevoegen van een dienst). Dit doen we stap voor stap om je te helpen de juiste optie voor jouw situatie te kiezen.

Label en Beschrijving

Deze twee velden zijn handig om de gegeven dienst te kunnen beschrijven. Een voorbeeld van een label zou kunnen zijn “datacentrum DE” en de bijbehorende beschrijving zou kunnen zijn “datacentrum Frankfurt”.

Regio

Dit is een veld dat alleen van toepassing is op sommige diensten waar je kunt aangeven of je gegevens in de EU bewaart. Een goed voorbeeld hiervan is “Amazon Web services” (vaak afgekort als “AWS”).

Aangepaste persoonsgegevens

Een veld dat slechts enkele diensten hebben, waarmee je het type persoonsgegevens kunt specificeren dat via die dienst wordt verzameld.

Rechtsgrond voor de gegevensverwerking

Overeenkomstig de AVG mogen gegevens alleen worden verwerkt als daar ten minste één rechtsgrond voor is.

De rechtsgronden zijn:

  • De gebruiker heeft toestemming gegeven voor een of meer specifieke doeleinden.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarin de gebruiker partij is, of noodzakelijk om (door de gebruiker gevraagde) stappen te ondernemen voorafgaand aan de afsluiting van de overeenkomst.
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de verwerkingsverantwoordelijke.
  • De verwerking is noodzakelijk om de vitale belangen van de gebruiker of een andere persoon te beschermen.
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
  • De verwerking is noodzakelijk voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen, rechten en vrijheden van de gebruiker zwaarder wegen, met name wanneer de gebruiker een kind is.

In onze tool kun je uit de volgende opties kiezen:

  • Toestemming: Met toestemming geef je mensen een echte keuze en controle over hun gegevens. Echte toestemming betekent dat mensen zelf het heft in handen kunnen nemen. Dit zorgt voor vertrouwen, betrokkenheid en een goede reputatie. Dit heeft betrekking op alle trackingtools die op cookies zijn gebaseerd en waarvoor je toestemming vraagt via de cookiebanner.
  • Overeenkomst: Alles wat je moet doen om de dienst te verlenen (hosting, enz.). Je kunt je op deze rechtsgrond beroepen als je iemands persoonsgegevens moet verwerken:
    • om je contractuele verplichtingen jegens hen na te komen; of
    • omdat zij je hebben gevraagd iets te doen alvorens een overeenkomst te sluiten (bijvoorbeeld het verstrekken van een offerte).
  • Wettelijke verplichting: Je kunt je op deze rechtsgrond beroepen als je iemands persoonsgegevens moet verwerken om aan een algemene wettelijke verplichting te voldoen: Dit heeft bijvoorbeeld betrekking op facturering.
  • Vitaal belang: Je kunt je op zogenoemde vitale belangen beroepen als je iemands persoonsgegevens moet verwerken om iemands leven te beschermen. Deze verwerking moet noodzakelijk zijn. Als je de vitale belangen van de persoon redelijkerwijs op een andere, minder ingrijpende manier kunt beschermen, is deze rechtsgrond in jouw geval niet van toepassing.
  • Taak van algemeen belang: Dit is het meest relevant voor overheidsinstanties, maar het kan van toepassing zijn op elke organisatie die officieel gezag uitoefent of taken van algemeen belang verricht.
  • Gerechtvaardigd belang: Gerechtvaardigde belangen zijn zeker de meest flexibele rechtsgrond voor verwerking, maar je kunt er niet van uitgaan dat dit in jouw geval altijd de meest geschikte is. Het is waarschijnlijk de meest voor de hand liggende rechtsgrond als je de gegevens van mensen gebruikt op een manier die zij redelijkerwijs kunnen verwachten en die een minimaal effect op het privéleven heeft, of als er een dwingende rechtvaardiging voor de verwerking is.
  • Bijzondere categorie van gegevens: Bijzondere categorieën van gegevens zijn persoonsgegevens die volgens de AVG gevoeliger van aard zijn, en dus beter beschermd moeten worden. Dit omvat bijvoorbeeld informatie over iemands afkomst, geloofsovertuiging of gezondheid.
  • Gegevens over strafbare feiten: Om persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten te verwerken, moet je zowel een rechtsgrond hebben krachtens artikel 6 als wettelijke toestemming hebben op grond van artikel 10, of onder toezicht van de overheid verwerken.

Rechtsgrond voor doorgifte van persoonsgegevens buiten de EU:

Dit geldt alleen wanneer je gegevens naar buiten de EU doorgeeft, dus kies dienovereenkomstig.

Je kunt kiezen tussen de volgende opties:

  • Geen doorgifte van persoonsgegevens: geen uitleg nodig.
  • Adequaatheidsbesluiten: Een besluit van de Europese Commissie op basis van Richtlijn 95/46/EG, waarin wordt vastgesteld dat een niet-EU-land een passend beschermingsniveau voor persoonsgegevens waarborgt op grond van zijn nationale wetgeving of de internationale verbintenissen die het is aangegaan.
  • Bindende bedrijfsvoorschriften: Bindende bedrijfsvoorschriften zijn bedoeld om multinationale ondernemingen in staat te stellen persoonsgegevens uit de Europese Economische Ruimte (EER) door te geven aan hun gelieerde ondernemingen buiten de EER, met inachtneming van het achtste beginsel inzake gegevensbescherming en artikel 25 van Richtlijn 95/46/EG. De procedure is zo opgezet dat je niet elke gegevensbeschermingsautoriteit afzonderlijk hoeft te benaderen. Verdere informatie hierover staat in artikel 47.
  • Passende waarborgen: Bij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Verdere informatie hierover staat in artikel 46.
  • Toestemming: Met toestemming geef je mensen een echte keuze en controle over hun gegevens. Echte toestemming betekent dat mensen zelf het heft in handen kunnen nemen. Dit zorgt voor vertrouwen, betrokkenheid en een goede reputatie. Dit heeft betrekking op alle trackingtools die op cookies zijn gebaseerd en waarvoor je toestemming vraagt via de cookiebanner.
  • Standaardbepalingen inzake gegevensbescherming die door de Europese Commissie zijn vastgesteld De Europese Commissie kan besluiten tot standaardcontractbepalingen die voldoende waarborgen bieden inzake gegevensbescherming voor de gegevens die internationaal worden doorgegeven. De Commissie heeft eerder twee reeksen standaardcontractbepalingen vastgesteld voor de doorgifte van gegevens door verwerkingsverantwoordelijken in de EU aanverwerkingsverantwoordelijken die buiten de EU of de Europese Economische Ruimte (EER) zijn gevestigd. Dit zijn Besluit 2001/497/EG en Besluit 2004/915/EG.
  • Algemeen belang: Dit is het meest relevant voor overheidsinstanties, maar het kan van toepassing zijn op elke organisatie die officieel gezag uitoefent of taken van algemeen belang verricht.
  • Instelling, uitoefening of onderbouwing van een rechtsvordering.
  • Vitaal belang: Je kunt je op zogenoemde vitale belangen beroepen als je iemands persoonsgegevens moet verwerken om iemands leven te beschermen. Deze verwerking moet noodzakelijk zijn. Als je de vitale belangen van de persoon redelijkerwijs op een andere, minder ingrijpende manier kunt beschermen, is deze rechtsgrond in jouw geval niet van toepassing.

Rollen in verband met de verwerking van persoonsgegevens

Verwerkingsverantwoordelijke
Dit is elke natuurlijke of rechtspersoon die betrokken is bij de bepaling van het doel en de wijze van verwerking van de persoonsgegevens.

Verwerker
Dit is elke natuurlijke of rechtspersoon die betrokken is bij de verwerking van persoonsgegevens namens de verwerkingsverantwoordelijke.

Leden van de organisatie van de verwerkingsverantwoordelijke
Een veel voorkomend voorbeeld hiervan zijn de werknemers van een bepaald bedrijf/organisatie.

Betrokkenen
Betrokkenen zijn bijvoorbeeld de gebruikers van een website of app, bezoekers van een fysieke winkel of betalende klanten.

Beschikbare rechten

Onder normale omstandigheden moeten voor zaken die “toestemming” als rechtsgrond voor verwerking hebben, alle rechten worden geselecteerd. Onze oplossing biedt je de volgende mogelijkheden:

  • Informatie: Mensen hebben het recht geïnformeerd te worden over de verzameling en het gebruik van hun persoonsgegevens. Dit is een belangrijke transparantieverplichting in de AVG.
  • Inzage. Mensen hebben recht op inzage in hun persoonsgegevens en aanvullende informatie. Het inzagerecht biedt mensen de mogelijkheid kennis te nemen van de verwerking en de rechtmatigheid ervan na te gaan.
  • Rectificatie. De AVG omvat een recht om onjuiste persoonsgegevens te laten rectificeren, of aan te vullen als ze onvolledig zijn. Mensen kunnen mondeling of schriftelijk een verzoek tot rectificatie indienen.
  • Wissing: De AVG introduceert een recht om persoonsgegevens te laten wissen (ook wel het “recht op vergetelheid” genoemd). Mensen kunnen mondeling of schriftelijk een verzoek tot wissing indienen.
  • Beperking van de verwerking: Mensen hebben recht om te verzoeken de verwerking van hun persoonsgegevens te beperken of op te heffen. Dit is echter geen absoluut recht en geldt alleen in bepaalde omstandigheden.
  • Overdraagbaarheid van gegevens: Met het recht op overdraagbaarheid kunnen mensen hun persoonsgegevens krijgen en zelf gebruiken voor verschillende diensten. Hiermee kun je persoonsgegevens gemakkelijk verplaatsen, kopiëren of overdragen van de ene IT-omgeving naar de andere, op een veilige manier en zonder de bruikbaarheid ervan aan te tasten.
  • Bezwaar maken: Mensen hebben het recht om bezwaar te maken tegen:
    • verwerking gebaseerd op het gerechtvaardigd belang of de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag (waaronder profilering);
    • direct marketing (waaronder profilering); en
    • verwerking voor wetenschappelijk of historisch onderzoek en statistische doeleinden.

Bewaarbeleid

Dit veld geeft aan hoe lang gegevens worden bewaard. De standaardoptie is “Het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken” en is in de meeste gevallen van toepassing. Anders kun je kiezen uit een periode van 1 tot 5 jaar.

Beveiligingsmaatregelen

Veel voorkomende voorbeelden zijn de gebruikte versleutelingsmethode of kwetsbaarheidsbeoordelingen/penetratietests, wat betekent dat je technische systemen periodiek moeten worden getoetst om de veiligheid en veerkracht van je systemen te beoordelen.

Een andere belangrijke maatregel is de zogenaamde “back-up en opslag van back-upmedia”, wat betekent dat het raadzaam is de back-upmedia te bewaren op een specifieke locatie die alleen toegankelijk is voor het verantwoordelijke personeel. De veiligheid van die locatie moet ten minste jaarlijks worden geverifieerd.

We raden je ook aan een firewall te installeren en te onderhouden. Het is ook raadzaam de huidige configuraties door te nemen, de machtigingen voor systeemgebruikers te beheren, te controleren of het systeem up-to-date is en ten slotte over te gaan tot de installatie op draagbare apparaten. Een firewall is uiteraard niets nieuws in verband met de AVG en moet worden beschouwd als een minimale beveiligingsmaatregel waarin de huidige normen reeds voorzien.

Vanuit de tool kun je kiezen uit de volgende opties:

  • Versleuteling: Versleuteling is een algemeen gebruikt proces waarbij gegevens worden omgezet in een gecodeerde en onbegrijpelijke versie, met gebruikmaking van algoritmen en een versleutelingscode, en waarbij een decoderingssleutel of -code anderen in staat stelt de gegevens weer te decoderen.
  • Anonimisering: Overweging 26 van de AVG definieert anonieme gegevens als “persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is”.
  • Pseudonimisering: Pseudonimisering is de scheiding van gegevens en directe identificatoren, zodat koppeling aan een betrokkene niet mogelijk is zonder aanvullende informatie die apart wordt bewaard. Dit kan de risico’s van gegevensverwerking verminderen, terwijl de bruikbaarheid van de gegevens behouden blijft.
  • Audits: Regelmatige gegevensaudits naast evaluaties en activiteiten op het gebied van gegevensbeheer zijn permanente vereisten om aan de AVG te blijven voldoen.
  • Toegangsbeperking: Dit heeft betrekking op beperkte toegang tot alle identificeerbare gegevens die van een persoon in de Europese Unie worden verzameld of opgeslagen.

Wat betekent de knop “Alternatieven toevoegen”?

Om de verwerking grondig te beschrijven, zoals vereist door de AVG, moet je je gegevensverzamelingspraktijken gedetailleerd beschrijven. Een veel voorkomend geval is een website met meerdere contactformulieren, waarbij elk formulier op verschillende personen is gericht of waarvan de gegevens met verschillende partijen worden gedeeld. Een ander voorbeeld is het versturen van twee verschillende nieuwsbrieven voor verschillende gebruikersgroepen of klanten.

Met onze tool voor het register van de gegevensverwerkingsactiviteiten kun je daarom verschillende versies van dezelfde dienst toevoegen.

Praktische voorbeelden

Hier vind je een reeks specifieke voorbeelden als illustratie voor de bovenstaande informatie, waaronder ook de “alternatieve opties”:

Example BV voegt een websitegebied toe en configureert het privacybeleid, het cookiebeleid, de cookie-oplossing en de servicevoorwaarden.

Voor het privacybeleid wordt het volgende gedaan:

leden: Hier stel je de algemene leden in voor elke rol die geldt in het hele gebied. Leden kunnen ook per dienst worden gespecificeerd.
verwerkingsverantwoordelijke: Example BV (de eigenaar)
leden van de organisatie van de verwerkingsverantwoordelijke: werknemers
verwerkers:
betrokkenen: gebruikers van de website

naam: Example BV

alternate_default

label: Datacentrum DE
beschrijving: Datacentrum Frankfurt
regio: EU
rechtsgrond voor verwerking: overeenkomst
leden die de persoonsgegevens verwerken: eigenaar, werknemers (die zijn ingesteld op het niveau van de website)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: geen (dienstverlening zou onmogelijk zijn bij bezwaar tegen verwerking van Example BV)
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen

alternate_1

label: Datacentrum NL
beschrijving: Datacentrum Amsterdam
regio: EU
rechtsgrond voor verwerking: overeenkomst
leden die de persoonsgegevens verwerken: eigenaar, werknemers (die zijn ingesteld op het niveau van de website)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: geen (dienstverlening zou onmogelijk zijn bij bezwaar tegen verwerking van Example BV)
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen

(Als je geen Google Analytics voor je website of app gebruikt, kun je hier een andere analysetool invoegen)

naam: Google Analytics

alternate_default

label: Google Analytics
beschrijving: Google Analytics trackingtool
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers (van het betreffende bedrijf)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: toestemming
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)

naam: mailinglijst en nieuwsbrief

alternate_default

label: hoofdnieuwsbrief (je kunt immers meer dan één nieuwsbrief of mailinglijst hebben)
beschrijving: mailinglijst hoofdnieuwsbrief
aangepaste persoonsgegevens: e-mailadres
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers (van het betreffende bedrijf)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)

alternate_1

label: hoofddrip (met betrekking tot drip-campagnes en niet de standaard nieuwsbrief)
beschrijving: drip-campagnes
aangepaste persoonsgegevens: e-mailadres
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen

alternate_2

label: secundaire productnieuwsbrief
beschrijving: “”
aangepaste persoonsgegevens: e-mailadres
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen

alternate_3

label: secundaire productdrip
beschrijving: “”
aangepaste persoonsgegevens:e-mailadres
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen

alternate_4

label: Nieuwsbrief affiliates
beschrijving: Nieuwsbrief voor affiliates
aangepaste persoonsgegevens: e-mailadres
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers, bureau x (beheerder van de affiliate-campagnes)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen

naam: referral candy

alternate_default

label: hoofdaccount Referral Candy
beschrijving: “”
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers, bureau x (beheerder van de affiliate-campagnes)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: toestemming
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen

alternate_1

label: Account Referral Candy voor secundair product
beschrijving: “”
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers, bureau x (beheerder van de affiliate-campagnes)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: toestemming
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen

De gebruiker voegt een aangepast gebied toe en noemt het “werknemers”, om de persoonsgegevens te beschrijven die van werknemers worden verwerkt en de doelen hiervan.

leden:
verwerkingsverantwoordelijke: Example BV (de eigenaar)
leden van de organisatie van de verwerkingsverantwoordelijke: HR-afdeling
verwerkers: X, Y
betrokkenen: werknemers, adviseurs

name: opstellen loonlijst

alternate_default

rechtsgrond voor de verwerking: wettelijke verplichting
leden die de persoonsgegevens verwerken: eigenaar, werknemers, HR-afdeling, X, Y
betrokkenen: werknemers, adviseurs
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: geen
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen

naam: “Timely” (tijdregistratiesoftware werknemers)

alternate_default

rechtsgrond voor verwerking: overeenkomst
leden die de persoonsgegevens verwerken: eigenaar, werknemers, HR-afdeling, X, Y
betrokkenen: werknemers, adviseurs
rechtsgrond voor doorgifte van persoonsgegevens: toestemming
beschikbare rechten: geen
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen

De gebruiker voegt een aangepast gebied toe en noemt het “sollicitatiegesprekken”, om de persoonsgegevens te beschrijven die van sollicitanten worden verwerkt en de doelen hiervan.

leden:
verwerkingsverantwoordelijke: Example BV (de eigenaar)
leden van de organisatie van de verwerkingsverantwoordelijke: werknemers, HR-afdeling
verwerkers:
betrokkenen: sollicitanten

naam: beoordeling van sollicitanten

alternate_default

rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers, HR-afdeling
betrokkenen: sollicitanten
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: geen
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen