Graag wil ik het hier hebben over de bescherming van onze persoonsgegevens. Wat zijn persoonsgegevens? Persoonsgegevens zijn alle gegevens waarmee onze identiteit kan worden vastgesteld. Denk hierbij aan een bankrekeningnummer of een IP adres.

Waarom bescherming persoonsgegevens? Dit is een filosofische vraag; een ieder kan daar anders over denken. Het niet beschermen van persoonsgegevens kan voordelen opleveren bij bijvoorbeeld bestrijding van criminaliteit. Het wel beschermen van persoonsgegevens kan identiteitsfraude voorkomen en simpelweg het beschermen van je privacy.

De politieke discussie in Europa heeft tot het nemen van verdergaande maatregelen tot bescherming van die persoonsgegevens geleid. Dit is vastgelegd in de Algemene Verordening Gegevensbescherming (AVG).[1] De verordening wordt van kracht met ingang van 25 mei a.s. Doel is de verantwoordelijkheid tot bescherming van persoonsgegevens bij een ieder te leggen, met uitzondering van particulieren, met meer toezicht en sanctiemogelijkheden bij de controlerende instantie.[2] Deze verordening speelt, anders dan de tot dan geldende regelgeving, wel in op de bescherming van persoonsgegevens in relatie tot snelle technologische ontwikkelingen en globalisering.

De kern van de verordening is dat je alleen persoonsgegevens mag verwerken als het een specifiek gerechtvaardigd doel dient. Hierbij mag je niet meer persoonsgegevens verwerken dan voor dat doel noodzakelijk is, moeten deze juist zijn en zo transparant als mogelijk zijn verwerkt. De gegevens moeten goed beveiligd zijn en deze moeten zoveel als mogelijk vertrouwelijk blijven. De gegevens mogen niet langer dan noodzakelijk worden bewaard. Hierbij dient alles schriftelijk te worden vastgelegd.

Elke onderneming (groot en klein) stichting, vereniging, sportvereniging en ook de vereniging van eigenaars moeten maatregelen nemen om de persoonsgegevens te beschermen. Het gaat om bewustwording en wat mij betreft om het feit dat jouw organisatie, je onderneming, je sportvereniging, je vereniging van eigenaars het belangrijk vindt dat de persoonsgegevens worden beschermd.

Zo zal een ieder zich er bijvoorbeeld van bewust moeten zijn dat gebruik maken van een openbaar wifi-netwerk niet langer mogelijk is als daarbij de persoonsgegevens die door de betreffende organisatie worden verwerkt, kunnen worden geraadpleegd. Het simpelweg op slot doen van de kast waar de personeelsdossiers hangen met beperkte toegang daartoe van betrokkenen bij het bedrijf is een ander voorbeeld. Dit zijn slechts twee van de vele voorbeelden en te nemen maatregelen.

De betrokkenen zelf moet je per organisatie in begrijpelijke taal laten weten hoe je organisatie met de privacy/persoonsgegevens omgaat en op welke wijze derden voor hun rechten kunnen opkomen.

Mocht het toch fout gaan, dan moet je een datalek melden. De organisatie moet dit alles ook kunnen aantonen aan de Autoriteit Persoonsgegevens.

Concreet: Wat heeft elke organisatie nodig m.i.v. 25 mei 2018?

Wat heeft elke organisatie in elk geval op ‘papier’ nodig met ingang van 25 mei 2018?

  1. een verwerkingsregister van elke activiteit waarbinnen persoonsgegevens worden verwerkt;[3]
  2. verwerkersovereenkomsten met derden als die derde persoonsgegevens van de organisatie verwerkt;[4]
  3. een privacyverklaring;[5]
  4. intern beleid voor bewustwording, organisatorische en technische beveiliging van verwerkte persoonsgegevens ( Data security policy).[6]
  5. Beleid in het geval van een datalek: hoe en onder welke omstandigheden wordt melding gedaan bij de Autoriteit Persoonsgegevens en onder bepaalde omstandigheden bij de betrokkenen;[7]

en alleen onder bepaalde omstandigheden:

  1. een functionaris voor gegevensbescherming aan te stellen;[8]
  2. voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling uit te voeren;[9]
  3. de Autoriteit Persoonsgegevens onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle verwerkingsactiviteit te raadplegen (voorafgaande raadpleging);[10]

Het is een voortdurend proces dat steeds weer aandacht en bijstelling behoeft. Steeds weer moet je als organisatie (de onderneming, de stichting, de vereniging van eigenaars en alle daarbij betrokkenen) je ervan vergewissen of de persoonsgegevens mogen worden geregistreerd en welke zorgvuldigheidsnormen daarbij in acht moeten worden genomen.  Hierbij geldt eveneens dat je privacy en gegevensbescherming meeneemt als eisen bij ontwikkeling van nieuw beleid of ontwerp van nieuwe systemen waarmee persoonsgegevens worden verwerkt (Privacy bij Design en Privacy by Default).[11] Je zorgt ervoor dat je een zo klein mogelijke inbreuk op de persoonlijke levenssfeer maakt bij je verwerkingsactiviteiten.

Concreet: Welke acties moet je gaan ondernemen?

Indien je een organisatie bent met ten hoogste 250 werknemers dan ga je in elk geval de hiervoor omschreven acties 1 t/m 5 verwerkingen uitwerken en alleen de verdere acties als die op je organisatie van toepassing zijn en zorg je ervoor dat je daarbij en bij wijzigingen in je organisatie met dit alles vooraf rekening houdt en zoveel als mogelijk de privacy van betrokkenen nu en in de toekomst zal beschermen.

1 Verwerkingsregister

In het verwerkingsregister wordt voor iedere verwerking in jullie organisatie vastgelegd op welke wijze bepaalde gegevens worden vastgelegd. Je gaat met de direct betrokkenen van je organisatie bij elkaar zitten om te inventariseren op welke wijze persoonsgegevens binnen jullie organisatie worden verwerkt. Denk hierbij aan personeelsadministratie, klantenadministratie, cameratoezicht, ledenadministratie, administratie van leveranciers, pensioenadministratie, sollicitantenbestand, cookies op de website, abonnementenlijsten voor nieuwsbrieven, een permanente login op netwerkfaciliteiten voor bezoekers, cameratoezicht in de gebouwen en terreinen etc.

Bij organisaties met minder dan 250 medewerkers,[12] hoeven incidentele verwerkingen niet te worden geregistreerd. Dit zijn verwerkingen die niet langdurig of continu worden uitgevoerd zoals bijvoorbeeld het gebruik van de datumprikker, boeken van hotels voor incidentele zakenreizen en het bij uitzondering via WeTransfer versturen van een groot dossier naar een opdrachtgever.

Wel dient dan geregistreerd te worden:

  1. de verwerking die een groot risico voor betrokkenen heeft dan wel
  2. de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten betreffen.

Noodzakelijke bestanddelen per verwerkingsregister

Per verwerking, moet dan een verwerkingsregister worden opgesteld. Dit verwerkingsregister moet dan het volgende inhouden:

1. omschrijving van de aard van de verwerking:

  • van wie worden de persoonsgegevens verwerkt, wat wordt er verwerkt van die personen en waarvoor;
  • voor wie zijn deze persoonsgegevens kenbaar;
  • met welk doel worden deze verwerkt;
  • hoe lang mogen deze worden bewaard;
  • op welke grondslag mogen deze gegevens worden verwerkt.

2. welke derde partijen zijn bij de verwerking betrokken?
3. Op welke wijze worden de gegevens beveiligd?

Let wel: dit is dus per soort verwerking.

Doel/ grondslag van de verwerking

Het doel van de gegevensverwerking moet per soort verwerking gerechtvaardigd zijn. De persoonsgegevens mogen dan uitsluitend voor dát doel worden gebruikt.

Verwerking is gerechtvaardigd wanneer het doel van de verwerking kan worden gebaseerd op één van de 6 rechtsgrondslagen die in de verordening worden gegeven (anders is het niet toegestaan om persoonsgegevens te verwerken):

  1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden, vrije toestemming, specifiek ondubbelzinnig en waarover is geïnformeerd. Dit moet een schriftelijke verklaring zijn;
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Per onderdeel dient dit gedetailleerd te worden uitgewerkt welke persoonsgegevens er worden verwerkt. Stel je wilt de personeelsadministratie registeren dan zou als dit passend is voor jouw bedrijf er als volgt kunnen uitzien:

Voorbeeld van een verwerkingsregister van de personeelsadministratie voor de ondernemer:[13]

a. Welke gegevens worden er verwerkt en hoe lang worden deze bewaard?

  • NAW-gegevens, geboortedatum
  • arbeidsovereenkomst
  • Salarisgegevens
  • Verslagen van beoordelings- en functioneringsgesprekken
  • Registraties van verlof
  • Opleidingen en verdere loopbaan
  • Frequentie en duur van het ziekteverzuim
  • Burgerlijke staat, kinderen

De bewaartermijn kan wettelijk zijn voorgeschreven. Zo moet een personeeldossier tot 2 jaar na einde dienstverband te worden bewaard. Administratie, waar bijvoorbeeld salarisbetalingen onder vallen, moet zeven jaar worden bewaard. Indien daar geen sprake van is van dient op grond van een belangenafweging tot een redelijke onderbouwde bewaartermijn te worden gekomen en geregistreerd.

b. Voor welk doel worden de gegevens verwerkt?
Het doel is het verzorgen van de personeelsadministratie en bijbehorende taken, waaronder wordt verstaan het geven van leiding aan betrokkenen, de behandeling van personeelszaken, het vaststellen en doen uitbetalen van loon, het regelen van aanspraken op uitkeringen bij beëindiging dienstverband, eventuele opleiding, uitvoering van geldende arbeidsvoorwaarden.

c. Met welke grondslag worden de gegevens verwerkt?
De gegevens worden verwerkt ter uitvoering van de arbeidsovereenkomst. Ook is er een wettelijke plicht tot registratie daar waar het de belastingen aangaat.

d. Zijn er derde partijen betrokken bij de verwerking?
Is er een administratiekantoor die de gegevens verwerkt? Zo ja dan dient met dat kantoor een verwerkingsovereenkomst te worden opgesteld.

e. Op welke wijze zijn de gegevens beveiligd?
Geadviseerd wordt hier een afzonderlijk beleid voor op te stellen en dan daarnaar in elk register te verwijzen.

De onderdelen a t/m e moeten bij elke verwerking worden behandeld. Per verwerking moet dan dus ook de grondslag worden vermeld. Zoals je ziet is de grondslag van de personeelsadministratie dan de overeenkomst en de wet. Er zijn echter ook verwerkingen die geen grondslag vinden in een overeenkomst en/of de wet. De grondslag kan dan een gerechtvaardigd belang zijn. Bijvoorbeeld het maken van reservekopieën en back-ups. In dat geval moet er een belangenafweging plaatsvinden. Bijvoorbeeld tussen het eigen belang zoals het borgen van bedrijfscontinuïteit (een legitiem belang nu dit de kern van de bedrijfsvoering raakt) versus de schending van de privacy. Zolang het dan voldoende veilig is en de privacy impact is gering dan kan dit een gerechtvaardigd belang zijn. Hiermee is dan onlosmakelijk verbonden dat er maatregelen worden genomen met betrekking tot de locatie en hoelang deze worden opgeslagen, als ook over de wijze van vernietiging en de voorwaarde dat deze alleen gebruikt worden voor gegevensherstel.

Ofwel per verwerking is en blijft het maatwerk per organisatie. Dit maatwerk moet op grond van de AVG dus worden vastgelegd.

Acties van de Vereniging van Eigenaars

Bij een vereniging van eigenaars zijn er in elk geval:

  1. een ledenadministratie;
  2. leveranciersadministratie;
    en indien aanwezig:
  3. gebruikersregistratie;
  4. cameratoezicht als er camera’s zijn;
  5. kentekenregistratie;
  6. toegangsysteem alarm;
  7. verder?

Indien er een professioneel beheerder is dan verwerkt deze de gegevens van de VvE, waaraan dan een verwerkersovereenkomst ten grondslag ligt.

Voorbeeld van het verwerkersregister van de ledenadministratie van een VvE:

a. Welke gegevens worden er verwerkt en hoe lang worden deze bewaard?

  • NAW-gegevens
  • appartementsrecht
  • datum aankoop onroerende zaak
  • notulen
  • betalingsgedrag van de aan de VvE verschuldigde bijdragen
  • verder?

De bewaartermijn is 7 jaar; in die zin dat bij gerechtvaardigd belang executoriale titels en verdere stukken de vergadering van eigenaars voor een langere termijn kan kiezen;

b. Voor welk doel worden de gegevens verwerkt?
De leden zijn gezamenlijk eigenaar van het appartementencomplex waarover de VvE het beheer voert. De leden zijn ook van rechtswege lid van de VvE. De VvE is verantwoordelijk voor het beheer van het complex met rechten en plichten op grond van de toepasselijke akte van splitsing. Voor het houden van vergaderingen, heffen van bijdragen voor de gezamenlijke schulden en kosten en voor verdere uitvoering van de rechten en plichten die voortvloeien uit de wet en toepasselijke akte van splitsing is registratie van de genoemde persoonsgegevens noodzakelijk.

c. Met welke grondslag worden de gegevens verwerkt?
De gegevens worden verwerkt ter uitvoering van de wettelijke voorschriften en toepasselijk akte van splitsing. De verschuldigdheid van periodieke bijdragen vloeit voort uit de wet, te weten artikel 5:112 lid 2c BW.

d. Zijn er derde partijen betrokken bij de verwerking?
Is er een administratiekantoor die de gegevens verwerkt? Zo ja dan dient met dat kantoor een verwerkingsovereenkomst te worden opgesteld.

e. Op welke wijze zijn de gegevens beveiligd?
Geadviseerd wordt hier een afzonderlijk beleid voor op te stellen en dan daarnaar in elk register te verwijzen.

De grondslag voor de ledenadministratie is de wet naar mijn mening. Zo is en blijft er ook recht en belang bij het registeren van de achterstand per eigenaar van een appartementsrecht als lid van de VvE. De vraag is of bij toezenden van de exploitatierekening aan alle leden recht en belang blijft alle persoonsgegevens per achterstand te vermelden dan wel bijvoorbeeld alleen de appartementsindex. Ik neig naar het laatste nu de AVG als uitgangspunt heeft bij je verwerkingsactiviteiten de inbreuk op de persoonlijke levenssfeer zo klein als mogelijk te houden en datalekken zoveel als mogelijk te voorkomen. Wel blijft overeind dat een ieder recht heeft op inzage in de volledige administratie en dus ook alle gegevens die daarbij horen.

Voor de VvE’s die camera’s hebben, kan dan als doel bijvoorbeeld worden opgenomen:

“Het detecteren van aanwezige personen teneinde diefstal en vernieling te bestrijden. De camera’s worden geactiveerd door bewegingsdetectie en geluidssensoren. De camera’s zijn immer ingeschakeld.”

Het doel is eigen belang en dan moet er een belangenafweging plaatsvinden. De motivatie is dan bescherming tegen diefstal en vernieling en het is legitiem om eigendom te beschermen. De privacy impact moet dan kleiner zijn dan het te beschermen doel verder moeten er waarborgen zijn dat het niet continu wordt gemonitord en bekeken. Voor wie de beelden dan alleen toegankelijk zijn en hoe lang deze worden bewaard, moet dan nog nader worden uitgewerkt.

Zo dient dit voor elke verwerking te worden uitgewerkt door de VvE. Dit is alleen anders als het een incidentele verwerking betreft, tenzij deze persoons gevoelige persoonsgegevens verwerkt. In dat laatste geval dient het eveneens te worden verwerkt.

2. Verwerkersovereenkomsten

Een verwerker is een partij die in opdracht van de organisatie persoonsgegevens verwerkt en daarbij niet zelf het doel en de middelen van die verwerking bepaalt. De verwerkingsovereenkomst regelt de privacy aspecten van het werk dat de verwerker verricht.

Zorg dat je met elke verwerker een overeenkomst aangaat. Hierbij moeten in elk geval worden opgenomen:
– wie de verwerker is en wat deze doet en welke verwerking het betreft;
– maken van afspraken over:

  1. geheimhouding;
  2. garanties;
  3. het inschakelen van derden door de verwerker;
  4. wat de verwerker niet mag doen;
  5. aan welke beveiligingsplichten moeten worden voldaan;
  6. het recht van audit door de opdrachtgever;
  7. de wijze waarop met datalekken wordt omgegaan;
  8. de wijze waarop verzoeken van betrokkenen worden afgewerkt;
  9. de regeling over aansprakelijkheid, vrijwaring; en
  10. duur en opzegging.

Op het internet zijn er vele voorbeelden beschikbaar. Voor de advocatuur: https://www.advocatenorde.nl/dossier/gegevensbescherming-avg/modellen-avg

Niet alleen moet dit dan worden vastgelegd; de verwerker moet er alles aan doen om zich daar in de praktijk ook aan te houden.

3 Privacyverklaring

De betrokkene wiens persoonsgegevens bij jouw organisatie worden verwerkt moet begrijpen wat er wordt verwerkt en wat zijn rechten ten aanzien van die verwerking zijn. Stel om die reden een bij jouw organisatie passende privacyverklaring op, zo dat de betrokkene wiens persoonsgegevens bij jouw organisatie worden verwerkt begrijpt wat er wordt verwerkt en wat zijn rechten ten aanzien van die verwerking zijn, beknopt, transparant en in duidelijke en eenvoudige taal.

De privacyverklaring moet in ieder geval 11 punten bevatten:

  1. uiteenzetten wie je bent, wat je doet;
  2. contactgegevens;
  3. doel verwerking;
  4. hoe verwerk je persoonsgegevens;
  5. welke gegevens je verwerkt;
  6. periode dat gegevens worden opgeslagen;
  7. recht op inzage/rectificatie/verwijdering;
  8. mogelijkheden bezwaar;
  9. recht overdracht gegevens aan een derde;;
  10. recht op intrekken toestemming verwerken gegevens;
  11. klachtregeling bij Autoriteit Persoonsgegevens.

De privacyverklaring is er alleen maar om te vermelden wat er gebeurt als er toestemming wordt gegeven en is slechts ter informatie. Bij bijvoorbeeld opdrachtbevestigingen moet minimaal een link aanwezig zijn om van deze privacyverklaring te kunnen kennisnemen.

4 Intern beleid/ data security policy

Je hebt de plicht de inbreuk op de persoongegevens zo klein als mogelijk te houden. Bewustwording is daarbij van groot belang. Omarm de wens de persoonsgegevens te willen beschermen; ook bij nieuwe ontwikkelingen en leg dit alles vast!
Ga binnen je organisatie na op welke wijze zowel technisch als organisatorisch de beveiliging van de persoonsgegevens worden geregeld; hou hiermee rekening met de stand van de techniek, uitvoeringskosten en risico’s. Denk hierbij aan:

  1. pseudonimisering: kan op zich zelf niet meteen ziet om welke persoon het gaat;
  2. versleuteling/encryptie;
  3. beveiliging regelmatig evalueren: maak hier een plan voor hoe vaak je dit doet;
  4. gedragscode of certificeringmechanisme;
  5. systeem hebben om lekken snel te dichten;
  6. gebruik veilige wachtwoorden;
  7. geen wachtwoorden met elkaar delen;
  8. geen rondslingerende bestanden of printjes (clean desk policy helpt al!);
  9. sloten op kasten;
  10. beveiligde USB-sticks;
  11. thuiswerkbeleid;
  12. verbod gebruikmaken van een openbaar wifi netwerk;
  13. hoe ga je bij nieuwe ontwikkelingen de persoonsgegevens verwerken?
  14. verder?

5. Wat als er ondanks alle maatregelen toch sprake is van een datalek?

Mocht nu ondanks alle maatregelen toch sprake zijn van een datalek? In dat geval moet er melding worden gemaakt bij de Autoriteit Persoonsgegevens. Een melding is alleen niet noodzakelijk als het onwaarschijnlijk is dat het datalek risico’s oplevert voor de privacy van de betrokkenen. Een melding aan slachtoffers is noodzakelijk als het datalek een groot risico voor de betrokkenen oplevert. Verder is het noodzakelijk om een datalek die zich in jouw organisatie hebben voorgedaan te registreren, zodat kan worden gecontroleerd of je aan je meldplicht hebt voldaan.
Zorg dat je een intern beleid vaststelt op welke wijze een datalek intern wordt geregistreerd, onder welke omstandigheden, binnen welke termijn en door wie het datalek wordt gemeld aan de toezichthouder, als ook dit aan de slachtoffers wordt gemeld.
Zorg dat je evalueert intern en je beleid en handelingen zo aanpast dat een datalek in de toekomst niet meer kan voorkomen!

Tot slot

Natuurlijk hopen wij dat door al deze voorzorgsmaatregelen de persoonsgegevens worden beschermd en het niet tot een datalek komt! De AVG legt hoge boetes op; laat uw acties niet alleen daarop gericht zijn maar juist op de wens en de bewustwording, dat we met elkaar de persoonsgegevens willen beschermen! Het recht op privacy is immers een grondrecht!

 

Een zeer praktisch boek waar ook met het opstellen van dit artikel dankbaar gebruik is gemaakt is het “Handboek AVG Compliance in de praktijk” van Arnoud Engelfriet, Lisette Chew-Meij en Peter Kager, ISBN 978-90-820834-6-0 Ius Mentis te Amsterdam 2018.

Verder natuurlijk de richtlijn zelf en de handleiding te vinden op https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming

Zie ook ‘in 10 stappen voorbereiding op de AVG’ https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/voorbereiden-op-de-avg  en https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/2017-11_stappenplan_avg_online_v2.pdf 

Verdere algemene informatie:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg

zie voor een stappenplan:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/voorbereiding-op-de-avg#stap-1-bewustwording-5890

 

[1] Het betreft een uniforme regeling voor een ieder in Europa. De oorspronkelijke Engelse naam is General Data Protection.
[2] Autoriteit Persoonsgegevens.
[3] B.W. Schermer, D. Hagenauw & N. Falot i.o.v. Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming, par. 5.3.
[4] B.W. Schermer, D. Hagenauw & N. Falot i.o.v. Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming, par. 5.10 en 6.
[5] B.W. Schermer, D. Hagenauw & N. Falot i.o.v. Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming, par. 7.
[6] B.W. Schermer, D. Hagenauw & N. Falot i.o.v. Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming, par. 5.8 en 5.9.
[7] B.W. Schermer, D. Hagenauw & N. Falot i.o.v. Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming, par. 5.8 en 5.9.
[8] B.W. Schermer, D. Hagenauw & N. Falot i.o.v. Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming, par. 5.4.
[9] B.W. Schermer, D. Hagenauw & N. Falot i.o.v. Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming, par. 5.5.
[10] B.W. Schermer, D. Hagenauw & N. Falot i.o.v. Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming, par. 5.6. B.W. Schermer, D. Hagenauw & N. Falot i.o.v. Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming, par. 5.7.
[12] B.W. Schermer, D. Hagenauw & N. Falot i.o.v. Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming, par.5.3.3.
[13] Voorbeeld is grotendeels ontleend uit L. Chew-Meij, P. Kager & A.Engelfriet, Handboek AVG Compliance in de praktijk, Amsterdam: ICTRECHT 2018, p. 32.