Wanneer gegevens niet alleen verwerkt of beheerd worden bij de werkgever dan is er sprake van gegevensstromen met (vrije)derden (bijvoorbeeld: leveranciers). In geval van gegevensstromen naar derden is het noodzakelijk om een duidelijk maatregelenpakket te beschrijven.

Dit maatregelenpakket bevat minimaal de volgende informatie:

  • De namen van derden (leveranciers)
  • De persoonsgegevens die getransporteerd worden
  • Het doel van de gegevensoverdracht
  • Toestemming van de verantwoordelijke van het deelproces

TIP!

  • De personen waarvan de persoonsgegevens overgedragen worden, dienen hiervan op de hoogte te zijn.
  • Als de gegevensstroom naar derden alleen statistische informatie bevat die niet gerelateerd kan worden bestaande personen, dan volstaat een algemene vermelding in de ‘privacy statements’ van de werkgever.

Privacy Statements

De resultaten van de eerste 5 stappen kunnen worden gebruikt om ‘privacy statements’ te ontwikkelen. De privacy statements kunnen worden gebruikt op websites, formulieren, call centers en in de winkel.