Je moet het proces beschrijven dat inzicht geeft in welke persoonsgegevens er opgeslagen en/of bewaard worden in jouw bedrijf, waar deze vandaan komen en met wie ze worden gedeeld.
Aan de eigenaren van de persoonsgegevens moet je laten weten welk doel de persoonsgegevens dienen (bijvoorbeeld NAW-gegevens voor een reservering) en de manier waarop de gegevens worden verwerkt (dus alleen voor de reservering en niet voor een mailing).
De eigenaar van de persoonsgegevens heeft rechten die binnen het proces moeten worden gewaarborgd. Je moet het volgende mogelijk op verzoek mogelijk maken:
Je moet kunnen aantonen dat je toestemming hebt voor het gebruik van de persoonsgegevens en dat je op basis van die toestemming de gegevens verwerkt. Check in het proces of er toestemming wordt gevraagd, wordt verkregen en of dat wordt geregistreerd.
Het mag alleen nog maar gaan om noodzakelijke persoonsgegevens. Persoonsgegevens die het doel niet dienen, mag je niet bewaren. Tenzij er een wettelijke grondslag voor is.
Wanneer er sprake is van een situatie waarin je genoodzaakt bent om de gegevens over te dragen naar derden, bijvoorbeeld naar een accountant, dan moet je de afspraken daarover vastleggen in een verwerkingsovereenkomst. Hiervan maak je een melding naar degene over wiens persoonsgegevens het gaat. Als laatste, informeer medewerkers die met persoonsgegevens werken over de nieuwe regels.