Uw zoekopdracht komt in het volgende document voor:

avg_notitie_vgt.pdf

Klik hier om het bestand te downloaden

NOTITIE De toepassing en invulling van de Algemene Verordening Gegevensbescherming (AVG) voor de (leden van de ) VGT Zaandam, Versie 1 juni 2022 HUIDIGE SITUATIE. Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Deze AVG is de opvolger van de Wet Bescherming Persoonsgegevens en de Autoriteit Persoonsgegevens (AP) is de handhavende instantie. Op dit moment zijn veel ondernemingen en organisaties bezig met de (mogelijke) gevolgen van de AVG. Dat gaat gepaard met allerlei interpretaties, uitlatingen en standpunten die in de relatie tussen de betrokkene, de dentalondernemingen en de VGT lang niet altijd van toepassing zijn. Daarom hebben wij gemeend er goed aan te doen om ten aanzien van deze relatie(s) en in het kader van de AVG nogmaals het een en ander toe te lichten. Het belangrijkste aspect is dat menigeen denkt dat er tussen de dentalonderneming en haar klanten een zgn. verwerkingsovereenkomst van toepassing zou zijn. Dit is in vrijwel alle voorkomende situaties onjuist. Een verwerkingsovereenkomst komt uitsluitend tot stand tussen een verwerkingsverantwoordelijke en een verwerker. In deze notitie wordt toegelicht wat het verschil is tussen een verwerkingsverantwoordelijke en een verwerker is en welke relatie deze partijen tot elkaar innemen. HANDLEIDING VAN HET MINISTERIE VAN JUSTITIE EN VEILIGHEID. Gedetailleerde informatie, allerlei eisen en verplichtingen kan teruggevonden worden in de door het Ministerie van Justitie en Veiligheid uitgegeven Handleiding AVG, deze is HIER te downloaden. Wij adviseren u dringend om deze (goed leesbare) Handleiding te downloaden en door te nemen omdat deze Handleiding antwoorden geeft op veel vragen. Ook zijn hierin een paar schema’s opgenomen die inzichtelijk maken of de Verordening op u van toepassing is, of u verwerkingsverantwoordelijke of verwerker bent, wat uw verantwoordelijkheden en verplichtingen zijn en wanneer (en hoe) u de betrokkene(n) moet informeren. VAN TOEPASSING ZIJNDE DOCUMENTEN. Over de AVG is, vooral op Internet, veel informatie te vinden en komt er ook, van verschillende kanten, veel informatie via email en/of nieuwsberichten etc. binnen. Voor deze Notitie hebben wij inhoudelijk gekeken naar : • Verordening (EU) 2016/679 – Algemene Verordening Gegevensbescherming • Model Gegevensbeschermingseffectbeoordeling (PIA) • Handleiding Algemene Verordening Gegevensbescherming – versie 8 januari 2018 • Uitvoeringswet AVG • Memorie van Toelichting Uitvoeringswet AVG • AVG softwarepakket van AVG-Verenigingen • VGT Algemene Verkoop- en Leveringsvoorwaarden – versie 1 april 2021 BEGINSELEN VAN DE AVG. De Verordening gaat uit van beginselen waar elke verwerking van persoonsgegevens aan moet voldoen. Deze beginselen worden nader geconcretiseerd in de diverse bepalingen uit de Verordening (zie verder de Handleiding AVG voor de uitwerking hiervan). Elke verwerking van persoonsgegevens moet in lijn zijn met de volgende beginselen: • De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn (“rechtmatigheid, behoorlijkheid en transparantie”); • De verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”); • De gegevens moeten toereikend, ter zake dienend en beperkt tot het noodzakelijke zijn (“minimale gegevensverwerking”); • De gegevens moeten juist zijn (“juistheid”); • De gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”); • De gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (“integriteit en vertrouwelijkheid”). Voor alle bovenstaande beginselen geldt dat de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving en kan aantonen dat de gegevensverwerking in lijn is met de beginselen (de verantwoordingsplicht). BELANGRIJKE TERMINOLOGIE / DEFINITIES: Om enigszins inzicht te krijgen in de AVG is het vooral belangrijk om kennis te nemen van de terminologie en enkele belangrijke definities van de Verordening. Dat is met name belangrijk omdat hieruit conclusies getrokken kunnen worden in het kader van verantwoordelijkheden, handelingen, verplichtingen en het bepalen van uw positie ten aanzien van de verwerking van persoonsgegevens. „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; De AVG gaat dus uitsluitend over het verwerken van persoonsgegevens, dat zijn gegevens die betrekking hebben op geïdentificeerde of identificeerbare natuurlijke personen (mensen van vlees en bloed). Alle andere gegevens die verwerkt worden zoals data, metingen, omzet, verkopen, statistieken etc. zijn, zolang deze gegevens geen betrekking hebben op natuurlijke personen (geïdentificeerd of identificeerbaar), geen persoonsgegevens in het kader van de AVG. „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; Er moet dus sprake zijn van een bewerking. Zolang er geen bewerking heeft plaatsgevonden of plaats zal vinden is er ook geen sprake van een verwerking. Voorbeeld : u krijgt in de loop der jaren vele visitekaartjes van diverse personen. Zolang u deze visitekaartjes niet geordend verwerkt (bijvoorbeeld op alfabetische volgorde in een Rolodex of in een digitaal bestand plaatst) is er dus ook geen sprake van een verwerking. Zo is bijvoorbeeld ook het bekijken van persoonsgegevens geen verwerking. „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; Als er sprake is van een verwerking dan moet er ook een verwerkingsverantwoordelijke zijn. Wie de verwerkingsverantwoordelijke is wordt bepaald door het antwoord op de vraag : ‘Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?’ of, zoals in de definitie verwoord: ‘Wie stelt het doel en de middelen voor de verwerking vast?’ Wie in een voorkomende situatie de verwerkingsverantwoordelijke is, is een uitermate belangrijk gegeven. Immers, op deze persoon of organisatie rusten de (meeste en zwaarste) verplichtingen vanuit de AVG. Dus : wie bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit plaatsvindt (met welke middelen), is de verwerkingsverantwoordelijke. Voorbeeld: Een organisatie geeft persoonsgegevens en aanvullende gegevens van het personeel door aan een pensioenverzekeraar of pensioenfonds. De pensioenverzekeraar of het pensioenfonds is geen verwerker omdat zij zelf het doel en de middelen van de gegevensverwerking bepaalt. De pensioenverzekeraar of het pensioenfonds is de verwerkingsverantwoordelijke van de gegevens (geworden). „verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die / dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt; Wanneer een persoon of organisatie ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt dan is die persoon of organisatie een verwerker. De verwerker heeft geen zeggenschap over de verwerkingen en mag alleen handelen onder de verantwoordelijkheid van de verwerkingsverantwoordelijke en naar diens instructies. Op het moment dat de verwerker zelfstandig beslissingen gaat nemen over de doelen van de verwerking en de middelen, dan wordt de verwerker zelf verwerkingsverantwoordelijke voor die (nieuwe) verwerkingen. Voor alle duidelijkheid: er is alleen sprake van verwerkerschap als de verwerker niet aan het rechtstreeks gezag van de verwerkingsverantwoordelijke is onderworpen. In vrijwel alle gevallen is de verwerker een derde partij die namens of onder toezicht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Personen die werkzaam zijn bij de verwerkingsverantwoordelijke, gedetacheerd zijn bij de verwerkingsverantwoordelijke of een ZZP’er die werkt onder de instructies van de verwerkingsverantwoordelijke zijn geen verwerkers. Voorbeeld: een administratiekantoor voert namens een bedrijf de salarisadministratie. De opdracht aan het administratiekantoor is het uitvoeren van de salarisadministratie, wat neerkomt op het verwerken van de persoonsgegevens van de medewerkers. In dit geval is het administratiekantoor de verwerker. Een ander voorbeeld is een aanbieder van gegevensopslag in de cloud. Wanneer de dienst (alleen en uitsluitend) toeziet op het opslaan van gegevens, dan is de cloud-aanbieder een verwerker. Het is dus zaak goed te kijken welke positie er door wie in welke situatie wordt ingenomen. „verwerkersovereenkomst”: een overeenkomst tussen een verwerkingsverantwoordelijke en een verwerker waarin de afspraken tussen deze partijen onderling in schriftelijke vorm (waaronder elektronische vorm) worden vastgesteld; Voor het aangaan van een verwerkersovereenkomst moet er dus sprake zijn van: a. een verwerkingsverantwoordelijke (persoon of organisatie) én b. een verwerking van persoonsgegevens én c. een verwerker die, in opdracht van en onder verantwoordelijkheid van de verwerkingsverantwoordelijke (zonder aan het rechtstreekse gezag van de verwerkingsverantwoordelijke onderworpen te zijn), verwerkingen uitvoert. Het is niet voorgeschreven wie de verwerkingsovereenkomst opstelt, dat kan zowel de verwerkingsverantwoordelijke als de verwerker zijn, maar veelal zal de verwerkingsverantwoordelijke het initiatief nemen, omdat de verwerker in diens opdracht moet handelen. Evenwel, als een verwerker voor meerdere verwerkingsverantwoordelijken dezelfde werkzaamheden uitvoert (bijvoorbeeld het hosten van websites) dan zal de verwerker een uniforme verwerkersovereenkomst willen opstellen. „registerplicht”: om de naleving van de Verordening aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden. Elke verwerkingsverantwoordelijke en elke verwerker dient ertoe te worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit (de Autoriteit Persoonsgegevens) en dit register desgevraagd te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten. „toestemming”: persoonsgegevens mogen worden verwerkt als de betrokkene hiervoor toestemming heeft gegeven. Om te spreken van geldige toestemming, moet de toestemming wel aan een aantal voorwaarden voldoen. 1. De toestemming moet vrij gegeven zijn. Dit houdt in dat iemand daadwerkelijk de keuze moet hebben om te weigeren, zonder dat hier negatieve consequenties aan verbonden zijn. 2. De toestemming moet specifiek zijn en geïnformeerd. De verwerkingsverantwoordelijke moet duidelijke informatie verschaffen over de redenen waarom de persoonsgegevens worden verwerkt (het doel), maar ook over andere zaken die van belang zijn om te zorgen dat de betrokkene voldoende informatie heeft om een goed geïnformeerd besluit te nemen. Denk daarbij aan informatie over de manier waarop de persoonsgegevens worden verwerkt, met wie de persoonsgegevens worden gedeeld, hoe lang ze worden bewaard etc. 3. De toestemming moet ondubbelzinnig zijn. Er mag geen twijfel bestaan over het feit dat de betrokkene toestemming heeft gegeven. Toestemming kan blijken uit een ondubbelzinnige wilsuiting of uit een ondubbelzinnige en actieve handeling van de betrokkene. Vaak wordt voor punt 3 de term opt-in voor webbestellingen gehanteerd. Wanneer de betrokkene bijvoorbeeld een vinkje zet in een vakje om zijn akkoord aan te geven, dan is er sprake van ondubbelzinnige toestemming (opt-in). Het gebruik maken van de optie om een betrokkene van toestemming te onthouden (opt-out) is geen toestemming. Dus wanneer in hetzelfde vakje al een vinkje is gezet en de betrokkene vinkt het niet uit (opt- out), dan is er geen ondubbelzinnige toestemming tot stand gekomen. Het is dan namelijk niet duidelijk wat de echte wil van de betrokkene is (deze kan bijvoorbeeld het vakje over het hoofd hebben gezien). Met andere woorden, het vinkje mag niet vooraf al ingevuld zijn. Geen toestemming nodig. De verwerkingsverantwoordelijke hoeft niet in alle gevallen toestemming te hebben van de betrokkene om de gegevensverwerking te legitimeren. In de Verordening worden zes rechtsgrondslagen (a t/m f) genoemd waarvoor de verwerkingsverantwoordelijke geen toestemming hoeft te krijgen. De belangrijkste grondslagen zijn: a. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; b. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om, op verzoek van de betrokkene, vóór de sluiting van een overeenkomst maatregelen te nemen; c. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Toestemming gegeven: Het kan bijvoorbeeld zijn dat de betrokkene (al eerder) akkoord is gegaan met het toesturen van aanbiedingen, nieuwsbrieven, mailingen, uitnodigingen of andere vormen van communicatie tussen de dentalonderneming en de betrokkene. Deze toestemming moet dan wel aangetoond kunnen worden. Uitvoering van een overeenkomst: Vrijwel alle handelingen tussen een dentalonderneming (en de VGT) en betrokkenen komen voort uit overeenkomsten. Dat kunnen bijvoorbeeld koopovereenkomsten, maar ook huur-, consignatie-, reparatie- of leaseovereenkomsten etc. zijn. Als een verwerkingsverantwoordelijke met een betrokkene een overeenkomst heeft gesloten, mag de verwerkingsverantwoordelijke de persoonsgegevens van deze persoon verwerken voor zover dit noodzakelijk is om de overeenkomst uit te kunnen voeren. Dit moet dan wel een overeenkomst zijn waarbij de betrokkene zelf ook partij is. De overeenkomst hoeft overigens niet gericht te zijn op het verwerken van persoonsgegevens, maar de verwerking moet wel een noodzakelijk uitvloeisel van de overeenkomst zijn. Persoonsgegevens mogen ook worden verwerkt als dit noodzakelijk is om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen. In deze zogenoemde precontractuele fase kan het verwerken van persoonsgegevens namelijk noodzakelijk zijn. Denk dan bijvoorbeeld aan het opstellen van een offerte of een betrokkene die bij een bank om een offerte vraagt voor een leasecontract. Voor het opstellen van een offerte of het berekenen van het maximale leenbedrag, zal de dentalonderneming c.q. de bank bepaalde persoonsgegevens nodig hebben, voordat er daadwerkelijk sprake is van een overeenkomst. Te voldoen aan een wettelijke verplichting: De verwerkingsverantwoordelijke mag ook persoonsgegevens verwerken als dit noodzakelijk is om te voldoen aan een wettelijke plicht. Om verwerkingen van persoonsgegevens op deze grondslag te kunnen baseren, moet het niet mogelijk zijn om aan deze plicht te kunnen voldoen zonder dat er persoonsgegevens worden verwerkt. Voorbeeld: werkgevers zijn wettelijk verplicht om een kopie of scan van het identiteitsbewijs van alle personeelsleden op te nemen in de loonadministratie. Zo is er bijvoorbeeld ook een wettelijke plicht die op dentalondernemingen rust om de betrokkenen middels een veiligheidsinformatieblad te informeren over de risico’s van het gebruik van producten met gevaarlijke stoffen. De uitvoering van deze laatste verplichting heeft de dentalonderneming in opdracht gegeven aan de VGT en verstrekt hiervoor, naast de informatie welk product is geleverd, ook de informatie van de betrokkene aan de VGT. Omdat de dentalonderneming de verwerking van de persoonsgegevens door een externe partij laat uitvoeren, in dit geval de VGT, dient de dentalonderneming met de VGT een verwerkingsovereenkomst te sluiten, dus NIET met de betrokkene. „privacy verklaring”: in de privacy verklaring (ook wel privacy statement of privacy policy genoemd) omschrijft de verwerkingsverantwoordelijke een aantal punten ten aanzien van de verwerking van persoonsgegevens van betrokkene. In een privacyverklaring zouden de volgende punten kunnen voorkomen: 1. Identiteit verwerkingsverantwoordelijke; 2. Doel en wettelijke basis voor het verzamelen en gebruiken van de persoonsgegevens; 3. Gebruik en doeleinden van de persoonsgegevens; 4. Typen persoonsgegevens die worden verwerkt; 5. Inzage en wijziging van betrokkene; 6. Doorgifte van verzamelde gegevens aan derden (zie hieronder); 7. Mogelijke toestemmingsvereisten; 8. Beveiliging van de gegevens; 9. Bewaartermijnen; 10. Gebruik van cookies, Google Analytics; 11. Gebruik van ondersteunende software (zie hieronder); 12. Rechten van betrokkene (privacyrecht, bezwaarrecht, intrekkingsrecht, klachtrecht); 13. Aanvullende eisen; 14. Contactgegevens verwerkingsverantwoordelijke. LET OP! Afhankelijk van de omstandigheden hoeven niet alleen bovengenoemde punten in een privacy verklaring te worden opgenomen, aan de andere kant is bovenstaand overzicht ook geen limitatieve opsomming. Buiten deze punten kunnen er, afhankelijk voor de voorliggende situatie, nog meer punten zijn die in de privacy verklaring kunnen of moeten worden opgenomen. Doorgifte van verzamelde gegevens aan derden. Teneinde invulling te kunnen geven aan een tussen een dentalonderneming en een betrokkene tot stand gekomen overeenkomst, waaronder begrepen een koop- of serviceovereenkomst, kan op de dentalonderneming uit hoofde van die overeenkomst de verplichting komen te rusten om derden hierover te informeren, bijvoorbeeld ingeval van garantietermijnen van de in de overeenkomst genoemde apparatuur of bij het (door die derde) te verstrekken bonusgoederen. Gebruik van ondersteunende software. In de assisterende rol van de dentalonderneming naar de betrokkene wordt in voorkomende gevallen, bijvoorbeeld in geval van problemen of vragen, gebruik gemaakt van ondersteunende software, bijvoorbeeld Teamviewer. Voordat de dentalonderneming via Teamviewer toegang kan verkrijgen tot de ICT-omgeving van de betrokkene moet de dentalonderneming eerst de toegangscode van de ondersteunende software van de betrokkene ontvangen. Zolang de dentalonderneming alleen maar met de betrokkene meekijkt en geen persoonsgegevens verwerkt is de AVG niet van toepassing. Als de dentalonderneming wel persoonsgegevens in welke vorm dan ook verwerkt is er wel sprake van de toepasselijkheid van de AVG. Een en ander dient dan wel in een privacy verklaring of, afhankelijk van de situatie in een verwerkingsovereenkomst, te worden beschreven. HANDELINGEN EN VERANTWOORDELIJKHEDEN ten aanzien van de VGT portals. HET VGT PROJECT PRODUCTEN MET GEVAARLIJKE STOFFEN (PGS). Als een dentalonderneming aan een betrokkene een PGS verkoopt rust op de dentalonderneming de wettelijke plicht om de betrokkene middels een veiligheidsinformatieblad te informeren over de risico’s van het PGS. De uitvoering van deze verplichting heeft de dentalonderneming in opdracht gegeven aan de VGT en verstrekt hiervoor, naast de informatie welk product is geleverd, ook de informatie van de betrokkene aan de VGT. Het basic account: Ten aanzien van het basic account is de dentalonderneming de verwerkingsverantwoordelijke. Immers, de dentalonderneming verzamelt de gegevens en verstrekt deze aan een derde (aan de VGT) met als opdracht het versturen van informatie. De VGT is dan de verwerker. Er moet dus een verwerkingsovereenkomst tot stand komen tussen de dentalonderneming en de VGT. De dentalonderneming of de VGT hoeven geen verwerkingsovereenkomst met betrokkenen overeen te komen omdat de dentalonderneming geen verwerker van de gegevens is, maar verwerkingsverantwoordelijke. Omdat de verwerking van de gegevens gebeurt ter uitvoering van een wettelijke plicht van de dentalonderneming hoeft de dentalonderneming geen toestemming van de betrokkene te verkrijgen. Wel moet de betrokkene geïnformeerd worden door middel van een privacy verklaring. De VGT privacy verklaring staat zowel in de beide VGT portals als op de (homepage) van de VGT website. Het abonnement PREMIUM: Ten aanzien van het abonnement PREMIUM (het Register Gevaarlijke Stoffen én de risico-analyse) is de VGT de verwerkingsverantwoordelijke. Immers, de VGT verwerkt gegevens uit de database voor het genereren van het Register Gevaarlijke Stoffen. Voor het opstellen van de risico-analyse verstrekt de VGT de gegevens aan DC Consult (als sub-verwerker) en moet de VGT met DC Consult een verwerkingsovereenkomst overeenkomen. Aangezien de betrokkene het abonnement hiervoor zelf heeft afgesloten is er dus een directe overeenkomst tussen de betrokkene en de VGT tot stand gekomen en hoeft er geen toestemming aan de betrokkene meer gevraagd te worden. De VGT moet de betrokkene informeren over de verwerking van de persoonsgegevens en het verstrekken van de gegevens aan een derde, maar dat kan door middel van de generieke privacy verklaring van de VGT. Deze VGT privacy verklaring staat zowel in de VGT portal als op de (homepage) van de VGT website. HET VGT PROJECT STRALINGSBESCHERMING. In de VGT portal Stralingsbescherming verloopt de verwerking van persoonsgegevens anders dan bij de VGT portal Veiligheidsinformatiebladen, daarom liggen de verantwoordelijkheden in dit project ook anders. Het abonnement KEW: Voor het abonnement op deze portal worden de persoonsgegevens door de betrokkene zelf aangeleverd. Door het afsluiten van het abonnement VGT Portal Stralingsbescherming of het plus abonnement inclusief scholing is er een directe overeenkomst tussen de VGT en de betrokkene tot stand gekomen waarin de VGT de verwerkingsverantwoordelijke is en hoeft de VGT geen verwerkingsovereenkomst met de betrokkene af te sluiten. Alle gegevens die door de dentalonderneming of de VGT worden aangeleverd zijn geen persoonsgegevens en vallen daardoor niet onder de AVG. Persoonsgegevens worden door de abonnementhouder rechtstreeks verstrekt aan de VGT. Voor de invulling van het abonnement VGT Portal Stralingsbescherming verstrekt de VGT gegevens aan Radiant Stralingsadvies (Radiant), zijnde een sub-verwerker. Daarom moet de VGT een verwerkersovereenkomst met Radiant overeenkomen. Voor de invulling van het abonnement VGT Portal Stralingsbescherming Plus verstrekt de VGT gegevens aan AVS-Radiant Stralingsonderwijs, zijnde een sub-verwerker. Daarom moet de VGT een verwerkersovereenkomst met AVS-Radiant Stralingsonderwijs overeenkomen. De VGT moet de betrokkenen informeren over de verwerking van de persoonsgegevens door Radiant en AVS-Radiant Stralingsonderwijs door middel van een generieke privacy verklaring van de VGT. Deze VGT privacy verklaring staat zowel in de VGT portal als op de (homepage) van de VGT website.