AVG-startpakket voor restaurants

Restaurants verwerken klantdata via reserveringsplatforms (vaak buiten EU), allergie-informatie (Art. 9), en personeelsdata. Vijf valkuilen: (1) TheFork / OpenTable: deze platforms zijn vaak gezamenlijk-verwerkingsverantwoordelijke met restaurant — DPA + JCA + Schrems II TIA. (2) Allergieën: gezondheidsdata (Art. 9). Alleen vermelden waar nodig (bv. in keuken), niet structureel in CRM-tool. Vernietigen na bezoek. (3) Kassasystemen (Lightspeed, Square): personeel-uren + tip-administratie + klantenkaart-data. DPA verplicht. (4) Personeelsplanning: Loket / Bridge / NMBRS. DPA + databases scheiden — geen marketing-gebruik. (5) Reviews: nooit reviews zelf op social herplaatsen zonder toestemming (Cruijff-jurisprudentie portretrecht). Sterren wel verzamelen. Food-foto's: geen probleem als alleen voedsel zichtbaar. Maar gast op achtergrond zichtbaar = portretrecht-risico. Booking via WhatsApp: legitiem belang voor bevestiging. Geen marketing daarna. Datalekken: vaak via gestolen tablet/laptop met klantgegevens, of via hack TheFork-account. Procedure documenteren.