Cyberuben

Wellicht ben ik hier aan het verkeerde adres (in dat geval hoor ik graag waar ik deze vraag het beste kan stellen), maar ik heb wat vragen over de AVG / GDPR als zelfstandige ondernemer. Situatie 1: Ik ben bezig met een administratiesysteem voor verenigingen waar door verenigingen zelf informatie wordt ingevoerd. Omdat sommige verenigingen overlappende contacten hebben, en die contacten misschien al in het systeem te vinden zijn, is het voor een individu ook mogelijk een account aan te maken en de eigen gegevens te beheren. Op het moment dat een contact een eigen account heeft, en deze koppelt aan een vereniging, kan de vereniging de data wel inzien, maar niet zelf aanpassen. Nu is het voor mij duidelijk dat ik als dienstverlener verantwoordelijk ben voor de veilige opslag (data opgeslagen in versleutelde databases / hardeschijven, gebruik van SSL), maar ben ik ook verantwoordelijk voor de informatie die een klant van mij (de vereniging) invoert in het systeem? Of kunnen de verplichtingen van de GDPR contractueel worden overgedragen aan de klant? Het gaat om vooral persoonsgegevens als NAW, geboortedatum, telefoonnummers en bijvoorbeeld behaalde diploma's. Het is voor mij niet mogelijk om alle informatie die de klant invoert te controleren op expliciete toestemming. In het geval dat de klant zelf zijn contacten in het systeem in voert, wie is er dan verplicht om het recht van vergeten te handhaven? Kan iedere willekeurige persoon ons mailen, met het verzoek of wij gegevens hebben, en die indien te verwijderen? Of moet dit via het secretariaat van een vereniging? En in het geval dat ik iemand wel moet verwijderen, dan moet ik rommelen in de adminstratie van een ander, die dan mogelijk niet meer klopt. Als een contact ook een account in het systeem heeft, is het duidelijk dat ik als dienstverlener informatie moet verwijderen, maar als deze data gedeeld wordt (met toestemming) aan een vereniging binnen ons systeem, moet ik dan alle informatie verwijderen, dus ook hier, de administratie van de vereniging incompleet maken, of alleen de informatie die niet voor de vereniging van belang is? Situatie 2: Ik ben met een chatbot bezig, die het mogelijk maakt om je via een chatroom je in te schrijven voor een wachtrij, met een gebruikersnaam voor een spel. De chatroom is publiek toegankelijk, zonder login o.i.d., en de gebruikersnaam voor het spel zijn uniek, publiek (te zien door andere spelers waarmee willekeurig gematcht wordt) maar hebben mogelijkheid een identiteit aan de kant van de ontwikkelaar van het spel. De chatroom is publiek, maar beheerd door een enkele persoon. Om de wachtlijst extra functionaliteit te geven (het hele nut van de dienst), moet ik beide gebruikersnamen opslaan. De eigenaar van de chatroom kiest er zelf voor kf deze mijn dienst wil gebruiken. Ook in deze situatie, ben ik verantwoordelijk om de expliciete toezegging van de gebrukkers op te slaan? Het zijn gebruikersnamen dke nagenoeg niet aan natuurlijke personen te verbinden zijn, publiek te vinden zijn op internet, en nodig zijn voor de dienst. Is toestemming nodig, zo ja, alleen van de eigenaar van de chatroom, of van iedere gebruiker (die de informatie zelf invoert door een bericht te typen)?