Organisaties moeten volgens de Algemene Verordening Gegevensbescherming (AVG) aan een aantal wettelijke verplichtingen voldoen. Waar komen de ondernemingsraad en het instemmingsrecht in beeld, en welke keuzes kan de or maken?