Aanbevelingen AP voor een privacybeleid

Sinds 25 mei 2018 moet elke organisatie die persoonsgegevens verwerkt aan de Algemene Verordening Gegevensbescherming (AVG) voldoen. Op grond van de AVG moet de organisatie transparant zijn over de gegevens die zij verwerkt en heeft zij een verantwoordingsplicht. Elke organisatie moet aan zowel de doelgroep als aan de Autoriteit Persoonsgegevens (AP) laten zien dat ze voldoet aan de AVG. Dit kunt u doen door het opstellen van een privacybeleid.

Privacybeleid

In een privacybeleid neemt u op welke maatregelen u hebt genomen (of moet nemen) om de persoonsgegevens van bijvoorbeeld klanten, medewerkers, patiënten, cliënten te beschermen. Er moet bijvoorbeeld duidelijk zijn welke categorieën persoonsgegevens u verwerkt, met welk doel, hoe u de gegevens beveiligd, welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen.

Aanbevelingen AP

De AP heeft eind vorig jaar onderzoek gedaan naar het privacybeleid bij 53 zorginstellingen en politieke partijen. De AP heeft het privacybeleid van de verschillende instellingen gecontroleerd op de drie verplichte elementen van het gegevensbeschermingsbeleid: een beschrijving van de categorieën persoonsgegevens, een beschrijving van de doeleinden van de verwerking en de rechten van betrokkenen.

In de AVG zijn geen vereisten vastgelegd over de vorm van een privacybeleid. Uit het onderzoek kwam dan ook naar voren dat de beoordeelde beleidsdocumenten zeer van elkaar verschillen in aard en omvang. Naar aanleiding hiervan heeft de AP op 17 april 2019 de volgende zes aanbevelingen  gedaan voor het opstellen van een privacybeleid:

  1. Beoordeel of de organisatie verplicht is om een gegevensbeschermingsbeleid in te richten; niet iedere organisatie is dit verplicht. Dit is afhankelijk van de verwerking of uw organisatie.
  2. Gebruik interne en/of externe expertise; de functionaris gegevensbescherming kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen.
  3. Leg het beleid vast in één document; voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een beleid.
  4. Wees concreet; een gegevensbeschermingsbeleid is een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van een organisatie. Normen uit de AVG herhalen is niet voldoende.
  5. Maak het beleid bekend; publicatie van het gegevensbeschermingsbeleid is niet verplicht, maar maakt voor betrokkenen wel inzichtelijk hoe een organisatie met persoonsgegevens omgaat. Let bij de publicatie wel op met informatie over de beveiliging.
  6. Niet verplicht? Toch raadzaam; met een gegevensbeschermingsbeleid toont een organisatie aan de persoonsgegevens van betrokkenen te willen beschermen.

Hebt u hulp nodig bij het opstellen van uw privacybeleid?

Neem dan contact op met Mr. Lieke. Mr. Lieke ondersteunt u in het opstellen en implementeren van een privacybeleid. Wanneer u reeds beschikt over een privacybeleid, dan kan Mr. Lieke u ondersteunen door het uitvoeren van een privacy-screening om te beoordelen of uw organisatie aan de AVG voldoet.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *