Autoriteit Persoonsgegevens geeft 6 tips voor een privacybeleid

Op de EU privacywet (AVG) wordt sinds mei 2018 gecontroleerd en gehandhaafd, maar nog niet elke organisatie heeft zijn zaken rodom privacybescherming op orde. En dat is onwenselijk en ook onverstandig, want de boetes en reputatieschade zijn fors.

De Autoriteit Persoonsgegevens geeft organisaties zes tips voor het opstellen van een privacybeleid, aangezien uit onderzoek van de toezichthouder blijkt dat hier nog weleens wat mis mee is. Via een privacybeleid kunnen organisaties aantonen hoe zij gegevens van bijvoorbeeld klanten beschermen.

Er gaat nog veel mis met de privacybescherming

De AP voerde een verkennend onderzoek uit naar de kwaliteit van het gegevensbeschermingsbeleid van twee soorten zorginstellingen en een aantal lokale politieke partijen, omdat zij bijzondere persoonsgegevens verwerken. Het ging om bloedbanken, IVF-klinieken en de politieke partijen die actief zijn in drie gemeenten met meer dan 100.000 inwoners.

Het privacybeleid van deze organisaties werd beoordeeld op een omschrijving van de persoonsgegevens, een beschrijving van de doeleinden van de gegevensverwerking en de rechten van betrokkenen.

Bij de onderzochte zorginstellingen was er in veel gevallen iets mis met de drie verplichte onderdelen. Zo ontbrak bij ongeveer de helft van de documenten een omschrijving van de categorieën van persoonsgegevens of was deze onvoldoende. En ontbrak een omschrijving van de doelen van de gegevensverwerkingen. Lokale politieke partijen hadden hun documenten beter op orde.

In de Rapportage Verkennnend onderzoek Gegevensbeschermingsbeleid deelt de AP de resultaten van het verkennend onderzoek en doet zij aanbevelingen.

Zes aanbevelingen voor privacybescherming

Naar aanleiding van het onderzoek doet de Autoriteit Persoonsgegevens zes aanbevelingen voor het opstellen van een privacybeleid.

  1. Beoordeel of de organisatie verplicht is om een gegevensbeschermingsbeleid in te richten – Het is afhankelijk van de verwerking of uw organisatie een gegevensbeschermingsbeleid moet inrichten. Het is belangrijk aan de hand van de AVG na te gaan welk soort gegevens uw organisatie verwerkt en op welke schaal. Wanneer u bijvoorbeeld op grote schaal bijzondere persoonsgegevens verwerkt dient uw organisatie een gegevensbeschermingsbeleid op te stellen en te hanteren. Het is uw eigen verantwoordelijkheid om deze beoordeling te maken. Wacht niet totdat de AP ernaar vraagt.
  2. Gebruik interne en/of externe expertise – Gebruik de aanwezige expertise in uw organisatie om tot een goed gegevensbeschermingsbeleid te komen. De functionaris gegevensbescherming (FG) kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen. Het beleid moet voldoen aan de AVG en werkbaar zijn in de praktijk. Wanneer uw organisatie problemen ondervindt met het invullen van dit beleid, kunt u altijd een externe expert raadplegen voor advies over de normen uit de AVG en over de specifieke uitwerking binnen uw organisatie.
  3. Leg het beleid vast in één document – Uit de ontvangen documentatie blijkt dat de informatie met betrekking tot het gegevensbeschermingsbeleid wel voorhanden is, maar soms versnipperd is. Informatie is soms te vinden in het verwerkingsregister, in de privacyverklaring op de website en het komt voor dat er daarnaast nog een gegevensbeschermingsbeleid is ingericht. Op zich is dat mogelijk, maar het is overzichtelijker als het gegevensbeschermingsbeleid een compleet beeld geeft. Op die manier isimmers makkelijker te achterhalen welk beleid uw organisatie heeft voor het beschermen van persoonsgegevens.
  4. Wees concreet – Een gegevensbeschermingsbeleid is een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van een organisatie. Het is dus niet toereikend om de normen uit de AVG te herhalen.
  5. Maak het beleid bekend – De AVG vereist niet dat u het gegevensbeschermingsbeleid publiceert, maar het is wel aan te bevelen. Ook voor betrokkenen wordt dan inzichtelijk hoe uw organisatie met hun persoonsgegevens omgaat. Let bij de publicatie wel op dat er geen informatie in het beleid staat waarmee kwaadwillenden hun voordeel kunnen doen., zoals informatie over de beveiliging.
  6. Wanneer het niet verplicht is kan het toch verstandig zijn een privacybeleid op te stellen – Het kan zijn dat uw organisatie niet verplicht is om een gegevensbeschermingsbeleid te hebben. Ook dan is het raadzaam om een dergelijk beleid in te richten, omdat u daarmee aantoont dat u de persoonsgegevens van betrokkenen wilt beschermen.

Privacybescherming is een voorbeeld van ‘good governance’

Privacybescherming is voor organisaties die hun informatiegovernance goed op orde hebben niet al te complex om te beschrijven en te realiseren. Informatieprofessionals kunnen in samenwerking met ondere de bedrijfsjurist en de functionaris gegevensbescherming zorgen voor een werkbaar privacybeleid.

Als voorbeeld van privacybeleid heb je wellicht iets aan het privacydocument van de Autoriteit Persoonsgegevens.