Vergroot contrast

Zes aanbevelingen voor een privacybeleid

De Autoriteit Persoonsgegevens (AP) doet organisaties zes aanbevelingen om hun privacybeleid goed in te richten. De AP doet dit na een controle van het gegevensbeschermingsbeleid (privacybeleid) van organisaties die bijzondere persoonsgegevens verwerken over gezondheid en politieke voorkeur. Uit het verkennende onderzoek kwam een wisselend beeld naar voren. Inhoudelijk waren de documenten van de politieke partijen beter in orde dan die van de zorginstellingen. In de aard en omvang van de documenten zag de AP grote verschillen.

Organisaties zijn zelf verantwoordelijk voor de naleving van de Algemene verordening gegevensbescherming (AVG). Een goed privacybeleid toont aan dat een organisatie zelf nadenkt over de gegevens die zij verwerkt en daarover transparant communiceert.

Met een privacybeleid brengt een organisatie in kaart welke maatregelen zij heeft genomen om de persoonsgegevens van bijvoorbeeld klanten, patiënten, cliënten te beschermen. Daarnaast is het een manier om als organisatie aan zowel de doelgroep als aan de Autoriteit Persoonsgegevens te laten zien dat ze voldoet aan de AVG.

Wisselend beeld

Van een organisatie die bijzondere persoonsgegevens verwerkt, mag een behoorlijk privacybeleid verwacht worden. De AP heeft daarom het privacybeleid gecontroleerd bij bloedbanken, IVF-klinieken en de politieke partijen die actief zijn in drie gemeenten met meer dan 100.000 inwoners.

Het onderzoek richtte zich op drie verplichte onderdelen van het gegevensbeschermingsbeleid: een omschrijving van de (categorieën van) persoonsgegevens, een beschrijving van de doeleinden van de gegevensverwerking en de rechten van betrokkenen. Uit de beoordeelde documenten valt op dat zij erg verschillend zijn in aard en omvang. In de AVG zijn geen vereisten vastgelegd over de vorm.

Alle gecontroleerde bloedbanken en IVF-klinieken hebben een gegevensbeschermingsbeleid. Bij de zorginstellingen schortte er in veel gevallen iets aan de drie verplichte onderdelen: bij ongeveer de helft van de documenten ontbrak bijvoorbeeld een omschrijving van de categorieën van persoonsgegevens of was deze onvoldoende. En ontbrak een omschrijving van de doelen van de gegevensverwerkingen. De AP heeft 21 documenten beoordeeld van lokale politieke partijen. Alle partijen die leden hebben, hebben een gegevensbeschermingsbeleid. Deze documenten bleken in de meeste gevallen in orde.

Zes aanbevelingen

  1. Beoordeel of de organisatie verplicht is om een gegevensbeschermingsbeleid in te richten; niet iedere organisatie is dit verplicht. Dit is afhankelijk van de verwerking of uw organisatie.
  2. Gebruik interne en/of externe expertise; de functionaris gegevensbescherming kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen.
  3. Leg het beleid vast in één document; voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een beleid.
  4. Wees concreet; een gegevensbeschermingsbeleid is een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van een organisatie. Normen uit de AVG herhalen is niet voldoende.
  5. Maak het beleid bekend; publicatie van het gegevensbeschermingsbeleid is niet verplicht, maar maakt voor betrokkenen wel inzichtelijk hoe een organisatie met persoonsgegevens omgaat. Let bij de publicatie wel op met informatie over de beveiliging.
  6. Niet verplicht? Toch raadzaam; met een gegevensbeschermingsbeleid toont een organisatie aan de persoonsgegevens van betrokkenen te willen beschermen.

Reeks verkennende onderzoeken

Sinds de invoering van de AVG controleert de AP op verschillende manieren of vereisten uit de privacywetgeving worden nageleefd. Zo controleerde de AP eerder overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken op het hebben van een functionaris voor de gegevensbescherming en deed de AP een steekproef bij grote private organisaties om te onderzoeken of zij een register voor verwerkingsactiviteiten bijhouden.

Gerelateerd nieuws

Publicaties