Tips voor opstellen van een privacybeleid
Naar aanleiding van onderzoek door de Autoriteit Persoonsgegevens (AP) bij organisaties die bijzondere persoonsgegevens verwerken over gezondheid en politieke voorkeur, geeft de AP aan organisaties zes tips om hun privacybeleid goed in te richten.
Onderdeel van de AVG
U bent als organisatie zelf verantwoordelijk voor de naleving van de Algemene verordening gegevensbescherming (AVG). Een goed privacybeleid laat zien dat een organisatie zelf nadenkt over de gegevens die zij verwerkt en daarover transparant communiceert.
In een privacybeleid staat welke maatregelen er zijn genomen om de persoonsgegevens van bijvoorbeeld klanten, patiënten, cliënten te beschermen. Daarnaast is het een manier om als organisatie aan zowel de doelgroep als aan de Autoriteit Persoonsgegevens te laten zien dat ze voldoet aan de AVG. In de AVG zijn geen vereisten vastgelegd over de vorm van een privacybeleid.
Tips voor het opstellen van een privacybeleid
De AP geeft de volgende zes tips voor het opstellen van een privacybeleid:
- 1.Beoordeel of de organisatie verplicht is om een gegevensbeschermingsbeleid in te richten; niet iedere organisatie is dit verplicht. Dit is afhankelijk van de verwerking of uw organisatie.
- 2.Gebruik interne en/of externe expertise; de functionaris gegevensbescherming kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen.
- 3.Leg het beleid vast in één document; voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een beleid.
- 4.Wees concreet; een gegevensbeschermingsbeleid is een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van een organisatie. Normen uit de AVG herhalen is niet voldoende.
- 5.Maak het beleid bekend; publicatie van het gegevensbeschermingsbeleid is niet verplicht, maar maakt voor betrokkenen wel inzichtelijk hoe een organisatie met persoonsgegevens omgaat. Let bij de publicatie wel op met informatie over de beveiliging.
- 6.Niet verplicht om een privacybeleid te hebben? Toch raadzaam; met een gegevensbeschermingsbeleid toont een organisatie aan de persoonsgegevens van betrokkenen te willen beschermen.
Advies
Heeft u vragen over een privacybeleid of privacy in het algemeen? Neemt u dan contact op met een van de privacyspecialisten. Wij helpen u graag!