Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Zes aanbevelingen van de Autoriteit Persoonsgegevens om een privacybeleid goed in te richten

Natascha van Duuren

1 mei 2019 - 2 minuten leestijd

In mijn blog van 14 januari 2019 schreef ik dat het opstellen van een privacybeleid niet voor alle organisaties verplicht is. Het opstellen van een gegevensbeschermingsbeleid is op grond van artikel 24 lid 2 AVG verplicht “wanneer zulks in verhouding staat tot de verwerkersactiviteiten”. “Wanneer zulks in verhouding staat” is volgens de toelichting op de wet afhankelijk van de aard, de omvang en het doel van de gegevensverwerking. Tevens ben ik ingegaan op de eisen die aan een privacybeleid worden gesteld. De Autoriteit Persoonsgegevens heeft deze maand zes aanbevelingen gedaan om een privacybeleid goed in te richten. Hieronder wordt nogmaals op de wettelijke eisen waaraan een privacybeleid moet voldoen ingegaan en wordt tevens besproken welke aanbevelingen de Autoriteit Persoonsgegevens heeft gedaan.

Wettelijke eisen privacybeleid

De wet zelf bevat geen opsomming van eisen waaraan het privacybeleid moet voldoen. Uit artikel 24 lid 1 AVG valt af te leiden dat het privacybeleid moet kunnen aantonen dat u persoonsgegevens verwerkt conform de wet. Wat betekent dit nu concreet? Dit betekent dat u in het beleid in ieder geval de volgende informatie dient op te nemen:

  • Welke categorieën persoonsgegevens u verwerkt;
  • Voor welke doeleinden en op basis van welke wettelijke grondslag u deze persoonsgegevens verwerkt;
  • Hoe u voldoet aan de beginselen van verwerking van persoonsgegevens, zoals het beginsel van dataminimalisatie;
  • Hoe betrokkenen hun rechten kunnen uitoefenen;
  • Welke organisatorische en technische beveiligingsmaatregelen u heeft genomen;
  • Hoe lang u de persoonsgegevens bewaart.

Aanbevelingen Autoriteit Persoonsgegevens

Zoals ik in mijn eerdere blog van 14 januari schreef, heeft de Autoriteit Persoonsgegevens het privacybeleid gecontroleerd van een aantal bloedbanken, IVF-klinieken en de politieke partijen. Uit dit verkennende onderzoek is naar zeggen van de Autoriteit een “wisselend beeld” naar voren gekomen. Reden dat zij thans zes aanbevelingen doet voor de inrichting van een privacybeleid. Deze aanbevelingen luiden als volgt:

Beoordeel of de organisatie verplicht is om een gegevensbeschermingsbeleid in te richten; niet iedere organisatie is dit verplicht. Dit is afhankelijk van de verwerking of uw organisatie.

  1. Gebruik interne en/of externe expertise; de functionaris gegevensbescherming kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen.
  2. Leg het beleid vast in één document; voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een beleid.
  3. Wees concreet; een gegevensbeschermingsbeleid is een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van een organisatie. Normen uit de AVG herhalen is niet voldoende.
  4. Maak het beleid bekend; publicatie van het gegevensbeschermingsbeleid is niet verplicht, maar maakt voor betrokkenen wel inzichtelijk hoe een organisatie met persoonsgegevens omgaat. Let bij de publicatie wel op met informatie over de beveiliging.
  5. Niet verplicht? Toch raadzaam; met een gegevensbeschermingsbeleid toont een organisatie aan de persoonsgegevens van betrokkenen te willen beschermen.

Heeft u hulp nodig bij het opstellen van een privacybeleid dat voldoet aan de wettelijke eisen en de aanbevelingen van de Autoriteit in acht neemt? Neem dan contact op met één van onze privacy specialisten: n.vanduuren@declerq.com of 06-54983766.

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?