De Autoriteit Persoonsgegevens (AP) heeft een zestal aanbevelingen geformuleerd die organisaties moeten helpen hun privacybeleid goed in te richten. De aanbevelingen volgen op een onderzoek van de AP onder medische instellingen en politieke partijen die zitting hebben in de gemeenteraad in drie grote gemeenten.
Privacybeleid
Bepaalde organisaties zijn volgens de Algemene verordening gegevensbescherming (AVG) verplicht een gegevensbeschermingsbeleid op te stellen en te hanteren (artikel 24, lid 2). Deze verplichting om een privacybeleid op te stellen valt samen met de verplichting van een verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen om te waarborgen en te kunnen aantonen dat een verwerking van persoonsgegevens in overeenstemming met de AVG wordt uitgevoerd. Het is afhankelijk van de aard en context van de verwerking of een organisatie een privacybeleid moet opstellen. De verwerkingsverantwoordelijke moet hier zelf een afweging voor maken.
De AP geeft in het onderzoek aan dat een privacybeleid bijvoorbeeld moet worden opgesteld wanneer een organisatie op grote schaal bijzondere persoonsgegevens verwerkt, zoals iemands politieke opvattingen of medische gegevens. Daarnaast noemt de AP ook dat organisaties die bepaalde gevoelige gegevens zoals financiële gegevens en strafrechtelijke gegevens verwerken ook verplicht kunnen zijn een privacybeleid op te stellen.
Verplichte onderdelen
Hoewel de AVG geen vereisten stelt aan de vorm van het privacybeleid noemt de AP in het onderzoek drie verplichte inhoudelijke onderdelen. Dit zijn:
1. Een omschrijving van de (categorieën van) persoonsgegevens
- Een beschrijving van de doeleinden van de gegevensverwerking.
- Een beschrijving van hoe de rechten van betrokkenen worden gegarandeerd.
De organisaties die door de AP zijn onderzocht verwerken bijzondere persoonsgegevens over gezondheid en politieke voorkeur en dienen volgens de AP daarom een privacybeleid te voeren. Politieke partijen bleken hun beleid beter op orde te hebben dan de zorginstellingen. Bij deze organisaties ontbrak vaak een omschrijving van welke persoonsgegevens verwerkt worden.
Aanbevelingen
Op basis van het onderzoek heeft de AP zes aanbevelingen geformuleerd voor organisaties in het algemeen. De aanbevelingen luiden als volgt:
- Beoordeel of de organisatie verplicht is om een gegevensbeschermingsbeleid in te richten; niet iedere organisatie is dit verplicht. Dit is afhankelijk van de verwerking of uw organisatie;
- Gebruik interne en/of externe expertise; de functionaris gegevensbescherming kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen;
- Leg het beleid vast in één document; voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een beleid;
- Wees concreet; een gegevensbeschermingsbeleid is een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van een organisatie. Normen uit de AVG herhalen is niet voldoende;
- Maak het beleid bekend; publicatie van het gegevensbeschermingsbeleid is niet verplicht, maar maakt voor betrokkenen wel inzichtelijk hoe een organisatie met persoonsgegevens omgaat. Let bij de publicatie wel op met informatie over de beveiliging;
- Niet verplicht? Toch raadzaam; met een gegevensbeschermingsbeleid toont een organisatie aan de persoonsgegevens van betrokkenen te willen beschermen.
Deze aanbevelingen zijn relevant voor decentrale overheden die verplicht zijn een privacybeleid op te stellen, doordat zij bijvoorbeeld veel bijzondere of gevoelige persoonsgegevens verwerken. Zoals de AP aangeeft kunnen organisaties echter ook besluiten een privacybeleid op te stellen ondanks dat zij hier niet toe verplicht zijn.
Informatieversnippering
Met de derde aanbeveling geeft de AP aan dat het voor betrokkenen en derden makkelijker is om alle informatie betreffende het privacybeleid van een organisatie op een plaats te vinden. Er zijn meerdere verplichtingen in de AVG waar een verwerkingsverantwoordelijke aan kan voldoen door een document op te stellen. Bijvoorbeeld de privacyverklaring, waarin informatie wordt gegeven over welke gegevens door een organisatie worden verwerkt, zodat gebruikers weten waar ze toestemming voor geven. Ook dienen decentrale overheden een verwerkingsregister op te stellen, waarin alle activiteiten met betrekking tot het verwerken van persoonsgegevens worden vastgelegd. Indien een organisatie ook een privacybeleid dient op te stellen adviseert de AP om dergelijke documenten zoveel mogelijk samen te voegen, zodat altijd duidelijk is welke informatie voorhanden is en waar deze te vinden is. Versnippering van informatie kan ertoe leiden dat beleid niet optimaal wordt uitgevoerd. Een groot gedeelte van de documenten overlapt elkaar ook: in het register van verwerkingsactiviteiten worden de categorieën van persoonsgegevens en verwerkingsdoeleinden ook beschreven. Indien een decentrale overheid besluit om de documenten samen te voegen is het raadzaam om in de gaten te houden dat alle verplichte onderdelen ook verwerkt worden.
Bron
Zes aanbevelingen voor een privacybeleid, Autoriteit Persoonsgegevens
Meer informatie
Digitale Overheid, Kenniscentrum Europa Decentraal