Autoriteit Persoonsgegevens geeft 6 tips voor een privacybeleid
De Autoriteit Persoonsgegevens geeft organisaties zes tips voor het opstellen van een privacybeleid, aangezien uit onderzoek van de toezichthouder blijkt dat hier nog weleens wat mis mee is. Via een privacybeleid kunnen organisaties aantonen hoe zij gegevens van bijvoorbeeld klanten beschermen.
Tevens is het een manier om als organisatie aan zowel de doelgroep als aan de Autoriteit Persoonsgegevens te laten zien dat ze voldoet aan de AVG. De toezichthouder bekeek van verschillende soorten organisaties het privacybeleid. Het ging om bloedbanken, IVF-klinieken en de politieke partijen die actief zijn in drie gemeenten met meer dan 100.000 inwoners. Het privacybeleid van deze organisaties werd beoordeeld op een omschrijving van de persoonsgegevens, een beschrijving van de doeleinden van de gegevensverwerking en de rechten van betrokkenen.
Bij de onderzochte zorginstellingen was er in veel gevallen iets mis met de drie verplichte onderdelen. Zo ontbrak bij ongeveer de helft van de documenten een omschrijving van de categorieën van persoonsgegevens of was deze onvoldoende. En ontbrak een omschrijving van de doelen van de gegevensverwerkingen. Lokale politieke partijen hadden hun documenten beter op orde (pdf).
Naar aanleiding van het onderzoek doet de Autoriteit Persoonsgegevens zes aanbevelingen voor het opstellen van een privacybeleid.
1. Beoordeel of de organisatie verplicht is om een privacybeleid in te richten.
2. Gebruik interne en/of externe expertise.
3. Leg het beleid vast in één document.
4. Wees concreet.
5. Maak het beleid bekend.
6. Wanneer het niet verplicht is kan het toch verstandig zijn een privacybeleid op te stellen.
Je opmerking slaat helemaal nergens op. Organisaties hebben gewoon gegevens nodig om bepaalde diensten te kunnen leveren. Moet een zorginstelling zoals een ziekenhuis dan maar geen data van je verwerken wanneer je op de intensive care binnenkomt?
Even voor de duidelijkheid: het gaat hier om een beleid, en niet om een privacystatement. Daar zit een verschil in. Het privacybeleid wordt bekend gemaakt onder de medewerkers en geeft aan hoe de organisatie en diens medewerkers om gaat met gegevens en de beveiliging daarvan. Lijkt me toch best wel handig om te hebben, vind je niet?
Het heeft me precies 10 seconden gekost om het beleid van de AP op te zoeken. Die is dus alvast makkelijk te vinden (en dat is prettig). Ik zou zeggen, doe er je voordeel mee, want hoewel ik hem niet zelf helemaal heb doorgelezen, denk ik dat als er één organisatie is die het goed op orde is, het de AP is. Of zeg ik iets geks?
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/privacybeleid_ap.pdf
Ik zou zeggen, doe er je voordeel mee, want hoewel ik hem niet zelf helemaal heb doorgelezen, denk ik dat als er één organisatie is die het goed op orde is, het de AP is. Of zeg ik iets geks?
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/privacybeleid_ap.pdf
Hoe denk je dat het met de kraan bij de loodgieter staat?
Hij was om te beginnen niet bij het nieuwsbericht opgenomen, niet echt slim om dat niet mee te nemen.
Laten we eens gaan kijken.
"De AF stelt een externe functionaris gegevensbescherming (FG) aan. Een fG houdt intern toezicht op de toepassing en naleving van de AVG en is in beginsel iemand die binnen de organisatie werkzaam is. De AF is echter zelfde onafhankelijke toezichthouder op de naleving van regels ter bescherming van persoonsgegevens. Om die reden is ervoor gekozen een externe FG aan te stellen die meer op aftand staat, om te waarborgen dat ook de fG onafhankelijk van de AF handelt en niet wordt aangestuurd door de AP. " bldzd 4
Die vind ik al raar. Ze lijken aan te geven dat een interne FG door het bedrijf zelf aangestuurd wordt. De hele GDPR regeling gaat uit van een volledige bescherming. Die zou het AP niet kunnen bieden? Klopt wel met de geruchten over een bepaalde bestuurscultuur en het klokkenluidershuis debacle.
Dan hebben nog https://www.autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/privacystatement-autoriteit-persoonsgegevens
Zie je iets over technische invullingen? Ik zit op bladzijde 9 en dan wordt doorverwezen naar hun verwerkingsregister.
Bladzijde 11 delen met derden wordt gedaan naar keuze van de behandelaar en die noteert het in zijn dossier. Uh geen onafhankelijke toetsingscommissie zoals bij de AIVD MIVD verplicht is. Raar dat een behandelaar die keus mag maken.
Hoofdstuk 4 wordt weer gewoon verwezen als medewerker verantwoordelijkheid niet genoemd, auditing monitoring
Kortom ik zie genoeg zaken die op een manier benoemd zijn waar het AP handhavingsberichten heeft uitgezet omdat het verkeerd is volgens het AP. Dan heb dat onleesbare omvangrijke document wat door de algemene ballast moeilijk leesbaar is. Het ACM en AP maken zich druk dat zoiets goed leesbaar moet zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
