image

Autoriteit Persoonsgegevens geeft 6 tips voor een privacybeleid

woensdag 17 april 2019, 10:12 door Redactie, 6 reacties

De Autoriteit Persoonsgegevens geeft organisaties zes tips voor het opstellen van een privacybeleid, aangezien uit onderzoek van de toezichthouder blijkt dat hier nog weleens wat mis mee is. Via een privacybeleid kunnen organisaties aantonen hoe zij gegevens van bijvoorbeeld klanten beschermen.

Tevens is het een manier om als organisatie aan zowel de doelgroep als aan de Autoriteit Persoonsgegevens te laten zien dat ze voldoet aan de AVG. De toezichthouder bekeek van verschillende soorten organisaties het privacybeleid. Het ging om bloedbanken, IVF-klinieken en de politieke partijen die actief zijn in drie gemeenten met meer dan 100.000 inwoners. Het privacybeleid van deze organisaties werd beoordeeld op een omschrijving van de persoonsgegevens, een beschrijving van de doeleinden van de gegevensverwerking en de rechten van betrokkenen.

Bij de onderzochte zorginstellingen was er in veel gevallen iets mis met de drie verplichte onderdelen. Zo ontbrak bij ongeveer de helft van de documenten een omschrijving van de categorieën van persoonsgegevens of was deze onvoldoende. En ontbrak een omschrijving van de doelen van de gegevensverwerkingen. Lokale politieke partijen hadden hun documenten beter op orde (pdf).

Naar aanleiding van het onderzoek doet de Autoriteit Persoonsgegevens zes aanbevelingen voor het opstellen van een privacybeleid.

1. Beoordeel of de organisatie verplicht is om een privacybeleid in te richten.

2. Gebruik interne en/of externe expertise.

3. Leg het beleid vast in één document.

4. Wees concreet.

5. Maak het beleid bekend.

6. Wanneer het niet verplicht is kan het toch verstandig zijn een privacybeleid op te stellen.

Reacties (6)
17-04-2019, 14:11 door Anoniem
Wat dacht je van gewoon geen data graaien? Lijkt mij het simpelste en meest doeltreffende privacy beleid...
17-04-2019, 15:48 door Anoniem
Nou bedankt AP hier kunnen we tenminste iets mee, hadden we zelf niet kunnen bedenken..
17-04-2019, 18:17 door Anoniem
Door Anoniem: Wat dacht je van gewoon geen data graaien? Lijkt mij het simpelste en meest doeltreffende privacy beleid...

Je opmerking slaat helemaal nergens op. Organisaties hebben gewoon gegevens nodig om bepaalde diensten te kunnen leveren. Moet een zorginstelling zoals een ziekenhuis dan maar geen data van je verwerken wanneer je op de intensive care binnenkomt?

Even voor de duidelijkheid: het gaat hier om een beleid, en niet om een privacystatement. Daar zit een verschil in. Het privacybeleid wordt bekend gemaakt onder de medewerkers en geeft aan hoe de organisatie en diens medewerkers om gaat met gegevens en de beveiliging daarvan. Lijkt me toch best wel handig om te hebben, vind je niet?
17-04-2019, 19:48 door karma4
Waar staat het beveiligingsbeleid van het AP of die van het NCSC? Een goed voorbeeld doet volgen.
18-04-2019, 15:03 door Anoniem
Door karma4: Waar staat het beveiligingsbeleid van het AP of die van het NCSC? Een goed voorbeeld doet volgen.

Het heeft me precies 10 seconden gekost om het beleid van de AP op te zoeken. Die is dus alvast makkelijk te vinden (en dat is prettig). Ik zou zeggen, doe er je voordeel mee, want hoewel ik hem niet zelf helemaal heb doorgelezen, denk ik dat als er één organisatie is die het goed op orde is, het de AP is. Of zeg ik iets geks?

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/privacybeleid_ap.pdf
18-04-2019, 19:48 door karma4 - Bijgewerkt: 18-04-2019, 19:49
Door Anoniem: ...
Ik zou zeggen, doe er je voordeel mee, want hoewel ik hem niet zelf helemaal heb doorgelezen, denk ik dat als er één organisatie is die het goed op orde is, het de AP is. Of zeg ik iets geks?
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/privacybeleid_ap.pdf

Hoe denk je dat het met de kraan bij de loodgieter staat?
Hij was om te beginnen niet bij het nieuwsbericht opgenomen, niet echt slim om dat niet mee te nemen.


Laten we eens gaan kijken.
"De AF stelt een externe functionaris gegevensbescherming (FG) aan. Een fG houdt intern toezicht op de toepassing en naleving van de AVG en is in beginsel iemand die binnen de organisatie werkzaam is. De AF is echter zelfde onafhankelijke toezichthouder op de naleving van regels ter bescherming van persoonsgegevens. Om die reden is ervoor gekozen een externe FG aan te stellen die meer op aftand staat, om te waarborgen dat ook de fG onafhankelijk van de AF handelt en niet wordt aangestuurd door de AP. " bldzd 4
Die vind ik al raar. Ze lijken aan te geven dat een interne FG door het bedrijf zelf aangestuurd wordt. De hele GDPR regeling gaat uit van een volledige bescherming. Die zou het AP niet kunnen bieden? Klopt wel met de geruchten over een bepaalde bestuurscultuur en het klokkenluidershuis debacle.

Dan hebben nog https://www.autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/privacystatement-autoriteit-persoonsgegevens

Zie je iets over technische invullingen? Ik zit op bladzijde 9 en dan wordt doorverwezen naar hun verwerkingsregister.
Bladzijde 11 delen met derden wordt gedaan naar keuze van de behandelaar en die noteert het in zijn dossier. Uh geen onafhankelijke toetsingscommissie zoals bij de AIVD MIVD verplicht is. Raar dat een behandelaar die keus mag maken.
Hoofdstuk 4 wordt weer gewoon verwezen als medewerker verantwoordelijkheid niet genoemd, auditing monitoring

Kortom ik zie genoeg zaken die op een manier benoemd zijn waar het AP handhavingsberichten heeft uitgezet omdat het verkeerd is volgens het AP. Dan heb dat onleesbare omvangrijke document wat door de algemene ballast moeilijk leesbaar is. Het ACM en AP maken zich druk dat zoiets goed leesbaar moet zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.