Het privacybeleid: de Autoriteit Persoonsgegevens geeft duidelijkheid.

Het privacybeleid bevat informatie voor klanten, websitebezoekers en overige groepen over de omgang met persoonsgegevens binnen een organisatie. Zaken zoals procesbeschrijving, lijst met verzamelde persoonsgegevens en beveiligingsmaatregelen zijn voorbeelden van zaken die in een dergelijk beleid staan.

Er worden vanuit de wet weinig eisen gesteld aan een privacybeleid. Daardoor is het soms erg vaag wanneer een privacybeleid voldoende toegankelijk en begrijpelijk is opgesteld.

Gelukkig heeft onlangs de Autoriteit Persoonsgegevens meer handvatten gegeven om een gedegen privacybeleid op te stellen. 

Wel of geen privacybeleid?

Het is mogelijk dat u wellicht geen privacybeleid hoeft op te stellen. Ja, dat leest u goed!

Het is belangrijk aan de hand van de AVG na te gaan welk soort gegevens uw organisatie verwerkt en op welke schaal. Wanneer u bijvoorbeeld op grote schaal bijzondere persoonsgegevens verwerkt dient uw organisatie een privacybeleid op te stellen en te hanteren. Het is uw eigen verantwoordelijkheid om deze beoordeling te maken. Wacht niet totdat de AP ernaar vraagt.

Gebruik interne en/of externe expertise

Gebruik de aanwezige expertise in uw organisatie om tot een goed beleid te komen. De Privacy officer kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen. Het beleid moet voldoen aan de AVG en werkbaar zijn in de praktijk. Wanneer uw organisatie problemen ondervindt met het invullen van dit beleid, kunt u altijd een externe expert raadplegen voor advies over de normen uit de AVG en over de specifieke uitwerking binnen uw organisatie.

Afspraak maken

Leg het beleid vast in één document

In praktijk zijn de documenten voor handen, maar soms versnipperd is. Informatie is soms te vinden in het verwerkingsregister, in de privacyverklaring op de website en het komt voor dat er daarnaast nog een privacybeleid is ingericht. Op zich is dat mogelijk, maar het is overzichtelijker als het privacybeleid een compleet beeld geeft.

Op die manier is immers makkelijker te achterhalen welk beleid uw organisatie heeft voor het beschermen van persoonsgegevens. Wat u hierin vastlegt kunt u hier teruglezen

Wees concreet

Een professioneel privacybeleid vormt een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van uw organisatie. Het is dus niet toereikend om de normen uit de AVG te herhalen.

Maak het beleid bekend

De AVG vereist niet dat u het privacybeleid publiceert, maar het is wel aan te bevelen. Ook voor betrokkenen wordt dan inzichtelijk hoe uw organisatie met hun persoonsgegevens omgaat. Let bij de publicatie wel op dat er geen informatie in het beleid staat waarmee kwaadwillenden hun voordeel kunnen doen. Zoals informatie over de beveiliging.

Niet verplicht? Toch raadzaam;

Het kan zijn dat uw organisatie niet verplicht is om een privacybeleid te hebben. Ook dan is het raadzaam om een dergelijk beleid in te richten, omdat u daarmee aantoont dat u de persoonsgegevens van betrokkenen wilt beschermen.

Middels de aanbevelingen worden een aantal duidelijkheden verholpen. Helaas blijven toch een groot aantal zaken onduidelijk met betrekking tot het opstellen en onderhouden van een privacybeleid.

Wilt u hier meer informatie over, of ondersteuning bij het opstellen van uw privacybeleid? Schroom dan niet contact met ons op te nemen!

Afspraak maken