Zes tips voor een goed privacybeleid

Met uw privacybeleid toont u aan dat uw organisatie voldoet aan de Algemene Verordening Gegevensbescherming (AVG). U geeft hierin aan welke maatregelen u heeft genomen om de persoonsgegevens van uw klanten, patiënten of cliënten te beschermen. Dat klinkt logisch. Het lastige is echter dat de AVG geen vorm voorschrijft. Dus wanneer is er dan sprake van een goed privacybeleid?

De Autoriteit Persoonsgegevens (AP) heeft een aantal zorginstellingen en gemeenten op hun privacybeleid gecontroleerd. De uitkomsten hebben geleid tot zes aanbevelingen voor het goed inrichten van het privacybeleid. Op 17 april 2019 heeft de AP het rapport met de resultaten én de aanbevelingen gepubliceerd. Dit rapport kunt u hieronder downloaden.

U bent zelf verantwoordelijk voor de naleving van de AVG. En een goed privacybeleid toont aan dat u zorgvuldig omgaat met de persoonlijke gegevens die u verwerkt. Daarom delen wij deze zes tips graag met u. U kunt zo eenvoudig checken of het privacybeleid binnen uw organisatie goed is ingericht.

Tip 1. Beoordeel of u een privacybeleid moet hebben
Niet iedereen hoeft een privacybeleid te hebben. Als u op grote schaal bijzondere persoonsgegevens verwerkt, dan is een privacybeleid verplicht voor uw organisatie. Op de website van de Autoriteit Persoonsgegevens staat een handige tool om vast te stellen of een privacybeleid voor u verplicht is.

Tip 2. Gebruik expertise
Dit spreekt natuurlijk voor zich. Maak gebruik van interne en/of externe deskundigheid voor uw privacybeleid.

Tip 3. Leg alles vast in één document
Het is simpelweg praktisch om alles in één document vast te leggen. Vaak blijkt het privacybeleid uit verschillende documenten te bestaan. Dan staat er een deel in het verwerkingsregister, een ander deel in de privacyverklaring op de website en weer een ander deel in het personeelshandboek. Dit is niet overzichtelijk, lastig te onderhouden en helpt ook niet bij het voldoen aan tip 4.

Tip 4. Wees concreet
Laat het privacybeleid aansluiten op de organisatie. Niemand heeft wat aan een beleid in de kast met procedures die nergens op slaan. Zorg ervoor dat uw beleid geen opsomming is van punten die in de AVG staan, maar laat het aansluiten op uw werkwijze.

Tip 5. Maak het bekend
Maak uw privacybeleid niet alleen bekend binnen de organisatie – alhoewel dit in de praktijk ook vaak nog niet gebeurt – maar aan alle betrokkenen, dus ook de externe. Let dan natuurlijk wel op met het verspreiden van informatie over beveiliging.

Tip 6. Niet verplicht? Toch doen
Ook als u niet verplicht bent tot het opstellen van een privacybeleid, is het wel handig om dit op orde te hebben. Logisch toch?

In het rapport van de AP worden deze zes aanbevelingen verder toegelicht en onderbouwd.  U kunt dit rapport hieronder downloaden. U zult zien dat u in de praktijk waarschijnlijk al een flink aantal punten met betrekking tot de privacy heeft ingericht en/of vastgelegd.

Heeft u vragen over de invulling van het privacybeleid of over de AVG? We helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.