Home AP geeft zes aanbevelingen voor privacybeleid

KBS

09.05.2019

AP geeft zes aanbevelingen voor privacybeleid

De Autoriteit Persoonsgegevens (AP) heeft onlangs zes aanbevelingen gepubliceerd voor organisaties om hun privacybeleid goed in te richten. Deze aanbevelingen zijn gedaan naar aanleiding van een controle van het gegevensbeschermingsbeleid (privacybeleid) van onder meer bloedbanken en IVF-klinieken. Het onderzoek richtte zich op drie onderdelen van het gegevensbeschermingsbeleid: een omschrijving van de (categorieën van) persoonsgegevens, een beschrijving van de doeleinden van de gegevensverwerking en de rechten van betrokkenen.

Aanbevelingen AP

De AP geeft de volgende aanbevelingen:

  1. Beoordeel of uw organisatie verplicht is om een gegevensbeschermingsbeleid in te richten; niet iedere organisatie is dit verplicht. Dit is afhankelijk van de verwerking of uw organisatie.
  2. Gebruik interne en/of externe expertise; de functionaris gegevensbescherming kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen.
  3.  Leg het beleid vast in één document; voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een beleid.
  4.  Wees concreet; een gegevensbeschermingsbeleid is een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van een organisatie. Normen uit de AVG herhalen is niet voldoende.
  5.  Maak het beleid bekend; publicatie van het gegevensbeschermingsbeleid is niet verplicht, maar maakt voor betrokkenen wel inzichtelijk hoe een organisatie met persoonsgegevens omgaat. Let bij de publicatie wel op met informatie over de beveiliging.
  6.  Niet verplicht? Toch raadzaam; met een gegevensbeschermingsbeleid toont een organisatie aan de persoonsgegevens van betrokkenen te willen beschermen.

Gegevensbeschermingsbeleid verplicht?

Op grond van de AVG zijn organisaties verplicht een gegevensbeschermingsbeleid (ook wel ‘privacybeleid’ genoemd) op te stellen, als dat ‘in verhouding staat tot hun verwerkingsactiviteiten’. Het is van factoren als de aard, de omvang, de context, het doel van de gegevensverwerking en de risico’s voor de rechten en vrijheden van natuurlijke personen afhankelijk of een bepaalde organisatie deze verplichting heeft of niet. Meer aanknopingspunten dan deze factoren biedt de AVG niet.

Voor zorgaanbieders kan als uitgangspunt worden genomen dat het opstellen van een gegevensbeschermingsbeleid in beginsel verplicht is. Zorgaanbieders verwerken immers  structureel gezondheidsgegevens van patiënten, ofwel bijzondere persoonsgegevens van (zeer) gevoelige aard.

Ook zonder verplichting is het aan te raden een gegevensbeschermingsbeleid op te stellen. Het hebben van geïmplementeerd beleid is immers de aangewezen weg om aan te tonen dat aan de AVG wordt voldaan. Het opstellen van beleid scherpt een organisatie bovendien in bij het inrichten van de eigen privacyhuishouding.

In een ‘passend’ gegevensbeschermingsbeleid wordt omschreven op welke wijze aan de AVG wordt voldaan, zowel organisatorisch als technisch. Handvatten voor de inhoud van een gegevensbeschermingsbeleid heeft de AP op haar website gepubliceerd.

Niet hetzelfde als een privacyverklaring

Een gegevensbeschermingsbeleid is iets anders dan een privacyverklaring. Beide dienen een ander doel en hebben een andere doelgroep. Gegevensbechermingsbeleid wordt (primair) geschreven voor uitvoering door de medewerkers van de verwerkingsverantwoordelijke en zal om die reden gedetailleerd van aard zijn en vertrouwelijke procesbeschrijvingen omvatten. Een privacyverklaring is bedoeld om ‘betrokkenen’ (mensen wiens persoonsgegevens worden verwerkt, zoals patiënten) in heldere taal te informeren over welke persoonsgegevens worden verwerkt en voor welk(e) doel(en) dit gebeurt. Alle organisaties die persoonsgegevens verwerken zijn verplicht om deze informatie te geven. Het publiceren van een privacyverklaring op de eigen website is daarvoor de meest aangewezen weg.

De inhoud van een privacyverklaring vertoont overigens wel overlap met de inhoud van een gegevensbeschermingsbeleid. In een privacyverklaring komen veel dezelfde onderwerpen terug, zij het in minder detail. Een privacyverklaring kan in die zin als uitvloeisel van gegevensbeschermingsbeleid worden beschouwd.

Nieuws & kennis

Ook interessant?

  • Mondelinge overdracht van persoonsgegevens kan ook verwerking zijn in de zin van de AVG

  • Gegevensuitvraag NZa zorgvraagtypering Ggz (voorlopig) niet in strijd met hoger recht

  • Hof van Justitie EU beantwoordt prejudiciële vragen over verstrekking medisch dossier

    • Nieuwsbrief

    Altijd up to date?

    Blijf op de hoogte van de laatste ontwikkelingen. Schrijf je in!

    Scroll naar boven