Autoriteit Persoonsgegevens geeft 6 tips voor een privacybeleid
De Autoriteit Persoonsgegevens geeft organisaties zes tips voor het opstellen van een privacybeleid, aangezien uit onderzoek van de toezichthouder blijkt dat hier nog weleens wat mis mee is. Via een privacybeleid kunnen organisaties aantonen hoe zij gegevens van bijvoorbeeld klanten beschermen.
Tevens is het een manier om als organisatie aan zowel de doelgroep als aan de Autoriteit Persoonsgegevens te laten zien dat ze voldoet aan de AVG. De toezichthouder bekeek van verschillende soorten organisaties het privacybeleid. Het ging om bloedbanken, IVF-klinieken en de politieke partijen die actief zijn in drie gemeenten met meer dan 100.000 inwoners. Het privacybeleid van deze organisaties werd beoordeeld op een omschrijving van de persoonsgegevens, een beschrijving van de doeleinden van de gegevensverwerking en de rechten van betrokkenen.
Bij de onderzochte zorginstellingen was er in veel gevallen iets mis met de drie verplichte onderdelen. Zo ontbrak bij ongeveer de helft van de documenten een omschrijving van de categorieën van persoonsgegevens of was deze onvoldoende. En ontbrak een omschrijving van de doelen van de gegevensverwerkingen. Lokale politieke partijen hadden hun documenten beter op orde (pdf).
Naar aanleiding van het onderzoek doet de Autoriteit Persoonsgegevens zes aanbevelingen voor het opstellen van een privacybeleid.
1. Beoordeel of de organisatie verplicht is om een privacybeleid in te richten.
2. Gebruik interne en/of externe expertise.
3. Leg het beleid vast in één document.
4. Wees concreet.
5. Maak het beleid bekend.
6. Wanneer het niet verplicht is kan het toch verstandig zijn een privacybeleid op te stellen.
Je opmerking slaat helemaal nergens op. Organisaties hebben gewoon gegevens nodig om bepaalde diensten te kunnen leveren. Moet een zorginstelling zoals een ziekenhuis dan maar geen data van je verwerken wanneer je op de intensive care binnenkomt?
Even voor de duidelijkheid: het gaat hier om een beleid, en niet om een privacystatement. Daar zit een verschil in. Het privacybeleid wordt bekend gemaakt onder de medewerkers en geeft aan hoe de organisatie en diens medewerkers om gaat met gegevens en de beveiliging daarvan. Lijkt me toch best wel handig om te hebben, vind je niet?
Het heeft me precies 10 seconden gekost om het beleid van de AP op te zoeken. Die is dus alvast makkelijk te vinden (en dat is prettig). Ik zou zeggen, doe er je voordeel mee, want hoewel ik hem niet zelf helemaal heb doorgelezen, denk ik dat als er één organisatie is die het goed op orde is, het de AP is. Of zeg ik iets geks?
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/privacybeleid_ap.pdf
Ik zou zeggen, doe er je voordeel mee, want hoewel ik hem niet zelf helemaal heb doorgelezen, denk ik dat als er één organisatie is die het goed op orde is, het de AP is. Of zeg ik iets geks?
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/privacybeleid_ap.pdf
Hoe denk je dat het met de kraan bij de loodgieter staat?
Hij was om te beginnen niet bij het nieuwsbericht opgenomen, niet echt slim om dat niet mee te nemen.
Laten we eens gaan kijken.
"De AF stelt een externe functionaris gegevensbescherming (FG) aan. Een fG houdt intern toezicht op de toepassing en naleving van de AVG en is in beginsel iemand die binnen de organisatie werkzaam is. De AF is echter zelfde onafhankelijke toezichthouder op de naleving van regels ter bescherming van persoonsgegevens. Om die reden is ervoor gekozen een externe FG aan te stellen die meer op aftand staat, om te waarborgen dat ook de fG onafhankelijk van de AF handelt en niet wordt aangestuurd door de AP. " bldzd 4
Die vind ik al raar. Ze lijken aan te geven dat een interne FG door het bedrijf zelf aangestuurd wordt. De hele GDPR regeling gaat uit van een volledige bescherming. Die zou het AP niet kunnen bieden? Klopt wel met de geruchten over een bepaalde bestuurscultuur en het klokkenluidershuis debacle.
Dan hebben nog https://www.autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/privacystatement-autoriteit-persoonsgegevens
Zie je iets over technische invullingen? Ik zit op bladzijde 9 en dan wordt doorverwezen naar hun verwerkingsregister.
Bladzijde 11 delen met derden wordt gedaan naar keuze van de behandelaar en die noteert het in zijn dossier. Uh geen onafhankelijke toetsingscommissie zoals bij de AIVD MIVD verplicht is. Raar dat een behandelaar die keus mag maken.
Hoofdstuk 4 wordt weer gewoon verwezen als medewerker verantwoordelijkheid niet genoemd, auditing monitoring
Kortom ik zie genoeg zaken die op een manier benoemd zijn waar het AP handhavingsberichten heeft uitgezet omdat het verkeerd is volgens het AP. Dan heb dat onleesbare omvangrijke document wat door de algemene ballast moeilijk leesbaar is. Het ACM en AP maken zich druk dat zoiets goed leesbaar moet zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digitaal Specialist Embedded Systems - Team Entry
Het onmogelijke mogelijk maken. Laat dat maar aan Team Entry over! Wil jij je dagelijks laten uitdagen om jouw kennis van digitale systemen in te zetten om een bijdrage te leveren aan grootschalige opsporingsonderzoeken? Word je enthousiast van snel wisselende technologie en wil je je graag blijven ontwikkelen? Kom dan ons unieke team versterken!
Senior Communicatieadviseur
Ministerie van Justitie en Veiligheid
Het Nationaal Cyber Security Centrum is dé centrale kennisautoriteit, responsorganisatie en het samenwerkingsplatform voor cybersecurity in Nederland. Het NCSC werkt samen met organisaties binnen de Rijksoverheid en vitale sectoren aan een versterking van de digitale weerbaarheid van Nederland. Door de samenwerking met deze organisaties aan te gaan en onze krachten te bundelen, werken wij samen aan een veiliger digitaal Nederland.
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?