Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Autoriteit Persoonsgegevens geeft 6 tips voor een privacybeleid

woensdag 17 april 2019, 10:12 door Redactie, 6 reacties

De Autoriteit Persoonsgegevens geeft organisaties zes tips voor het opstellen van een privacybeleid, aangezien uit onderzoek van de toezichthouder blijkt dat hier nog weleens wat mis mee is. Via een privacybeleid kunnen organisaties aantonen hoe zij gegevens van bijvoorbeeld klanten beschermen.

Tevens is het een manier om als organisatie aan zowel de doelgroep als aan de Autoriteit Persoonsgegevens te laten zien dat ze voldoet aan de AVG. De toezichthouder bekeek van verschillende soorten organisaties het privacybeleid. Het ging om bloedbanken, IVF-klinieken en de politieke partijen die actief zijn in drie gemeenten met meer dan 100.000 inwoners. Het privacybeleid van deze organisaties werd beoordeeld op een omschrijving van de persoonsgegevens, een beschrijving van de doeleinden van de gegevensverwerking en de rechten van betrokkenen.

Bij de onderzochte zorginstellingen was er in veel gevallen iets mis met de drie verplichte onderdelen. Zo ontbrak bij ongeveer de helft van de documenten een omschrijving van de categorieën van persoonsgegevens of was deze onvoldoende. En ontbrak een omschrijving van de doelen van de gegevensverwerkingen. Lokale politieke partijen hadden hun documenten beter op orde (pdf).

Naar aanleiding van het onderzoek doet de Autoriteit Persoonsgegevens zes aanbevelingen voor het opstellen van een privacybeleid.

1. Beoordeel of de organisatie verplicht is om een privacybeleid in te richten.

2. Gebruik interne en/of externe expertise.

3. Leg het beleid vast in één document.

4. Wees concreet.

5. Maak het beleid bekend.

6. Wanneer het niet verplicht is kan het toch verstandig zijn een privacybeleid op te stellen.

Advertenties omzeilen pop-upblocker Chrome voor iOS
Oracle verhelpt 297 beveiligingslekken met Critical Patch Update
Reacties (6)
17-04-2019, 14:11 door Anoniem
Wat dacht je van gewoon geen data graaien? Lijkt mij het simpelste en meest doeltreffende privacy beleid...
17-04-2019, 15:48 door Anoniem
Nou bedankt AP hier kunnen we tenminste iets mee, hadden we zelf niet kunnen bedenken..
17-04-2019, 18:17 door Anoniem
Door Anoniem: Wat dacht je van gewoon geen data graaien? Lijkt mij het simpelste en meest doeltreffende privacy beleid...

Je opmerking slaat helemaal nergens op. Organisaties hebben gewoon gegevens nodig om bepaalde diensten te kunnen leveren. Moet een zorginstelling zoals een ziekenhuis dan maar geen data van je verwerken wanneer je op de intensive care binnenkomt?

Even voor de duidelijkheid: het gaat hier om een beleid, en niet om een privacystatement. Daar zit een verschil in. Het privacybeleid wordt bekend gemaakt onder de medewerkers en geeft aan hoe de organisatie en diens medewerkers om gaat met gegevens en de beveiliging daarvan. Lijkt me toch best wel handig om te hebben, vind je niet?
17-04-2019, 19:48 door karma4
Waar staat het beveiligingsbeleid van het AP of die van het NCSC? Een goed voorbeeld doet volgen.
18-04-2019, 15:03 door Anoniem
Door karma4: Waar staat het beveiligingsbeleid van het AP of die van het NCSC? Een goed voorbeeld doet volgen.

Het heeft me precies 10 seconden gekost om het beleid van de AP op te zoeken. Die is dus alvast makkelijk te vinden (en dat is prettig). Ik zou zeggen, doe er je voordeel mee, want hoewel ik hem niet zelf helemaal heb doorgelezen, denk ik dat als er één organisatie is die het goed op orde is, het de AP is. Of zeg ik iets geks?

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/privacybeleid_ap.pdf
18-04-2019, 19:48 door karma4 - Bijgewerkt: 18-04-2019, 19:49
Door Anoniem: ...
Ik zou zeggen, doe er je voordeel mee, want hoewel ik hem niet zelf helemaal heb doorgelezen, denk ik dat als er één organisatie is die het goed op orde is, het de AP is. Of zeg ik iets geks?
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/privacybeleid_ap.pdf

Hoe denk je dat het met de kraan bij de loodgieter staat?
Hij was om te beginnen niet bij het nieuwsbericht opgenomen, niet echt slim om dat niet mee te nemen.


Laten we eens gaan kijken.
"De AF stelt een externe functionaris gegevensbescherming (FG) aan. Een fG houdt intern toezicht op de toepassing en naleving van de AVG en is in beginsel iemand die binnen de organisatie werkzaam is. De AF is echter zelfde onafhankelijke toezichthouder op de naleving van regels ter bescherming van persoonsgegevens. Om die reden is ervoor gekozen een externe FG aan te stellen die meer op aftand staat, om te waarborgen dat ook de fG onafhankelijk van de AF handelt en niet wordt aangestuurd door de AP. " bldzd 4
Die vind ik al raar. Ze lijken aan te geven dat een interne FG door het bedrijf zelf aangestuurd wordt. De hele GDPR regeling gaat uit van een volledige bescherming. Die zou het AP niet kunnen bieden? Klopt wel met de geruchten over een bepaalde bestuurscultuur en het klokkenluidershuis debacle.

Dan hebben nog https://www.autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/privacystatement-autoriteit-persoonsgegevens

Zie je iets over technische invullingen? Ik zit op bladzijde 9 en dan wordt doorverwezen naar hun verwerkingsregister.
Bladzijde 11 delen met derden wordt gedaan naar keuze van de behandelaar en die noteert het in zijn dossier. Uh geen onafhankelijke toetsingscommissie zoals bij de AIVD MIVD verplicht is. Raar dat een behandelaar die keus mag maken.
Hoofdstuk 4 wordt weer gewoon verwezen als medewerker verantwoordelijkheid niet genoemd, auditing monitoring

Kortom ik zie genoeg zaken die op een manier benoemd zijn waar het AP handhavingsberichten heeft uitgezet omdat het verkeerd is volgens het AP. Dan heb dat onleesbare omvangrijke document wat door de algemene ballast moeilijk leesbaar is. Het ACM en AP maken zich druk dat zoiets goed leesbaar moet zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Technisch Security Specialist

De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!

Lees meer

Welke messaging-app gebruik jij?

33 reacties
Aantal stemmen: 1052
Vacature
Vacature

Engineer IT-operations

Nationaal Cyber Security Centrum

Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.

Lees meer
Vacature
Vacature

(Senior) Solutions-engineer

Nationaal Cyber Security Centrum

Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.

Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter