Heeft u al een gegevensverwerkingsbeleid?

De Autoriteit Persoonsgegevens (AP) heeft de kwaliteit van gegevensverwerkingsbeleid onderzocht. Heeft u ook zo’n beleid nodig en zo ja, hoe stelt u dat op?

Is dit verplicht?

Een gegevensbeschermingsbeleid (privacybeleid) is verplicht als dat in verhouding staat tot de verwerkingsactiviteiten. Het is afhankelijk van de aard, omvang, context en het doel van de gegevensverwerking. U verwerkt waarschijnlijk bijzondere persoonsgegevens, maar harde richtlijnen over wanneer een beleid wel of niet verplicht is, ontbreken. Heeft u tien cliënten/patiënten, dan lijkt een privacybeleid niet verplicht, bij 100 is het al de vraag en bij meer dan 100 adviseren wij sowieso een beleidsstuk op te stellen.

Wat neemt u erin op?

Uit het stuk moeten de volgende zaken blijken:

  • de categorieën persoonsgegevens;
  • de doeleinden waarvoor de gegevens verwerkt worden én de juridische grondslag daarvan;
  • de rechten die betrokkenen hebben en hoe zij deze kunnen uitoefenen;
  • de organisatorische en technische beveiligingsmaatregelen die zijn genomen; en
  • de bewaartermijnen van de persoonsgegevens.

De aanbevelingen van de AP zijn:

Expertise. De aanbevelingen van de AP bevatten een aantal open deuren zoals ‘gebruik expertise’: heeft u een functionaris gegevensbescherming (FG) in dienst, laat die dan het beleid opstellen.

Verplichting? Uiteraard beoordeelt u eerst of u verplicht bent een beleid op te stellen. Tip. Is dat niet zo, dan is het wellicht tóch slim om het wel te doen.

Eén document? De derde aanbeveling is praktisch: zorg ervoor dat het beleid vastligt in één document. Vaak is alle informatie verspreid over meerdere documenten zoals het verwerkingsregister en de privacyverklaring. Dat is niet erg, als de informatie een compleet beeld geeft en makkelijk te raadplegen is. Tip. Wellicht dat u uw AVG-documenten kunt samenvoegen in één Excel- of Wordbestand. De AP adviseert om het beleid bekend te maken. Naar patiënten toe zou dat kunnen met een mededeling in de wachtkamer, op de website, e.d. ‘Wilt u ons privacybeleid inzien, vraag er dan naar aan de balie.’

Concreet. Tot slot stelt de AP dat het beleid concreet moet zijn. Dat is lastig, want hoe concreet is concreet en wat hoort (niet) thuis in het beleidsstuk? Een beleidsstuk moet kort en krachtig, maar volledig zijn. Tip. Neem op wat geldt voor de privacy van álle medewerkers, cliënten of patiënten en wat er van hen wordt verwacht. Geef in hoofdlijnen antwoord op privacyvragen of geef inzicht in waar of bij wie een antwoord gevonden kan worden. Verwijs gerust naar andere documenten ter verduidelijking of vervollediging.

Twee voorbeelden

  1. Een (oud-)medewerker of een patiënt wil zijn dossier inzien. Neem in het privacybeleid op hoe en bij wie zo’n verzoek moet worden ingediend. Wie dan daadwerkelijk het dossier boven water haalt, e.d. hoeft niet in het privacybeleid te staan.
  2. Werkt u voor de verwerking samen met derden? Neem in het beleidsstuk op dat hiermee een verwerkersovereenkomst gesloten wordt/is die voldoet aan de AVG-regels. De verwerkers staan niet in het beleidsstuk; verwijs daarvoor naar het verwerkingsregister.