arrow_drop_up arrow_drop_down
11 June 2019 

De AP geeft tips voor verbetering privacy beleid

De AP heeft onderzoek gedaan naar de toepassing van artikel 24 AVG door ondernemingen. Het artikel verplicht organisaties een privacy beleid op te stellen en beschrijft enkele vereisten. Het onderzoek laat zien in hoeverre organisaties deze verplichting naleven. Op basis van de resultaten geeft de AP een aantal tips voor een beter privacy beleid. 

Inhoud van het onderzoek

Het onderzoek van de AP richt zich op de drie onderwerpen die in een privacy beleid moeten staan. Allereerst moet worden opgenomen welke persoonsgegevens worden verzameld en tot welke categorie deze persoonsgegevens behoren. De persoonsgegevens kunnen worden onderverdeeld in de categorieën normale, bijzondere en gevoelige persoonsgegevens. Ten tweede moet worden beschreven op welke grondslag de verwerking is gebaseerd. Ook is het van belang de doeleinden van elke verwerking te beschrijven. Als laatste dienen ondernemingen te vermelden hoe wordt omgegaan met de rechten van betrokkenen. 

Resultaten en tips voor een beter privacy beleidTwee mannetjes klimmen omhoog op een blokkengrafiek. Het rechter mannetje helpt de ander te klimmen naar een hoger niveau. De AP probeert hetzelfde met haar tips voor verbetering van het privacy beleid.

De AP constateert dat in veel gevallen het privacy beleid te algemeen. Ondernemingen nemen nog te vaak de bewoordingen van de AVG over. Hierdoor wordt niet genoeg aandacht besteed aan de opsomming van de te verwerken persoonsgegevens. De verdeling in de categorieën wordt zelfs nog vaker achterwege gelaten. De doeleinden van de verwerking worden niet bij alle partijen toereikend vermeld. Hierbij valt op dat organisaties die de categorieën van persoonsgegevens gebrekkig hebben vermeld, ook tekortschieten in de omschrijving van de verwerkingsdoeleinden. Het derde onderdeel, rechten van betrokkenen, wordt veelal goed nageleefd. Wel zegt de AP dat het niet altijd duidelijk is waar betrokkenen terecht kunnen om hun rechten uit te oefenen. Als laatste merkt de AP op dat de onderwerpen van het privacy beleid vaak in meerdere documenten moet worden gevonden. Dit zorgt voor enige onduidelijkheid.

De AP geeft als tip mee dat organisaties meer concreet moeten zijn. Het beleid dient tot in de details vastgelegd te worden in één document. De lijst van verwerkte persoonsgegevens moet limitatief zijn. Verder zorgt publicatie van het document voor duidelijkheid en begrip bij betrokkenen. De AP merkt wel op dat bij publicatie van het beleid terughoudendheid moet worden betracht bij de omschrijving van beveiligingsmaatregelen. Om te voorkomen dat kwaadwillende die informatie kunnen misbruiken, kan worden volstaan met een meer globale beschrijving.

Geconcludeerd kan worden dat organisaties meer in detail moeten treden in hun privacy beleid. Een algemene beschrijving of uitleg van de wettekst is hierbij onvoldoende. Het doel is dat organisaties een beleid op maat hebben geschreven. Zo kunnen risico’s tijdig in kaart worden gebracht en datalekken worden voorkomen. Met deze tips wil de AP de kwaliteit van de bescherming van persoonsgegevens naar een hoger niveau brengen.   

https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/rapportage_verkennend_onderzoek_gegevenschermingsbeleid.pdf

Place comment

Cookies