Stappenplan AVG. Stap 4. Stel een privacybeleid op

De nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), is vanaf 25 mei 2018 van toepassing in de hele Europese Unie. Dit betekent dat u vanaf die datum aan de bepalingen in de AVG dient te voldoen. Gelet op de verplichtingen in de AVG en de stevige boetes die de Autoriteit Persoonsgegevens kan opleggen, is het voor u van groot belang acties en maatregelen te treffen zodat uw organisatie eind mei voldoet aan de AVG.

Opstellen privacybeleid

Het opstellen van een privacybeleid, ook wel gegevensbeschermingsbeleid genoemd, is in bepaalde gevallen verplicht. U bent verplicht een privacybeleid op te stellen als dat in verhouding staat tot uw verwerkingsactiviteiten. Bij deze beoordeling dient u rekening te houden met de:

• aard,
• de omvang,
• de context en
• het doel van de gegevensverwerking.

Ziekenhuizen, gemeenten en social mediabedrijven zijn vaak verplicht om een gegevensbeschermingsbeleid op te stellen.

Bent u niet verplicht om een privacybeleid op te stellen, dan kan het waardevol zijn om dit toch te doen. Onder de AVG heeft u namelijk ook een verantwoordingsplicht. Dit betekent dat op u de verantwoordelijkheid rust om te kunnen aantonen dat uw organisatie zich aan de wet houdt. Door het opstellen van een privacybeleid, kunt u makkelijker aan de verantwoordingsplicht voldoen.

De AVG geeft niet precies aan wat in een privacybeleid dient te worden opgenomen. Wij raden u daarom aan de volgende onderdelen in het privacybeleid op te nemen.

1. Dataminimalisatiebeleid

Met de komst van de AVG worden de beginselen Privacy by design en Privacy by default geïntroduceerd. Om te waarborgen dat binnen uw onderneming wordt gehandeld in overeenstemming met Privacy by design en Privacy by default, is het aan te raden om een dataminimalisatiebeleid te hanteren en hierin te omschrijven hoe u aan deze beginselen voldoet.

2. Beveiligingsbeleid

In dit deel beschrijft u welke beveiligingsmaatregelen u neemt om de persoonsgegevens die u verwerkt te beveiligen.

3. Beleid datalekken

Het is belangrijk om te bepalen hoe u omgaat met een datalek. Bepaal daarvoor:

1. welke stappen u neemt op het moment dat uw organisatie wordt geconfronteerd met een datalek,
2. welke informatie u dient te verzamelen, vast te leggen en/of te melden, en
3. wie binnen de organisatie verantwoordelijk is voor de uitvoering van het beleid.

4. Beleid omtrent de rechten van betrokkenen

Onder de AVG krijgen betrokkenen verschillende rechten die zij kunnen uitoefenen. Het is belangrijk dat u zich hierop voorbereidt, zodat u op tijd en op de juiste manier op een verzoek kan reageren. In dit deel van het beleid omschrijft u hoe u omgaat met een verzoek van een betrokkene om een van zijn rechten uit te oefenen.

Betrokkene beschikken over bijvoorbeeld de volgende rechten:

• Recht op informatie
  De betrokkene dient op de hoogte te worden gesteld van onder andere het feit dat de verwerking van zijn persoonsgegevens plaatsvindt. In stap 8  komt dit recht nog uitgebreid aan bod.
   
• Recht op inzage
  De betrokkene heeft allereerst het recht om te weten of u persoonsgegevens van hem verwerkt. Is dit het geval, dan heeft de betrokkene recht om inzage te verkrijgen in die persoonsgegevens (alsmede een kopie) en inzage te verkrijgen in bepaalde informatie, zoals:
  • de verwerkingsdoeleinden;
  • de betrokken categorieën van persoonsgegevens; en
  • aan wie de persoonsgegevens zijn of zullen worden verstrekt.
     
• Recht op rectificatie ofwel correctie
  De betrokkene heeft recht op rectificatie van hem betreffende onjuiste persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens.
   
• Recht op vergetelheid ofwel gegevenswissing
  Dit houdt in dat uw onderneming in een aantal gevallen persoonsgegevens moet wissen als de betrokkene daarom vraagt. In de volgende situaties heeft de betrokkene recht op vergetelheid:
  • als de persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt;
  • als de betrokkene zijn eerder gegeven toestemming aan de organisatie voor het gebruik van zijn gegevens intrekt;
  • als de betrokkene bezwaar maakt tegen de verwerking;
  • als de persoonsgegevens onrechtmatig zijn verwerkt;
  • als u wettelijk verplicht bent om de gegevens na een bepaalde tijd te wissen; en
  • als de betrokkene jonger is dan zestien jaar en de persoonsgegevens zijn verzameld via bijvoorbeeld een app of website.
     
• Recht op beperking van de verwerking
  De betrokkene heeft in bepaalde gevallen het recht om een beperking van de verwerking te verkrijgen. Een beperking van de verwerking houdt in dat de persoonsgegevens niet verwerkt en gewijzigd mogen worden.
   
• Recht gegevensoverdraagbaarheid ofwel dataportabiliteit
  Dit houdt allereerst in dat de betrokkene het recht heeft om de persoonsgegevens die u van hem heeft in een gestructureerd, gangbaar en machineleesbaar formaat te verkrijgen. Daarnaast biedt dit recht de betrokkene de mogelijkheid om op een eenvoudige manier zijn persoonsgegevens van de ene IT-omgeving naar de andere te verplaatsen, te kopiëren of door te sturen.

Download het complete stappenplan AVG

Na deze stap volgen nog zes stappen die in de volgende artikelen worden behandeld. Kunt en wilt u niet wachten tot de volgende stap online komt? Download dan alvast ons complete stappenplan.

Heeft u vragen over de AVG of wilt u graag dat wij u helpen bij de voorbereidingen op de AVG? Neem gerust contact met ons op.

Eerder verschenen stappen in het stappenplan AVG

• Stap 1. Wel of geen functionaris gegevensbescherming aanstellen?
• Stap 2. Breng in kaart welke persoonsgegevens u verwerkt
• Stap 3. Bent u verplicht om privacyrisico’s van een gegevensverwerking in kaart te brengen dmv een DPIA?

________________________________

Begrippenlijst
In de tekst staan enkele begrippen cursief. Dit zijn begrippen die u wellicht nog niet kent. U vindt een toelichting van deze begrippen in het stappenplan AVG.