Aanbevelingen AP over privacybeleid

Op 17 april 2019 heeft de Autoriteit Persoonsgegevens (hierna: “AP”) aanbevelingen gepubliceerd met betrekking tot het privacybeleid van organisaties.

Op grond van artikel 24 Algemene Verordening Gegevensbescherming (hierna: “AVG”) dienen organisaties afhankelijk van de aard, de omvang, de context en het doel van de gegevensverwerking een gegevensbeschermingsbeleid uit te voeren. De AP is kennelijk van mening dat dit beleid schriftelijk moet zijn vastgelegd en een gegevensbeschermingsbeleid de organisatie helpt om alle verwerkingen van persoonsgegevens in kaart te brengen en hiervoor verantwoordelijkheid te nemen. Volgens de AP is het juist voor de organisaties die bijzondere en gevoelige gegevens verwerken van belang om een goed privacybeleid op te stellen en te hanteren.

De aanbevelingen van de AP volgen na een verkennend onderzoek bij verscheidene organisaties. De AP constateerde dat de aard en omvang van de documenten binnen deze organisaties erg verschillend waren en aangezien er in de AVG geen vereisten zijn vastgelegd over de vorm van een privacybeleid achtte de AP deze aanbevelingen noodzakelijk.

De zes aanbevelingen luiden als volgt:

• Beoordeel of de organisatie verplicht is om een gegevensbeschermingsbeleid in te richten; niet iedere organisatie is dit verplicht. Dit is afhankelijk van de verwerking of uw organisatie.
• Gebruik interne en/of externe expertise; de functionaris gegevensbescherming kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen.
• Leg het beleid vast in één document; voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een beleid.
• Wees concreet; een gegevensbeschermingsbeleid is een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van een organisatie. Normen uit de AVG herhalen is niet voldoende.
• Maak het beleid bekend; publicatie van het gegevensbeschermingsbeleid is niet verplicht, maar maakt voor betrokkenen wel inzichtelijk hoe een organisatie met persoonsgegevens omgaat. Let bij de publicatie wel op met informatie over de beveiliging.
• Niet verplicht? Toch raadzaam; met een gegevensbeschermingsbeleid toont een organisatie aan de persoonsgegevens van betrokkenen te willen beschermen.

De AP is voorts van mening dat een privacy beleid moet bevatten: de categorieën persoonsgegevens, de doeleinden waarvoor deze worden verwerkt en beleid betreffende de omgang met rechten van betrokkenen.

De aanbevelingen van de AP roepen veel vragen op. De categorieën persoonsgegevens en doeleinden waarvoor deze gegevens worden verwerkt zijn aan verandering onderhevig, waardoor een beleid steeds zou moeten worden aangepast. Dit is onpraktisch in (grote) organisaties waar veel mensen met het beleid te maken hebben en er behoefte bestaat aan bestendigheid van beleid. Het ligt meer voor de hand dat er in een privacybeleid naar het verwerkingsregister wordt verwezen. Daarnaast is het onlogisch dat een privacyverklaring in een beleid wordt opgenomen.

Een privacybeleid geeft aan wie welke verantwoordelijkheden heeft binnen de organisatie en hoe het beleid wordt gemonitord. Het geeft voorts handvatten aan werknemers als zij persoonsgegevens verwerken (bijvoorbeeld welke personen op welk moment ingeschakeld moeten worden bij een datalek en of welke standaard verwerkersovereenkomst met derden kan worden gesloten zonder voorafgaande beoordeling van de juridische afdeling). Een privacyverklaring heeft juist tot doel heeft om betrokkenen uitleg te geven over de wijze waarop omgegaan wordt met persoonsgegevens. Vaak heeft een organisatie verschillende privacyverklaringen voor verschillende groepen betrokkenen voor verschillende activiteiten. Door alles in één document te zetten riskeert een organisatie dat zowel werknemers die persoonsgegevens verwerken als betrokkenen het beleid niet lezen, omdat ze zich niet aangesproken voelen. Het vormvrij houden van een privacybeleid is juist zeer wenselijk, omdat elke organisatie voor andere uitdagingen staat. Sommige organisaties hebben baat bij een uitgebreid beleid omtrent de rechten van betrokkenen, terwijl dit bij andere organisaties veel minder een rol speelt en geen uitgebreid beleid op schrift behoeft. Ten slotte ligt het bekend maken van een privacybeleid niet altijd voor de hand, omdat het publiceren van beleid juist kan leiden tot negatieve consequenties voor de beveiliging van de gegevensverwerking.

Kortom, het is goed om met de aanbevelingen van de AP rekening te houden bij het opstellen van beleid. Echter, het verdient aanbeveling om kritisch te blijven en de aanbevelingen alleen op te volgen voor zover dat een positief effect heeft op de gegevensbescherming binnen de organisatie.

Dit is een Legal Update van Team Information Technology & Privacy.