Privacybeleid voorbeeld (DOCX en PDF)

Informatiebeveiligings- en privacybeleid download pdf word
Informatiebeveiligings- en privacybeleid download pdf word

Is een privacybeleid verplicht en hoe maak je een beleid dat voldoet aan de eisen? Dat zijn de vragen waarop we in dit artikel ingaan. Daarnaast geven we een voorbeeld van een privacybeleid dat je als basis kunt gebruiken voor jouw organisatie. Voordat we dat doen, zorgen we er eerst voor dat we helder krijgen welke juiste documenten we precies bedoelen. Dit doen we door eerst in te gaan op het verschil tussen een privacybeleid en een Privacy Statement.

Privacybeleid versus Privacy Statement

Ons vorige artikel ging over het Privacy Statement of de privacyverklaring. Het doel van een Privacy Statement is om een betrokkene te informeren over hoe zijn of haar gegevens worden verwerkt (artikel 13 AVG). Het doel van een privacybeleid is breder dan dat. Het privacybeleid heeft namelijk als doel om te bepalen hoe je als organisatie met privacy wil omgaan. Een Privacy Statement zal veelal een uitwerking zijn van een onderdeel van het privacybeleid, zoals hoe je met persoonsgegevens van klanten of cliënten omgaat. Het privacybeleid zal daarnaast andere zaken bevatten, zoals het amibitieniveau van de organisatie en/of hoe de organisatie bijvoorbeeld met gegevens van medewerkers wil omgaan.

Is een privacybeleid verplicht?

Het privacybeleid is niet altijd verplicht. Dat kan het wel zijn als dat “in verhouding staat tot de verwerkingsactiviteiten“. Dat volgt uit artikel 24 van de AVG. Dat is het algemene artikel waarin staat dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen neemt. Onder deze passende maatregelen kan dus een privacybeleid vallen. Dat zal het geval zijn als er veel gevoelige gegevens worden verwerkt. Zo stelt ook de Autoriteit Persoonsgegevens (AP): “Van een organisatie die bijzondere persoonsgegevens verwerkt, mag een behoorlijk privacybeleid verwacht worden.”

De AP heeft in 2018 een steekproef gedaan onder bloedbanken, IVF-klinieken en verschillende gemeentelijke politieke partijen. In dit onderzoek heeft de AP ook aangegeven wat dan in het beleid moet staan. Daarop gaan we hieronder in. Ook bij het onderzoek naar het HagaZiekenhuis heeft de AP onderzocht of er een privacybeleid was en of dat werd gevolgd.

Privacybeleid: wat moet erin staan?

De AP onderkent dat de AVG geen inhoudelijke eisen stelt aan het privacybeleid. Naast de inhoud zwijgt de AVG ook over de vorm. Wel zijn volgens de AP drie onderdelen verplicht:

1. Omschrijving van de categorieën persoonsgegevens; uit het privacybeleid moet blijken welke persoonsgegevens precies worden verwerkt en tot welke categorie deze gegevens behoren.

2. Beschrijving van de doeleinden van de verwerkingen; de doelen moeten duidelijk worden omschreven zoals het corresponderen over lidmaatschappen of het innen van contributie. Daarbij moet ook de juridische grondslag worden genoemd.

3. Rechten van betrokkenen; uit het privacybeleid moet volgen hoe de privacyrechten van betrokkenen in de organisatie geborgd zijn en op welke wijze deze kunnen worden uitgeoefend.

Een voorbeeld

Hier kun je een voorbeeld informatiebeveiligings- en privacybeleid downloaden (DOCX en PDF) waarin de verplichte onderdelen zijn opgenomen.

Het informatiebeveiligings- en privacybeleid is een eenvoudig voorbeeld dat is gebaseerd op de modellen van VNG Realisatie (voorheen KING). De meeste organisaties zullen met dit standaard model – als basis – goed uit de voeten kunnen.

Geef als eerste een reactie

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*