Uitvoeren beleid tbv AVG - GDPR

Het hebben van een beleid is niet verplicht, maar is een zogenaamde ‘aanvullende’ maatregel op de standaard verantwoordingsplicht.

Wat een organisatie moet doen met betrekking tot hun verantwoordingsplicht komt uit de inventarisatie – compliance check. Dit kan dan weer input zijn voor het ‘beveiligingsbeleid’

Wat een organisatie moet doen is sterk afhankelijk of en welke persoonsgegevens ze hebben, toegang hebben of verwerken.

En dan ook nog eens welt type persoonsgegevens. Standaard of hoog-gevoelig. Dit alles heeft invloed op de te nemen maatregelen en het beleid

Volgens de AVG is een gegevensbeschermingsbeleid overigens wél verplicht als dit in verhouding staat tot de verwerkingsactiviteiten van de organisatie.

Bijvoorbeeld Ziekenhuizen, gemeenten, social mediabedrijven en marketing-informatiebureaus.

Een gegevensbeschermingsbeleid wordt ook wel privacy beleid genoemd binnen de AVG. Binnen de AVG is helder beschreven waaraan het beleid moet voldoen.

Of een organisatie een gegevensbeschermingsbeleid moet maken, volgt dus ook uit de inventarisatie.

Overigens; een gegevensbeschermingsbeleid is niet hetzelfde dan de privacyverklaring.

Alle organisaties die persoonsgegevens verwerken, moeten mensen op een heldere manier informatie geven over de persoonsgegevens die zij verwerken en voor welk doel zij deze gegevens verwerken. De meest aangewezen manier hiervoor is het beschikbaar stellen van een privacyverklaring op de website van de organisatie.

Wat moet er volgens de AVG in een gegevensbeschermingsbeleid staan?

In de Algemene verordening gegevensbescherming (AVG) staat niet precies omschreven welke gegevens u in uw gegevensbeschermingsbeleid (ook wel privacy beleid genoemd) moet opnemen.

Uit het beleid moet in ieder geval wèl blijken hoe u voldoet aan de AVG. Dat is onderdeel van uw verantwoordingsplicht.

Informatie gegevensbeschermingsbeleid

 U kunt laten zien hoe u voldoet aan de AVG door onder andere deze informatie op te nemen: 

  • een omschrijving van de categorieën persoonsgegevens die u verwerkt;
  • een beschrijving van de doeleinden waarvoor u persoonsgegevens verwerkt en wat de juridische grondslag daarvan is;
  • hoe u voldoet aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk
  • welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens;
  • welke organisatorische en technische maatregelen u genomen heeft om de persoonsgegevens te beveiligen;
  • hoe lang u de persoonsgegevens bewaart.