Verantwoordingsplicht - Hoe zorg ik er voor dat mijn organisatie aan de AVG blijft voldoen?

Nu de Algemene verordening gegevensbescherming (AVG) al een jaar van toepassing is, is het goed om te controleren of uw organisatie (nog steeds) aan de vereisten van de AVG voldoet. De Autoriteit Persoonsgegevens (AP) gaf eerder dit jaar een zestal aanbevelingen om te voldoen aan de verantwoordingsplicht (het principe van ‘accountability’). Sinds de AVG dient iedere organisatie namelijk te voldoen aan die verantwoordingsplicht. Onder de verantwoordingsplicht valt bijvoorbeeld het aanleggen (en bijhouden) van een verwerkings- en datalekkenregister, het uitvoeren van data protection impact assessments, het bewaren van toestemming gegeven door de betrokkene en het aanstellen van een Functionaris Gegevensbescherming (FG). Om aan de verantwoordingsplicht te (blijven) voldoen kan uw organisatie een gegevensbeschermingsbeleid opstellen. Maar wat moet er nu precies in zo’n gegevensbeschermingsbeleid staan? En is dat weer wat anders dan de privacyverklaring? Hierna vindt u meer informatie over het gegevensbeschermingsbeleid, het verschil met een privacyverklaring en tips om uw gegevensbeschermingsbeleid op orde te houden.

Wat is een gegevensbeschermingsbeleid?

Het gegevensbeschermingsbeleid is een beleidsdocument waarin de verwerkingsverantwoordelijke technische en organisatorische maatregelen heeft neergelegd om de rechten van betrokkenen te waarborgen. Een gegevensbeschermingsbeleid is hetzelfde als een privacybeleid, maar niet hetzelfde als een privacyverklaring of privacystatement. Met dit beleidsdocument kunt u laten zien aan de AP dat uw organisatie voldoet aan de verantwoordingsplicht, mits goed opgesteld en uitgevoerd. Organisaties die verplicht zijn om een FG aan te stellen, dienen een gegevensbeschermingsbeleid op te stellen. Verder is het afhankelijk van de aard en de omvang van de verwerkingen van uw organisatie of u verplicht bent om een gegevensbeschermingsbeleid op te stellen. Het kan echter voor elke organisatie nuttig zijn. Met dit beleidsdocument brengt u namelijk alle verwerkingen binnen uw organisatie in kaart en heeft u goed overzicht waar waarborgen of extra maatregelen getroffen kunnen worden.

Wat moet er in mijn gegevensbeschermingsbeleid staan?

Een voordeel van het gegevensbeschermingsbeleid is dat alle privacy gerelateerde zaken in één document zijn vastgelegd. Zorg er voor dat de volgende onderdelen niet ontbreken:

• Een omschrijving van de categorieën persoonsgegevens die worden verwerkt;
• De doeleinden waarvoor u de persoonsgegevens verwerkt;
• De getroffen maatregelen (waaronder technische en organisatorische maatregelen) om de gegevens te beschermen;
• (Een link naar) uw verwerkingsregister (uw databoekhouding);
• Hoe uw organisatie voldoet aan de beginselen van verwerking van persoonsgegevens zoals die in de AVG staan vermeld;
• Bewaartermijnen van de verschillende categorieën persoonsgegevens;
• Protocol meldplicht datalekken incl. een register waarin de datalekken worden bijgehouden;
• De rechten die betrokkenen kunnen uitvoeren en hoe zij dat kunnen doen.

Wellicht heeft uw organisatie al het een en ander van deze informatie hebben vastgelegd, bijvoorbeeld in een informatiebeveiligingsbeleid, een dataretentiebeleid, een protocol meldplicht datalekken, enz. Het gegevensbeschermingsbeleid kan in dat geval een overzicht geven hoe deze documenten met elkaar samenhangen, als een soort handleiding.

Verschil gegevensbeschermingsbeleid en privacyverklaring

Het verschil tussen het gegevensbeschermingsbeleid en de privacyverklaring is het doel waarvoor beide documenten gebruikt worden. Met het gegevensbeschermingsbeleid voldoet uw organisatie aan haar verantwoordingsplicht. Met de privacyverklaring voldoet uw organisatie aan de transparantieplicht (ook wel informatieplicht). Meer informatie over de informatieplicht vindt u in een eerder bericht hier.

Tips voor een optimaal gegevensbeschermingsbeleid

• Wees concreet: maak de vertaalslag van papier naar de praktijk. Zorg dat de juiste collega’s/adviseurs weten wat zij moeten doen in geval van bijvoorbeeld een datalek.
• Publiceer uw gegevensbeschermingsbeleid (deels) online. Zo is het voor betrokkenen duidelijk voor welk doel en hoe hun persoonsgegevens verwerkt worden. Let op dat u geen procedures omtrent de beveiliging deelt.
• Controleer periodiek bij de business of managementlagen of de organisatie onlangs is gestart of gestopt met bepaalde verwerkingen. Pas het gegevensbeschermingsbeleid van uw organisatie daar op aan. Onderstaand schema geeft u inzicht of uw gegevensbeschermingsbeleid op orde is, dan komt de informatie in alle drie de kaders namelijk met elkaar overeen. Zorg ervoor dat deze wisselwerking gesloten blijft en er geen losse eindjes ontstaan.