Moet je als bedrijf een privacybeleid hebben?

Column door Jeroen van Puijenbroek

De Stichting AVG Garant heeft een AVG-norm ontwikkeld waartegen bedrijven ge-audit kunnen worden. Bij een positief resultaat ontvangen de bedrijven een keurmerk en worden ze ingeschreven in een register. Hiermee kunnen bedrijven aantonen dat ze integer omgaan met de AVG. In een serie blogs gaan we periodiek in op bepaalde beleidspunten uit de norm.

Wilt u reageren over of meer informatie? Dat kan via: info@avggarant.nl.

Moet je als bedrijf een privacybeleid hebben?
Op 25 mei jl. hebben we de eerste verjaardag van de Algemene Verordening Gegevensbescherming (AVG) gevierd. In de uitzendbranche is er al veel aandacht voor het onderwerp en buigen velen zich daar over. Sommige bedrijven hebben bij de implementatie gekozen voor een aanpak waarbij een aantal AVG-producten zijn opgeleverd zoals een verwerkingenregister, een privacystatement, een datalekprotocol en een procedure voor de naleving van de rechten van de betrokkene. Natuurlijk zijn deze producten belangrijk maar ze zorgen niet dat de naleving van de AVG blijvend wordt geborgd binnen de organisatie. Hiervoor is het noodzakelijk dat een PDCA-cyclus (Plan Do Check Act) rondom privacy wordt ingericht, beginnend met het opstellen privacybeleid.

Wat zegt de AVG over privacybeleid?
In de AVG komt het woord beleid maar twee keer voor en wel in de artikelen 24 en 39.

In artikel 24 staat dat een bedrijf moet waarborgen èn aantonen dat het zijn gegevensverwerkingen conform de AVG uitvoert. En dat het bedrijf hiervoor passende en doeltreffende maatregelen moet treffen, deze moet evalueren en indien nodig bijstellen. Een van die maatregelen is volgens de AVG een gegevensbeschermingbeleid (privacybeleid).

Het hebben van een beleid is verplicht als, zoals de AVG dit beschrijft, “zulks in verhouding staat tot de verwerkingsactiviteiten”. Daar waar bedrijven bij de uitvoering van hun kernactiviteiten persoonsgegevens verwerken – en zeker als daarbij ook bijzondere persoonsgegevens en/of BSN worden verwerkt – is van zo’n verhouding natuurlijk altijd sprake. Het antwoord op de vraag of er binnen de uitzendbranche een privacybeleid moet zijn, is dan ook ‘Ja’.
Verder wordt ‘beleid’ genoemd in artikel 39. Hierin is geregeld dat de Functionaris Gegevensbescherming (FG) toe moet zien op de naleving van de wet en het privacybeleid van de organisatie.

Stelt de AVG eisen aan het privacybeleid?
In tegenstelling tot bijvoorbeeld de informatieverplichting (veelal aan voldaan via het privacystatement) stelt de AVG noch eisen aan de inhoud (wat) noch eisen aan de vorm (hoe) van het privacybeleid; alleen dat er een privacybeleid moet zijn. Dat het schriftelijk (lees: digitaal) moet zijn vloeit voort uit het feit dat het privacybeleid een van de maatregelen is om aantoonbaar te kunnen voldoen aan de AVG.

Naast het voldoen aan de formele eis van het hebben van een privacybeleid, geef je met het hebben van een privacybeleid ook aan dat je als goed huisvader wilt omgaan met de persoonsgegevens die aan jouw bedrijf zijn toevertrouwd. Het privacybeleid geeft de richting aan hoe het bedrijf fatsoenlijk wil omgaan met persoonsgegevens en blijvend voldoen aan de AVG. Het is dan voor alle medewerkers, en eventueel andere belanghebbende, duidelijk hoe het bedrijf over privacy denkt, hoe ze wil omgaan met de privacy beginselen uit de AVG, wie binnen het bedrijf waarvoor verantwoordelijk is en hoe hierop wordt toegezien en bijgestuurd.

Wat zijn nu de onderwerpen die je in een beleid opneemt?
We hebben gezien dat de AVG dit niet voorschrijft. Wel heeft de Autoriteit Persoonsgegevens (AP) recent een aanbeveling opgesteld ten aanzien privacybeleid. Procedureel stelt de AP dat je het beleid niet teveel moet versnipperen en dat je niet alleen de wettelijke verplichtingen uit de AVG moet overschrijven. Je moet het dus toeschrijven naar je eigen bedrijf. Inhoudelijk geeft de AP aan dat in het beleid tenminste moet zijn opgenomen welke persoonsgegevens met welke doeleinden worden verwerkt en wat de rechten van betrokkenen zijn en hoe ze deze kunnen uitoefenen.

Let hierbij op dat het privacybeleid niet een kopie wordt van het privacystatement. Het privacystatement is bedoeld om te voldoen aan de informatieverplichting aan de betrokkenen (bijv. werknemers, uitzendkrachten, contactpersonen van klanten). Hierin komen de door de AP aangehaalde onderwerpen, naast andere, ook terug. Het privacybeleid is primair bedoeld voor de medewerkers van het bedrijf en is meer richtinggevend. In de privacystatement staat bijvoorbeeld dat de betrokkene het recht heeft op inzage van zijn persoonsgegevens en in het privacybeleid staat hoe de inzage binnen het bedrijf wordt afgehandeld welke functionaris hiervoor verantwoordelijk is, op hoofdlijnen de belangrijkste stappen zijn en de te gebruiken systemen/documenten met een eventuele verwijzing naar een aparte procedure.

Wat zijn nu onderwerpen die je in een beleid kunt opnemen? Een privacybeleid is qua opzet zoals elk ander beleidsplan. Het gaat altijd om ambities (doelstellingen/missie), de inzet van middelen, de termijnen waarbinnen doelstellingen gerealiseerd moeten worden (planning) en controle en evaluatie. Concreet kun je aan de volgende privacy-onderwerpen denken:

• Visie op omgang met persoonsgegevens;
• Rollen van het bedrijf (verwerkingsverantwoordelijke en/of verwerker);
• Taken en verantwoordelijkheden (inrichting “privacy goverance”, wel/niet FG);
• Invulling van privacybeginselen (denk aan bewaarbeleid of dataminimalisatie);
• Omschrijving belangrijkste categorieën persoonsgegevens en doeleinden;
• Communicatie naar betrokkenen;
• Beheer verwerkingenregister;
• Omgang met (nieuwe) verwerkingen (PIA procedures, Privacy by Design and Default);
• Omgang met Rechten van betrokkenen;
• Beheer risico’s en informatiebeveiligingsbeleid;
• Omgang met incidenten en datalekken;
• Awareness en kennis bij medewerkers;
• Monitoring en evaluatie.

Tenslotte is het van belang dat het beleid formeel wordt bekrachtigd door de directie en dat medewerkers hiervan (en van wijzigingen daarin) op de hoogte worden gebracht.

De AP stelt in haar advies dat het – hoewel niet verplicht – verstandig is het privacybeleid ook kenbaar te maken aan andere betrokkenen. Of het privacybeleid ter beschikking wordt gesteld aan alle betrokkenen is een keuze van het bedrijf. In de praktijk zie je ook een tussenweg waarbij de visie van het bedrijf over privacy (onderdeel van het privacybeleid) wordt toegevoegd aan de verplichte onderdelen van het privacystatement en blijft het privacybeleid een intern stuk.

Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant

Meer achtergrond
Interview met Stichting AVG Garant: privacy normeren