De Autoriteit Persoonsgegevens (AP), in Nederland de toezichthouder op de naleving van de privacywetgeving, heeft onlangs het jaarverslag van 2018 gepubliceerd. Daarin schreven de woordvoerders van het bestuursorgaan dat het afgelopen kalenderjaar een mijlpaal is geweest voor de bescherming van persoonsgegevens, waar de invoering van de AVG op 25 mei uiteraard centraal in stond. Voor de AP lag de focus op het stimuleren van organisaties om de noodzakelijke voorbereidingen te treffen en de nieuwe wet na te leven.

Voorzitter Aleid Wolfsen: “Wij hebben er in 2018 bewust voor gekozen om ons vooral te richten op voorlichting, normuitleg en normoverdracht in de eerste periode nadat de nieuwe privacywet ging gelden. In 2019 blijven we voorlichting geven om de naleving van de privacywetgeving te bevorderen. Tegelijkertijd gaan we steviger inzetten op handhaving nu organisaties bekender zijn met de nieuwe privacywet.”

De AP deelde deze week in het kader van de voorlichtingsrol een aantal aanbevelingen om privacybeleid goed in te richten. Het advies is een rechtstreeks gevolg van een controle van het gegevensbeschermingsbeleid (privacybeleid) van organisaties die bijzondere persoonsgegevens verwerken over gezondheid en politieke voorkeur, zoals politieke partijen en zorginstanties. Uit dat verkennende onderzoek is namelijk een wisselvallig beeld naar voren gekomen, waarbij de AP in de aard en omvang van de documenten grote verschillen constateerde.

Met een privacybeleid brengt een organisatie in kaart welke maatregelen zij heeft genomen om de persoonsgegevens van bijvoorbeeld klanten, patiënten, cliënten te beschermen. Daarnaast is het een manier om als organisatie aan zowel de doelgroep als aan de AP te laten zien dat de regels van de AVG gevolgd worden. De AP heeft de volgende aanbevelingen gedeeld:

• beoordeel of jouw organisatie verplicht is om een gegevensbeschermingsbeleid in te richten; niet iedere organisatie is dat namelijk verplicht;
• gebruik interne en/of externe expertise; de functionaris gegevensbescherming kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen;
• leg het beleid vast in één document; voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een beleid;
• wees concreet; een gegevensbeschermingsbeleid is een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van een organisatie. Normen uit de AVG herhalen is niet voldoende;
• maak het beleid bekend; publicatie van het gegevensbeschermingsbeleid is niet verplicht, maar maakt voor betrokkenen wel inzichtelijk hoe een organisatie met persoonsgegevens omgaat. Let bij de publicatie wel op met informatie over de beveiliging;
• Niet verplicht? Toch raadzaam; met een gegevensbeschermingsbeleid toont een organisatie aan de persoonsgegevens van betrokkenen te willen beschermen.

Een effectief privacybeleid is meer dan regels en voornemens alleen. Het vereist bovendien ook meer dan investeringen en maatregelen vanuit het management. Bedrijfscultuur in het algemeen en de individuele houding in het bijzonder zijn doorslaggevend bij het gedrag van mensen op de werkvloer. Zijn de medewerkers zich bewust van hun rol bij informatiebeveiliging? Wat zijn de gangbare normen? Is de organisatie voldoende bewust van de verantwoordelijkheden en potentiële bedreigingen? Hoe is het voorbeeldgedrag van het management?