Actueel

17 april 2019

Belang van privacybeleid en praktische aanbevelingen

Een organisatie is zelf verantwoordelijk voor de naleving van de AVG, de Europese privacywetgeving. Privacybeleid kan daarin een grote rol spelen. Bedrijven of overheden die aan de slag gaan met een eenduidig privacybeleid en daar transparant over communiceren, zorgen niet alleen voor naleving van de regels, maar laten klanten en inwoners zien bewust na te denken over gegevensverwerking en de waarde van data.

Leestijd: 2-3 minuten

2018 mijlpaal voor privacy

De Autoriteit Persoonsgegevens (AP), in Nederland de toezichthouder op de naleving van de privacywetgeving, heeft onlangs het jaarverslag van 2018 gepubliceerd. Daarin schreven de woordvoerders van het bestuursorgaan dat het afgelopen kalenderjaar een mijlpaal is geweest voor de bescherming van persoonsgegevens, waar de invoering van de AVG op 25 mei uiteraard centraal in stond. Voor de AP lag de focus op het stimuleren van organisaties om de noodzakelijke voorbereidingen te treffen en de nieuwe wet na te leven.

Voorzitter Aleid Wolfsen: “Wij hebben er in 2018 bewust voor gekozen om ons vooral te richten op voorlichting, normuitleg en normoverdracht in de eerste periode nadat de nieuwe privacywet ging gelden. In 2019 blijven we voorlichting geven om de naleving van de privacywetgeving te bevorderen. Tegelijkertijd gaan we steviger inzetten op handhaving nu organisaties bekender zijn met de nieuwe privacywet.”

Aanbevelingen voor privacybeleid

De AP deelde deze week in het kader van de voorlichtingsrol een aantal aanbevelingen om privacybeleid goed in te richten. Het advies is een rechtstreeks gevolg van een controle van het gegevensbeschermingsbeleid (privacybeleid) van organisaties die bijzondere persoonsgegevens verwerken over gezondheid en politieke voorkeur, zoals politieke partijen en zorginstanties. Uit dat verkennende onderzoek is namelijk een wisselvallig beeld naar voren gekomen, waarbij de AP in de aard en omvang van de documenten grote verschillen constateerde.

Met een privacybeleid brengt een organisatie in kaart welke maatregelen zij heeft genomen om de persoonsgegevens van bijvoorbeeld klanten, patiënten, cliënten te beschermen. Daarnaast is het een manier om als organisatie aan zowel de doelgroep als aan de AP te laten zien dat de regels van de AVG gevolgd worden. De AP heeft de volgende aanbevelingen gedeeld:

  • beoordeel of jouw organisatie verplicht is om een gegevensbeschermingsbeleid in te richten; niet iedere organisatie is dat namelijk verplicht;
  • gebruik interne en/of externe expertise; de functionaris gegevensbescherming kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen;
  • leg het beleid vast in één document; voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een beleid;
  • wees concreet; een gegevensbeschermingsbeleid is een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van een organisatie. Normen uit de AVG herhalen is niet voldoende;
  • maak het beleid bekend; publicatie van het gegevensbeschermingsbeleid is niet verplicht, maar maakt voor betrokkenen wel inzichtelijk hoe een organisatie met persoonsgegevens omgaat. Let bij de publicatie wel op met informatie over de beveiliging;
  • Niet verplicht? Toch raadzaam; met een gegevensbeschermingsbeleid toont een organisatie aan de persoonsgegevens van betrokkenen te willen beschermen.

Privacybeleid is meer dan regels

Een effectief privacybeleid is meer dan regels en voornemens alleen. Het vereist bovendien ook meer dan investeringen en maatregelen vanuit het management. Bedrijfscultuur in het algemeen en de individuele houding in het bijzonder zijn doorslaggevend bij het gedrag van mensen op de werkvloer. Zijn de medewerkers zich bewust van hun rol bij informatiebeveiliging? Wat zijn de gangbare normen? Is de organisatie voldoende bewust van de verantwoordelijkheden en potentiële bedreigingen? Hoe is het voorbeeldgedrag van het management?

Is jouw privacybeleid in orde?

Awareways heeft een breed programma met e-learnings om informatiebewustzijn te verhogen en gedrag op de werkvloer meetbaar te veranderen. Deze online trainingen focussen op de gebruikers; de medewerkers die uiteindelijk de keuze maken wat ze wel of niet doen met de privacygevoelige informatie waar ze dagelijks mee te maken krijgen. Specifiek voor de privacywetgeving is er binnen dat aanbod een AVG-module ontwikkeld, om ervoor te zorgen dat het kennisniveau van alle medewerkers op het juiste niveau ligt om aan de regels en verantwoordelijkheden te voldoen. Kijk voor meer informatie op awareways.com/privacy.

Op zoek naar een tool die verder gaat dan e-learning? Een tool die kennis overbrengt en deelnemers de uitdaging biedt om zichtbaar te groeien van ‘protector brons’ naar ‘protector diamant’? Dan is de Security Awareness Engine iets voor jouw organisatie. Technische maatregelen, nieuwe inzichten, nieuwe processen, nieuwe wet- en regelgevingen; de awareness engine is flexibel en actueel aan te passen en uit te breiden.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.