De Autoriteit Persoonsgegevens (AP) heeft bij 53 organisaties het privacybeleid opgevraagd. Het gaat om bloedbanken, IVF-klinieken en gemeentelijke politieke partijen. Deze organisaties verwerken bijzondere persoonsgegevens over gezondheid en politieke voorkeur. Daarom zijn ze op grond van de Algemene verordening gegevensbescherming (AVG) verplicht om in een privacybeleid of gegevensbeschermingsbeleid onder meer vast te leggen met welk doel zij persoonsgegevens verwerken, hoelang ze de gegevens bewaren en hoe de gegevens beveiligd worden. Hebben ze geen privacybeleid of voldoet het niet aan de eisen, dan overtreden zij de privacywet.
Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) controleert de AP onder meer steekproefsgewijs of vereisten uit de privacywetgeving worden nageleefd. Zo controleerde de AP eerder overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken op het hebben van een functionaris voor de gegevensbescherming en deed de AP een steekproef bij grote private organisaties om te onderzoeken of zij een register voor verwerkingsactiviteiten bijhouden.
53 organisaties onder de loep
De AP heeft het privacybeleid opgevraagd bij 53 organisaties: bloedbanken en IVF-klinieken en de politieke partijen van 3 gemeenten. Het gaat om 3 gemiddelde gemeenten met meer dan 100.000 inwoners. Vervolgens beoordeelt de AP of het beleid voldoet aan de eisen die in de AVG aan een privacybeleid worden gesteld. Zo moet bijvoorbeeld helder zijn welke categorieën persoonsgegevens worden verwerkt, met welk doel, hoe de gegevens worden beveiligd, welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Hebben de organisaties geen beleid dat voldoet aan de gestelde eisen, dan overtreden zij de wet. De AP zal zo nodig handhaven bij overtredingen.
Bloedbanken, IVF-klinieken en politieke partijen zijn voorbeelden van organisaties die op grond van de privacywet een privacybeleid moeten hebben. Zij verwerken bijzondere persoonsgegevens over gezondheid en politieke voorkeur. Deze persoonsgegevens moeten goed beschermd worden. Niet iedere organisatie is verplicht om een privacybeleid op te stellen. Of een organisatie verplicht is om zo’n privacybeleid op te stellen, hangt af van aard, de omvang, de context en het doel van de gegevensverwerking.
Privacybeleid waarborg voor bescherming van persoonsgegevens
Met een privacybeleid brengt een organisatie in kaart welke maatregelen zij heeft genomen om de persoonsgegevens van bijvoorbeeld klanten, patiënten, cliënten te beschermen. Daarnaast is het een manier waarmee een organisatie aan zowel de doelgroep als aan de Autoriteit Persoonsgegevens kan laten zien dat ze voldoet aan de AVG. Een privacybeleid is iets anders dan een privacyverklaring. Alle organisaties die persoonsgegevens verwerken, moeten mensen heldere informatie geven over de persoonsgegevens die zij verwerken en voor welk(e) doel(en) zij deze gegevens verwerken. De meest aangewezen manier hiervoor is het opstellen van een online privacyverklaring.