Stel dat de Autoriteit Persoonsgegevens (AP) bij uw organisatie komt kijken of uw organisatie voldoet aan de AVG, wat moet u dan precies kunnen laten zien? Het AVG-beleid is één van de eerste onderdelen waar de AP naar zal vragen. In dit artikel krijgt u handvatten om op een praktische manier uw beleidsdocumenten op orde te maken.

Het AVG-beleid van uw organisatie kan bestaan uit een mix van specifieke AVG-onderdelen en andere (reeds bestaande) beleidsdocumenten.

Het lijkt nogal een klus om dit samen te voegen. Dat is het in veel gevallen ook, maar – tip – waarom zou je niet simpelweg in het AVG-beleid  verwijzen naar de documenten voor gegevensbeschermingbeleid, HRM-beleid, etc. Die documenten kunnen dan gewoon als losse beleidsdocumenten blijven bestaan (op hun huidige plek, bij hun huidige beheerder). Dat scheelt een boel organisatorische en papieren rompslomp.

Basisonderdelen AVG-beleid

Het benodigde AVG-beleid verschilt per organisatie, maar kan in ieder geval uit de volgende basisonderdelen  bestaan:

    1. Benoemen scope AVG-beleid
    2. Visie en missie gegevensbescherming
    3. Privacybeleid, met:
      • afspraken over omgaan met rechten tot inzage, correctie, bezwaar, verwijderen, dataportabiliteit
      • afspraken over gebruik van beeldmateriaal, cookies, e-mailnieuwsbrief, inschrijfformulieren, personenadministratie (leden, personeel, klanten, etc.)
      • als afgeleide een privacyverklaring voor bijvoorbeeld de website
    4. Beleid/documentatie over omgaan met bewaartermijnen/verwijderen van gegevens (overweeg om dit in de verwerkingsregistratie op te nemen met toelichting per proces)
    5. Beleid voor instructie personeel (awareness), inclusief eventueel huishoudelijk reglement
    6. HRM-beleid
    7. Beleid voor informatiebeveiliging, met:
      • inclusief verantwoordelijkheidstoedeling en contactpersoon rondom gegevensbescherming
      • inclusief protocol voor datalek
      • inclusief controlemiddelen
      • aandacht voor persoonsgegevens op papier
    8. Eventuele klachtenregeling
    9. Beschrijving PDCA/informatiemanagementsysteem rondom AVG-compliancy