Laatste update op 21 december 2018
Stel dat de Autoriteit Persoonsgegevens (AP) bij uw organisatie komt kijken of uw organisatie voldoet aan de AVG, wat moet u dan precies kunnen laten zien? Het AVG-beleid is één van de eerste onderdelen waar de AP naar zal vragen. In dit artikel krijgt u handvatten om op een praktische manier uw beleidsdocumenten op orde te maken.
Het AVG-beleid van uw organisatie kan bestaan uit een mix van specifieke AVG-onderdelen en andere (reeds bestaande) beleidsdocumenten.
Het lijkt nogal een klus om dit samen te voegen. Dat is het in veel gevallen ook, maar – tip – waarom zou je niet simpelweg in het AVG-beleid verwijzen naar de documenten voor gegevensbeschermingbeleid, HRM-beleid, etc. Die documenten kunnen dan gewoon als losse beleidsdocumenten blijven bestaan (op hun huidige plek, bij hun huidige beheerder). Dat scheelt een boel organisatorische en papieren rompslomp.
Basisonderdelen AVG-beleid
Het benodigde AVG-beleid verschilt per organisatie, maar kan in ieder geval uit de volgende basisonderdelen bestaan:
-
- Benoemen scope AVG-beleid
- Visie en missie gegevensbescherming
- Privacybeleid, met:
- afspraken over omgaan met rechten tot inzage, correctie, bezwaar, verwijderen, dataportabiliteit
- afspraken over gebruik van beeldmateriaal, cookies, e-mailnieuwsbrief, inschrijfformulieren, personenadministratie (leden, personeel, klanten, etc.)
- als afgeleide een privacyverklaring voor bijvoorbeeld de website
- Beleid/documentatie over omgaan met bewaartermijnen/verwijderen van gegevens (overweeg om dit in de verwerkingsregistratie op te nemen met toelichting per proces)
- Beleid voor instructie personeel (awareness), inclusief eventueel huishoudelijk reglement
- HRM-beleid
- Beleid voor informatiebeveiliging, met:
- inclusief verantwoordelijkheidstoedeling en contactpersoon rondom gegevensbescherming
- inclusief protocol voor datalek
- inclusief controlemiddelen
- aandacht voor persoonsgegevens op papier
- Eventuele klachtenregeling
- Beschrijving PDCA/informatiemanagementsysteem rondom AVG-compliancy