Sinds de Algemene Verordening Gegevensbescherming (AVG) van toepassing is, zijn organisaties zelf verantwoordelijk voor de naleving van de AVG-wetgeving. Een goed privacybeleid kan helpen om hieraan te voldoen. Maar wat is nou een privacybeleid precies en hoe stel je die op? Wat is het verschil tussen een privacybeleid en een privacyverklaring? En wat zijn de eventuele consequenties wanneer er inbreuk op persoonsgegevens bij een organisatie plaatsvindt?
1. Wat is een privacybeleid precies?
Als vrijwilligersorganisatie verzamel je normaal gesproken veel gegevens van personen, zoals namen, telefoonnummers en adresgegevens. Omdat het hier gaat over persoonsgegevens – de gegevens hebben direct betrekking op een bepaald persoon – vertrouwen deze personen erop dat er voorzichtig en verantwoordelijk met deze gegevens wordt omgegaan.
In een privacybeleid beschrijft jouw organisatie wat zij doet om deze gegevens te beschermen. Het is dus een intern document en niet gericht aan externe partijen. Je kunt het ook zien als een soort handleiding voor de organisatie.
2. Waarom een privacybeleid opstellen?
Elke organisatie moet kunnen aantonen dat deze voldoet aan de AVG-wetgeving. De AVG legt de verantwoordelijk voor het aantonen hiervan bij organisaties neer. Dit wordt ook wel de verantwoordingsplicht genoemd. Het opstellen van een goed privacybeleid kan er mede voor zorgen dat jouw organisatie voldoet aan deze verantwoordingsplicht en daarmee aan de AVG-wetgeving. Het niet voldoen aan de AVG-wetgeving kan leiden tot hoge boetes. Regelmatig legt de Autoriteit Persoonsgegevens (AP) boetes op aan Nederlandse organisaties die niet aan deze wetgeving voldoen.
3. Hoe stel je een privacybeleid op?
De AVG-wet schrijft niet voor dat het privacybeleid van een organisatie aan een bepaald format moet voldoen of dat een handleiding gevolgd moet worden. Daarom hebben we een kort stappenplan opgeschreven die jou kan helpen bij het opstellen van het privacybeleid voor jouw organisatie. Deze stappen zorgen ervoor dat het privacybeleid van jouw organisatie alle noodzakelijke punten bevat om te voldoen aan de AVG-wetgeving.
Schrijf eerst een inleidende tekst. Wat is het doel van dit beleid? Waarom is dit belangrijk?
Vertel welke (persoons)gegevens door jouw organisatie worden verzameld en waarom deze worden verzameld.
Beschrijf welke functies betrokken zijn bij het verzamelen van de persoonsgegevens en wat de verantwoordelijkheden van deze functies zijn.
Geef aan welke maatregelen genomen worden om de gegevens te beschermen. En wie houdt hier toezicht op? Denk hierbij aan bijvoorbeeld aan bepaalde software die een website beschermt tegen cyberaanvallen waarbij persoonsgegevens kunnen worden gestolen.
Noteer in het privacybeleid ook de privacyrechten van ieder persoon. Dit is een belangrijk onderdeel van het privacybeleid. Een opsomming van de verschillende rechten is terug te vinden op de website van de AVG-wetgeving.
Vertel tot slot wie er toezicht houdt op het naleven van het beleid en op welke manier dit wordt gedaan. Geef hierbij ook aan wat er gebeurt wanneer het beleid niet wordt nageleefd.
4. Wat is het verschil tussen privacybeleid en een privacyverklaring?
In het dagelijks gebruik worden de termen privacybeleid en privacyverklaring nogal eens door elkaar gebruikt. Hoewel privacybeleid en privacyverklaring beiden gaan over de manier waarop jouw organisatie persoonsgegevens verwerkt en beschermd, hebben beide documenten een andere doelgroep. Zoals eerder genoemd is het privacybeleid van een organisatie een intern document, bedoeld als “handleiding” voor de eigen organisatie. Een privacyverklaring is een extern document waarin wordt uitgelegd aan klanten of een andere soort bezoekers van een website wat er met persoonsgegevens gebeurt. Daarnaast voldoet jouw organisatie met een privacyverklaring aan de ‘informatieplicht’ van de AVG-wetgeving, terwijl met een privacybeleid wordt voldaan aan de ‘verantwoordingsplicht’.
Vaak kun je deze privacyverklaring op de website van de betreffende organisatie terugvinden. Als je het privacybeleid van jouw organisatie op de website zet zodat bezoekers het kunnen lezen, is het niet ineens een privacyverklaring. Sterker nog: het wordt sterk afgeraden om het privacybeleid van jouw organisatie op een website te zetten.
Een ander verschil tussen privacybeleid en privacyverklaring is dat de AVG aan een privacyverklaring wél eisen stelt, terwijl aan het privacybeleid geen eisen worden gesteld. Hier kun je de eisen terugvinden. Deze punten kun je meteen gebruiken om je eigen privacyverklaring op te stellen!
Wist je dat…
er online verschillende websites zijn die (soms tegen betaling, soms gratis) een format aanbieden voor het opstellen van een privacybeleid? Hier kun je ook gebruik van maken als je het lastig vindt om helemaal zelfstandig een privacybeleid op te stellen. Voorbeelden van websites die gratis een voorbeeld beschikbaar stellen kun je hier en hier vinden.
veel organisaties hun privacyverklaring publiceren op de eigen website om te laten zien dat ze voldoen aan de AVG-wetgeving? Zoek ter inspiratie eens op de website van een organisatie die jij leuk vindt naar hun privacyverklaring!
de Kamer van Koophandel (KvK) een handig artikel heeft gepubliceerd waarin staat waar een organisatie op moet letten om te voldoen aan de AVG-wetgeving? Aan de hand van 10 stappen kun jij dit checken voor jouw organisatie.
er in de Kennisbank van Netwerk Zorgzaam 010 een artikel staat over de AVG? Hier vind je nog meer informatie over de AVG-wetgeving en het omgaan met persoonsgegevens.
5. Welke sancties zijn er mogelijk wanneer inbreuk op persoonsgegevens plaatsvindt?
De AVG-wetgeving geldt voor organisaties uit alle landen die bij de Europese Unie zijn aangesloten. Hoe organisaties om moeten gaan met persoonsgegevens en AVG-wetgeving wordt in dit artikel verder uitgelegd. Het niet voldoen aan de AVG-wetgeving kan bepaalde consequenties hebben.
Sancties
De AP is de Nederlandse privacytoezichthouder en is bevoegd om op verschillende manieren sancties te treffen wanneer er (vermoedelijk) inbreuk op persoonsgegevens binnen een organisatie plaatsvindt:
De AP kan een formele waarschuwing geven bij een vermoedelijke inbreuk op de AVG.
De AP kan een berisping geven aan een organisatie waar sprake is van inbreuk op de AVG. Dit gebeurt veelal bij een relatief kleine inbreuk.
De AP kan een verwerkingsverbod opleggen, waardoor een organisatie bepaalde (categorieën van) persoonsgegevens niet mag verwerken
De AP kan een last onder dwangsom opleggen. Dit houdt in dat een organisatie de dwangsom moet betalen als de overtreding niet is gestopt na een bepaalde termijn.
De AP kan een boete opleggen, waarbij geldt dat deze boete maximaal 20 miljoen euro omvat of 4 procent van de wereldwijde jaaromzet. In het Boetebeleidsregels Autoriteit Persoonsgegevens 2019 is vastgelegd hoe de AP de hoogte van de boetes bepaald.
Op dit moment kan elke privacytoezichthouder zelf bepalen hoe de hoogte boetes wordt berekend. Er komen echter nieuwe regels aan voor deze berekening. Deze regels zijn opgesteld door de European Data Protection Board. Hierdoor berekenen alle privacytoezichthouders op dezelfde manier de hoogte van boetes. Dit heeft tot gevolg dat bedrijven – zeker wanneer deze in meerdere landen opereren – weten waar ze aan toe zijn. De veranderingen gelden vooralsnog alleen voor bedrijven en niet voor overheden of non-profit organisaties. In het kort de belangrijkste veranderingen in de nieuwe regels:
De omvang van een bedrijf krijgt een grotere rol in de bepaling van de boete
De ernst van de overtreding wordt gecategoriseerd aan de hand van de categorieën laag, midden en hoog. Per categorie geldt een ander een ander startbedrag voor de boete
De AP hanteert op dit moment een bandbreedte waarbinnen een boetebedrag wordt bepaald. In de nieuwe regels wordt de bandbreedte gebruikt om het startbedrag van de boete bepalen. Vervolgens wordt dit startbedrag verhoogd of verlaagd op basis van bepaalde factoren.
Bronnen
Overheid.nl - Aanpassingswet Algemene verordening gegevensbescherming
https://wetten.overheid.nl/BWBR0041233/2019-07-01/0
Autoriteit persoonsgegevens – Verantwoordingsplicht
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/verantwoordingsplicht
Autoriteit persoonsgegevens – Rechten van betrokkenen
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/rechten-van-betrokkenen
Autoriteit persoonsgegevens – Hoe stelt u een privacyverklaring op?
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/rechten-van-betrokkenen#hoe-stelt-u-een-privacyverklaring-op-6255
Websiteplanet.com - Gratis Template Privacybeleid
https://www.websiteplanet.com/nl/blog/zorg-dat-je-privacybeleid-voldoet-aan-de-avg/
Privacyportaal.nl - Privacybeleid voorbeeld
https://privacyportaal.nl/kennis/privacybeleid-informatiebeveiligingsbeleid-voorbeeld-docx-en-pdf/
Kamer van Koophandel – Privacywetgeving AVG, wanneer ben je compliant?
https://www.kvk.nl/advies-en-informatie/wetten-en-regels/privacywetgeving-avg-wanneer-ben-je-compliant/?msclkid=d900256f561413d440c547b8a6b24892&utm_source=bing&utm_medium=cpc&utm_campaign=2.%20DSA%20-%20Advies%20en%20informatie-G957425509&utm_term=https%3A%2F%2Fwww.kvk.nl%2Fadvies-en-informatie%2F&utm_content=A%26I%20-%20Algemeen#stappen
Autoriteit persoonsgegevens – Boetes en andere sancties
https://autoriteitpersoonsgegevens.nl/nl/publicaties/boetes-en-sancties
Overheid.nl – Boetebeleidsregels Autoriteit Persoonsgegevens 2019
https://wetten.overheid.nl/BWBR0041994/2019-03-15
Autoriteit persoonsgegevens – Nieuwe EU-brede regels AVG-boetes bedrijven op komst
https://autoriteitpersoonsgegevens.nl/nl/nieuws/nieuwe-eu-brede-regels-avg-boetes-bedrijven-op-komst
Dit artikel is opgesteld door/ in samenwerking met BMC/ Advies op Maat. Heb je een verdiepende vraag of wil je een andere vraag stellen waarop je het antwoord niet in de Kennisbank kunt vinden? Dien die vraag dan in door een e-mail te sturen naar netwerk@zorgzaam010.nl.
