Uitvoeren beleid tbv AVG - GDPR
Het hebben van een beleid is niet verplicht, maar is een zogenaamde ‘aanvullende’ maatregel op de standaard verantwoordingsplicht.
Wat een organisatie moet doen met betrekking tot hun verantwoordingsplicht komt uit de inventarisatie – compliance check. Dit kan dan weer input zijn voor het ‘beveiligingsbeleid’
Wat een organisatie moet doen is sterk afhankelijk of en welke persoonsgegevens ze hebben, toegang hebben of verwerken.
En dan ook nog eens welt type persoonsgegevens. Standaard of hoog-gevoelig. Dit alles heeft invloed op de te nemen maatregelen en het beleid
Volgens de AVG is een gegevensbeschermingsbeleid overigens wél verplicht als dit in verhouding staat tot de verwerkingsactiviteiten van de organisatie.
Bijvoorbeeld Ziekenhuizen, gemeenten, social mediabedrijven en marketing-informatiebureaus.
Een gegevensbeschermingsbeleid wordt ook wel privacy beleid genoemd binnen de AVG. Binnen de AVG is helder beschreven waaraan het beleid moet voldoen.
Of een organisatie een gegevensbeschermingsbeleid moet maken, volgt dus ook uit de inventarisatie.
Overigens; een gegevensbeschermingsbeleid is niet hetzelfde dan de privacyverklaring.
Alle organisaties die persoonsgegevens verwerken, moeten mensen op een heldere manier informatie geven over de persoonsgegevens die zij verwerken en voor welk doel zij deze gegevens verwerken. De meest aangewezen manier hiervoor is het beschikbaar stellen van een privacyverklaring op de website van de organisatie.
Wat moet er volgens de AVG in een gegevensbeschermingsbeleid staan?
In de Algemene verordening gegevensbescherming (AVG) staat niet precies omschreven welke gegevens u in uw gegevensbeschermingsbeleid (ook wel privacy beleid genoemd) moet opnemen.
Uit het beleid moet in ieder geval wèl blijken hoe u voldoet aan de AVG. Dat is onderdeel van uw verantwoordingsplicht.
Informatie gegevensbeschermingsbeleid
U kunt laten zien hoe u voldoet aan de AVG door onder andere deze informatie op te nemen: