Onderzoek naar Privacybeleid Politieke Partijen en Bloedbanken

De Autoriteit Persoonsgegevens heeft aangekondigd dat zij bij 53 organisaties het privacybeleid heeft opgevraagd. Het gaat om instanties die per definitie bijzondere persoonsgegevens verwerken over politieke voorkeur en gezondheid. Denk hierbij aan bloedbanken, IVF-klinieken en gemeentelijke politieke partijen.

Voldoen de privacymaatregelen niet, dan overtreden zij de wet en geeft de Autoriteit Persoonsgegevens  te zullen handhaven waar nodig. 

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens die onder de AVG per definitie verboden om te verwerken, behalve als een organisatie daar een gegronde grondslag voor heeft. In theorie hebben bovenstaande organisaties deze, een IVF-kliniek zal gezondheidsdata van de patiënten moeten hebben; een Politieke Partij zal noteren wie zijn/haar leden zijn, bijvoorbeeld voor contributie. 

Het is voor deze organisaties onder de AVG echter wel extra belangrijk deze data goed te beschermen en te documenteren hoe ze dit doen. Vandaar dat de toezichthouder ervoor heeft gekozen steekproefsgewijs te toetsten wat het privacybeleid is van deze organisaties. 

Privacybeleid anders dan Privacy-verklaring

Het privacybeleid is, om verwarring te voorkomen, niet hetzelfde als een privacyverklaring. Een privacyverklaring is voor iedereen verplicht die persoonsgegevens verwerkt, vaak vind je deze terug op de website van een organisatie. 

Het privacybeleid/ gegevens­beschermingbeleid, waar deze steekproef onderzoek naar doet,  is een document waarin wordt beschreven welke maatregelen een organisatie heeft getroffen. Of u verplicht bent om zo'n privacybeleid op te stellen, hangt af van de concrete omstandigheden. Zoals de aard, de omvang, de context en het doel van de gegevensverwerking.

Privacybeleid

Ziekenhuizen, gemeenten, social mediabedrijven en handelsinformatiebureaus zullen daarom vaak verplicht zijn om een gegevens­beschermingsbeleid op te stellen. Ook kleine organisaties kunnen verplicht zijn een gegevens­beschermingsbeleid op te stellen. Hierin worden o.a de volgende zaken genoteerd(bron: AP)

•    een omschrijving van de categorieën persoonsgegevens die u verwerkt;
•    een beschrijving van de doeleinden waarvoor u persoonsgegevens verwerkt en wat de juridische grondslag daarvan is;
•    hoe u voldoet aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk;
•    welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens;
•    welke organisatorische en technische maatregelen u genomen heeft om de persoonsgegevens te beveiligen;
•    hoe lang u de persoonsgegevens bewaart.