Intern privacybeleid: AVG handvatten voor werknemers

Volgens de AVG ben je als organisatie verplicht om passende maatregelen te nemen om de privacy van de betrokkenen – bijvoorbeeld klanten – te beschermen. Organisaties hebben ook een verantwoordingsplicht om te bewijzen dat passende maatregelen zijn getroffen. Het opstellen van een intern privacybeleid is de eerst aangewezen weg voor dit bewijs. Hieronder leggen wij uit waarom organisaties een intern privacybeleid moeten opstellen en welke onderdelen daarin worden omschreven.

Verantwoordingsplicht vanuit de AVG

Het devies voor het opstellen van een intern privacybeleid komt niet zomaar uit de lucht vallen. In artikel 24 lid 2 AVG staat dat wanneer dat in verhouding staat tot de verwerkingsactiviteiten er een zogeheten ‘gegevensbeschermingsbeleid’ dient te worden opgesteld. Wat ons betreft is voldoen aan de AVG welhaast onmogelijk, zonder goede instructies aan de werknemers over de omgang met persoonsgegevens. Werknemers spelen in de meeste organisaties namelijk een grote rol bij het voldoen aan de AVG. Je kan de systemen namelijk nog zo goed technisch beveiligd hebben. Als werknemers bijvoorbeeld persoonsgegevens delen terwijl dat niet de bedoeling is, dan heb je uiteindelijk bar weinig aan technische beveiliging. 

Instructierecht

Organisaties hebben een instructierecht. Dit betekent dat een organisatie het recht heeft om instructies aan haar werknemers te geven over de uitvoering van de werkzaamheden en de goede orde in de onderneming (art. 7:660 BW). Het geven van instructies omtrent het (digitaal) werken met persoonsgegevens valt hier ook onder. Met een intern privacybeleid geef je de gewenste handvatten aan werknemers over hoe zij moeten omgaan met persoonsgegevens. Bovendien kan je werknemers met het intern privacybeleid in de hand aanspreken als zij zich niet aan de instructies houden. Je voorkomt dat werknemers zullen zeggen: “hoe moest ik dat weten?”.

Wat staat er in een intern privacybeleid?

Het doel van het interne privacybeleid is om ervoor te zorgen dat de werknemers zich aan de regels van de AVG houden. Naar onze visie is het daarom zaak om de AVG in het intern privacybeleid op een praktische manier uit te leggen. Dus geen juridisch jargon, maar praktische taal waarin voorbeelden tot uiting komen die de werknemers daadwerkelijk gebruiken bij hun werkzaamheden. Het intern privacybeleid bestaat onder andere uit de volgende onderdelen:

  • Wat zijn (bijzondere) persoonsgegevens?
  • Wat is een verwerkersovereenkomst en een data-uitwisselingsovereenkomst, en wanneer moet je deze sluiten?
  • Wat is een verwerkingsregister, en wanneer moet je een gegevensverwerking opnemen?
  • Wanneer mag je persoonsgegevens verwerken?
  • Welke persoonsgegevens mag je bewaren en voor hoe lang?
  • Welke beveiligingsmaatregelen moet je nemen?
  • Wat is een datalek?
  • Welke rechten hebben betrokkenen, en hoe ga je daarmee om?

Optioneel kan je in een intern privacybeleid ook de interne privacyverklaring voor werknemers opnemen.

Breng werknemers op de hoogte

Het intern privacybeleid vormt voor werknemers een basis voor de naleving van de AVG en bewustwording. Zorg er daarom voor dat de werknemers op de hoogte zijn van het intern privacybeleid en dit altijd kunnen teruglezen. Doe dit door een mededeling te doen over het bestaan van het intern privacybeleid – bijvoorbeeld door middel van een AVG nieuwsbrief – én het intern privacybeleid centraal op te slaan. Als een werknemer nieuw in dienst treedt dient hij of zij op de hoogte te zijn van het intern privacybeleid. Zorg er daarom voor dat het onderdeel uitmaakt van het indiensttredingsproces.

Wilt u meer weten over Privacy Verified?

Heeft u behoefte aan een AVG toets op maat? Wij komen graag met u in contact om privacy binnen uw organisatie zo goed mogelijk in te richten en te managen. Zo zorgen we samen dat privacy vóór uw organisatie gaat werken, en niet andersom.

Een greep uit onze klanten