> Privacy documenten: waarom heb je ze nodig?

Privacy documenten: waarom zou je ze eigenlijk moeten hebben?

In de eerste plaats zijn sommige documenten in de AVG verplicht (zie hieronder).

Verder zijn privacy documenten nodig om te voldoen aan de documentatieplicht uit de Algemene Verordening Gegevensbescherming (AVG). Deze documentatieplicht schrijft voor dat een verantwoordelijke door middel van documentatie (schriftelijk of elektronisch) moet kunnen aantonen dat het de regels van de AVG volgt.

Ook ondersteunt het uw organisatie bij het nakomen van de verplichtingen uit de AVG. Bijvoorbeeld bij datalekken, verzoeken van betrokkenen en nieuwe projecten. Dit verkleint de risico’s op non-compliance, waaronder boetes en reputatieschade.

Sommige documenten worden specifiek in de AVG verplicht gesteld:

Verwerkingsregister: verplicht

Eén document dat specifiek verplicht wordt gesteld in de AVG, is het verwerkingsregister. (Onder andere) als persoonsgegevens structureel door een organisatie worden verwerkt, is zo’n register verplicht. In ons blogbericht AVG: Het verwerkingsregister staat wat er allemaal in zo'n register moet staan.

Privacyverklaring: verplicht

Ook een privacyverklaring is verplicht. In de privacyverklaring wordt aan de betrokken personen van wie de persoonsgegevens worden gebruikt (verwerkt) uitgelegd waarom en hoe dat gebeurt. In het blogbericht AVG: wat moet er in de privacyverklaring staan leggen we uit wat er minimaal in de privacyverklaring moet staan.

Documenteren van beslissingen: verplicht

Een ander belangrijk onderdeel van de documentatieplicht is het documenteren van beslissingen die worden genomen in verband met de persoonsgegevens, maar ook in verband met de verplichtingen van de AVG. Bijvoorbeeld als er wordt besloten dat een PIA niet nodig is, of er geen functionaris gegevensbescherming hoeft te worden benoemd, dan zal dit moeten worden gedocumenteerd. Dit kan bijvoorbeeld in een intern memo.

Andere documenten

Andere documenten die een verantwoordelijke ondersteunen bij het voldoen aan de documentatieplicht zijn:

1. Een privacy-beleid. Wat zijn de algemene regels waar medewerkers binnen de organisatie zich aan moeten houden wanneer zij werken met persoonsgegevens? Een privacy-beleid is de ‘kapstok’ die de organisatie houvast geeft voor de privacyregels.

2. Een draaiboek / protocol datalekken. Hoe reageert de organisatie als zich een datalek voordoet? Weten de werknemers wat een datalek is? Wie is verantwoordelijk voor het melden van het datalek? Allemaal zaken die in een datalekkendraaiboek of -protocol worden geregeld.

3. Een draaiboek / protocol verzoeken. Wat moet de organisatie doen als een betrokkene een verzoek indient tot inzage, of verwijdering van de persoonsgegevens? Wie beantwoordt die verzoeken? Hoe moet er op geageerd worden en mag er ook worden geweigerd? Een draaiboek / protocol verzoeken ondersteunt de organisatie hier bij.

4. Een privacy-toetsing. Als er nieuwe projecten worden opgestart, hoe wordt er dan gezorgd voor het naleven van de privacyregels? Moet er een PIA worden uitgevoerd? Wordt er rekening gehouden met privacy by design en by default? Een privacy-toetsing helpt om de regels na te lopen en te zorgen dat er actie wordt genomen waar dat nodig is.

5. Een Cameraprotocol. Als er camera’s worden gebruikt, is een cameraprotocol van belang om vast te leggen wat er met de camerabeelden wordt gedaan.

6. Bewaartermijnenprotocol. Hoe lang worden de persoonsgegevens bewaard? Worden ze allemaal even lang bewaard of gelden er verschillende termijnen? Leg dit vast in een bewaartermijnenprotocol.

7. Beveiligingsbeleid. Hoe worden de persoonsgegevens beveiligd? Aan welke regels moeten medewerkers zich houden om de persoonsgegevens goed beveiligd te houden? Omschrijf dit in een beveiligingsbeleid.