Autoriteit Persoonsgegevens controleert privacybeleid zorginstellingen

Als u in de AVG zoekt naar de term “privacybeleid” zult u die niet tegenkomen. In de AVG wordt gesproken over “gegevensbeschermingsbeleid”. Het opstellen van een gegevensbeschermingsbeleid is op grond van artikel 24 lid 2 AVG verplicht “wanneer zulks in verhouding staat tot de verwerkersactiviteiten”. “Wanneer zulks in verhouding staat” is volgens de toelichting op de wet is dit afhankelijk van de aard, de omvang en het doel van de gegevensverwerking. Zorginstellingen zijn in beginsel verplicht een privacybeleid op te stellen.

Welke eisen worden nu aan een privacybeleid gesteld? De wet zelf bevat geen opsomming van eisen waaraan het privacybeleid moet voldoen. Uit artikel 24 lid 1 AVG valt af te leiden dat het privacybeleid moet kunnen aantonen dat u persoonsgegevens verwerkt conform de wet. Wat betekent dit nu concreet? Dit betekent dat u in het beleid in ieder geval de volgende informatie dient op te nemen:

• Welke categorieën persoonsgegevens u verwerkt;
• Voor welke doeleinden en op basis van welke wettelijke grondslag u deze persoonsgegevens verwerkt;
• Hoe u voldoet aan de beginselen van verwerking van persoonsgegevens, zoals het beginsel van dataminimalisatie;
• Hoe betrokkenen hun rechten kunnen uitoefenen;
• Welke organisatorische en technische beveiligingsmaatregelen u heeft genomen;
• Hoe lang u de persoonsgegevens bewaart.

Indien zorginstellingen geen privacybeleid hebben dat voldoet aan bovengenoemde eisen, dan overtreden zij de wet en riskeren zij een boete. Bent u verantwoordelijk voor privacy bij een zorginstellingen en heeft u nog geen privacybeleid dan wel heeft u vragen over de inhoud van het privacybeleid, neemt u dan contact op met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity