De Autoriteit Persoonsgegevens (AP) heeft bij 53 organisaties hun privacybeleid opgevraagd. Het gaat om bloedbanken, IVF-klinieken en gemeentelijke politieke partijen. Deze organisaties verwerken bijzondere persoonsgegevens over gezondheid en politieke voorkeur. Dat verplicht hen op grond van nieuwe privacywet AVG verplicht om in een privacybeleid of gegevensbeschermingsbeleid zaken vast te leggen.

De Autoriteit Persoonsgegevens (AP) heeft bij 53 organisaties hun privacy-beleid opgevraagd. Het gaat om bloedbanken, IVF-klinieken en gemeentelijke politieke partijen. Deze organisaties verwerken bijzondere persoonsgegevens over gezondheid en politieke voorkeur. Dat verplicht hen op grond van nieuwe privacywet AVG verplicht om in een privacybeleid of gegevensbeschermingsbeleid zaken vast te leggen zoals:

  • Met welk doel zij persoonsgegevens verwerken.
  • Hoelang ze de gegevens bewaren.
  • Hoe de gegevens beveiligd worden.

Met een privacy-beleid brengt een organisatie in kaart welke maatregelen zij heeft genomen om de persoonsgegevens van bijvoorbeeld klanten, patiënten, cliënten te beschermen. Daarnaast is het een manier waarmee een organisatie aan zowel de doelgroep als aan de AP kan laten zien dat ze voldoet aan de AVG. Hebben dergelijke organisaties ze geen privacybeleid of voldoet het beleid niet aan de eisen, dan overtreden zij volgens de AP de privacywet.

Controle ziekenhuizen, zorgverzekeraars

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018 controleert de AP onder meer steekproefsgewijs of vereisten uit de privacywetgeving worden nageleefd. Zo werden overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken gecontroleerd op het hebben van een functionaris voor de gegevensbescherming (FG). Verder deed de AP een steekproef bij grote private organisaties om te onderzoeken of zij een register voor verwerkingsactiviteiten bijhouden.

In oktober gaf de AP aan dat ziekenhuizen en zorgverzekeraars nu allemaal voldoen aan de wettelijke verplichtingen in de privacywet AVG op het gebied van de Functionaris Gegevensbescherming (FG). Dat bleek uit een nieuwe controle van de toezichthouder. Bij een eerdere steekproef onder 91 ziekenhuizen en 31 zorgverzekeraars bleek in augustus dat bijna een kwart niet volledig aan de FG-verplichtingen voldeed.

Voldoet privacybeleid aan AVG

De AP heeft nu dus het privacybeleid opgevraagd bij bloedbanken en IVF-klinieken en de politieke partijen van drie gemeenten met meer dan 100.000 inwoners. De toezichthouder gaat bekijken of het beleid voldoet aan de eisen die de AVG stelt.

Zo moet helder zijn welke categorieën persoonsgegevens worden verwerkt, met welk doel, hoe de gegevens worden beveiligd, welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Hebben de organisaties geen beleid dat voldoet aan de gestelde eisen, dan overtreden zij de wet. De AP zal zo nodig handhaven bij overtredingen.

Bloedbanken, IVF-klinieken en politieke partijen zijn voorbeelden van organisaties die op grond van de privacywet een privacybeleid moeten hebben. Zij verwerken bijzondere persoonsgegevens over gezondheid en politieke voorkeur. Deze persoonsgegevens moeten goed beschermd worden. Niet iedere organisatie is verplicht een privacy-beleid op te stellen. Dat hangt af van aard, de omvang, de context en het doel van de gegevensverwerking.

Beleid versus verklaring

Een privacybeleid is iets anders dan een privacyverklaring. Alle organisaties die persoonsgegevens verwerken, moeten mensen heldere informatie geven over de persoonsgegevens die zij verwerken en voor welk(e) doel(en) zij deze gegevens verwerken. De meest aangewezen manier hiervoor is het opstellen van een online privacyverklaring.

Bron: ICT&health