Informatie rond AVG moet ook intern op orde zijn
Sommige organisaties hebben vrij veel tijd nodig om te voldoen aan een eis uit de AVG, bijvoorbeeld het honoreren van een verzoek om inzage. Soms komt dit omdat de informatie versnipperd is binnen de organisatie of omdat het beleid onvoldoende is vastgelegd. De Autoriteit Persoonsgegevens geeft hiervoor advies.
Niet voor alle organisaties is het voldoen aan de AVG al gesneden koek. Soms komt dat omdat er intern onvoldoende op papier gezet is. Daardoor wordt ad hoc-werken als het ware ‘uitgelokt’. Bovendien zal persoon A anders op dezelfde situatie reageren als persoon B, terwijl het juist belangrijk is dat iedereen AVG-kwesties op dezelfde manier aanpakt.
Drie tips voor houvast
De Autoriteit Persoonsgegevens (AP) heeft daarom drie tips die ertoe moeten leiden dat iedereen binnen de organisatie houvast heeft. Het gaat om de volgende:
- De organisatie heeft vast wel een privacyverklaring, een verwerkingsregister (tool) en beleid rond de AVG. Maar als medewerkers hun informatie uit drie verschillende bronnen moeten halen - die waarschijnlijk ook nog eens andere formuleringen hanteren - is de informatie versnipperd en gaat het overzicht verloren. Zorg daarom voor één document waarin alle relevante informatie over uw beleid is opgenomen.
- Het heeft geen zin om de formuleringen van de AVG letterlijk over te nemen. Het is juist de bedoeling te bedenken hoe normen en eisen er uit komen te zien binnen de bedrijfssituatie. ‘Vertalen’ van de regels is essentieel voor een goede omgang met de AVG.
- Hoewel het niet verplicht is, adviseert de AP wel om het beleid bekend te maken. Dat geldt niet alleen intern, maar ook extern. Transparantie over de aanpak wekt vertrouwen en biedt houvast.