Verslaglegging over privacy in het jaarverslag

De Autoriteit Persoonsgegevens heeft op 5 december 2023 een nieuwe handreiking voor grotere bedrijven en instellingen gepubliceerd voor de wijze van verslaglegging in het jaarverslag over hoe in het betreffende jaar met privacy is omgegaan. Ook is een handreiking voor de toezichthouders van de onderneming of instelling gepubliceerd over hetzelfde onderwerp.

Na de waarschuwing dat naast de handreiking alle uit de wetgeving voortvloeiende verplichtingen onverminderd rusten op de verwerkingsverantwoordelijken en verwerkers, worden in de handreiking vijf concrete voorzetten (elementen) gegeven voor het uitwerken van de verslaglegging in de jaarstukken.

Element 1: visie en ethiek

Hoe u als bedrijf omgaat met privacy, hangt samen met uw visie en ethiek. Net als bijvoorbeeld de omgang met het milieu. Daarom is het een mooie aanvulling als u ook voor het onderwerp privacy een visie en ethische beschouwing formuleert.

Element 2: ontwikkelingen binnen en buiten het bedrijf

Er zijn altijd ontwikkelingen binnen uw bedrijf die invloed kunnen hebben op uw verwerkingen van persoonsgegevens. Daarnaast werkt u als bedrijf nooit in een vacuüm. Het is daarom de moeite waard om ook te onderzoeken welke ontwikkelingen van buiten uw bedrijf van invloed zijn op uw verwerkingen en op de rechten van betrokkenen (de mensen van wie u persoonsgegevens verwerkt). Bijvoorbeeld juridische ontwikkelingen, technische ontwikkelingen of marktontwikkelingen. In de privacy paragraaf beschrijft u in hoeverre deze ontwikkelingen impact hebben op uw verwerkingen en de rechten van betrokkenen.

Element 3: terugkijkend

Geef een kwalitatief beeld van hoe volwassen uw bedrijf is als het om privacy gaat. Daarvoor kunt u volwassenheidsmodellen gebruiken, die een score geven nadat u een self assesment heeft gedaan of een externe audit heeft laten uitvoeren. Daarnaast kan een meer cijfermatige en feitelijke, kwantitatieve beschouwing helpen om een beeld te schetsen van de status van privacy en de bescherming van persoonsgegevens in uw bedrijf.

Element 4: vooruitkijkend

Welke stappen wilt u zetten om uw bedrijf volwassener te laten worden op het gebied van privacy? Naast een kwalitatief antwoord op deze vraag, kan het van toegevoegde waarde zijn als u een meer cijfermatig, meetbaar doel opstelt voor het waarborgen van privacy in uw bedrijf.

Element 5: risico’s en bedreigingen

Geef inzicht in de privacy risico’s die in uw bedrijf spelen. Dit vergroot de transparantie. Externe belanghebbenden krijgen hierdoor een goed beeld van de risico’s en hoe u daarmee omgaat.

Vragen?

Heeft u vragen? Contact dan een van onze advocaten via de mail, telefonisch of vul het contactformulier in voor een vrijblijvend eerste gesprek. Wij denken graag met u mee.