De AP heeft een verkennend onderzoek uitgevoerd naar de kwaliteit van het gegevensbeschermingsbeleid van twee soorten zorginstellingen en een aantal lokale politieke partijen, omdat zij bijzondere persoonsgegevens verwerken. In dit rapport deelt de AP de resultaten en doet zij aanbevelingen.
De AP heeft het gegevensbeschermingsbeleid gecontroleerd bij bloedbanken, IVF-klinieken en de politieke partijen van drie gemeenten. Het gaat om drie gemiddelde gemeenten met meer dan 100.000 inwoners. Het onderzoek richtte zich op drie verplichte onderdelen van het gegevensbeschermingsbeleid: een omschrijving van de (categorieën van) persoonsgegevens, een beschrijving van de doeleinden van de gegevensverwerking en de rechten van betrokkenen. Uit de beoordeelde documenten valt op dat zij erg verschillend zijn in aard en omvang. In de AVG zijn geen vereisten vastgelegd over de vorm.
Alle gecontroleerde bloedbanken en IVF-klinieken hebben een gegevensbeschermingsbeleid. Bij de zorginstellingen schortte er in veel gevallen iets aan de drie verplichte onderdelen: bij ongeveer de helft van de documenten ontbrak bijvoorbeeld een omschrijving van de categorieën van persoonsgegevens of was het onvoldoende. En ontbrak een omschrijving van de doelen van de gegevensverwerkingen. De AP heeft 21 documenten beoordeeld van lokale politieke partijen. Deze documenten bleken in de meeste gevallen in orde. Niet alle partijen hebben een beschermingsbeleid, omdat zij geen leden hebben.
De resultaten van het onderzoek zijn voor de AP aanleiding om zes aanbevelingen te doen aan organisaties om hun gegevensbeschermingsbeleid goed in te richten.
Deze publicatie is ook te vinden in het dossier AVG.
