Privacy beleid – intenties versus haalbaarheid

Geplaatst op door

Grote organisaties maken vaak iedere 3 tot 5 jaar beleidsplannen op waarin zij hun voorgenomen intenties kenbaar maken voor de eerstkomende 3 tot 5 jaar, zowel aan hun medewerkers als aan derden.

Deze beleidsplannen beschrijven hoe de organisatie de toekomst ziet, welke doelstellingen zij voor ogen heeft, en hoe zij zal trachten deze doelstellingen te verwezenlijken.

Zij bevatten ook een reden waarom de organisatie welbepaalde doelstellingen probeert te verwezenlijken.

M.a.w. een beleidsplan is een instrument voor planning, de verantwoording van de voorgenomen intenties en de communicatie aan de stakeholders van de organisatie.

Privacy en planning

Organisaties die veel (gevoelige) persoonsgegevens verwerken zouden ook een Privacy beleid moeten hebben.

Het Privacy beleid geeft de organisatie en haar medewerkers een formele richting waar de organisatie van plan is naartoe te gaan en te verwezenlijken binnen een welbepaald tijdskader.

Zo kan de organisatie bijvoorbeeld als doelstelling definiëren dat de organisatie het aantal inbreuken wenst te herleiden tot nul, of dat de organisatie de intentie heeft om alle verwerkingsactiviteiten die een zeer hoog risico dragen voor datalekken beter te beheren en op te volgen.

Realistische intenties en doelstellingen

Het definiëren van een goed en uitvoerbaar Privacy beleid is geen sinecure.

Het bepalen van intenties is een ding, de uitvoerbaarheid van deze intenties is een ander.

De verleiding bestaat dat organisaties zich voornemen om heel ambitieuze intenties te verwezenlijken, die gezien de middelen waarover ze beschikken en de complexiteit helemaal niet uitvoerbaar zijn.

Of het andere uiterste, dat een organisatie zich enkel beperkt tot snelle resultaten, de zogenaamde “Quick Wins”, die eigenlijk op het vlak van het reduceren van de privacy risico footprint weinig toegevoegde waarde bieden.

Het is daarom veel belangrijker om vooreerst te kijken naar het risico en de impact wanneer het risico zich zal voordoen, dan zich louter te focussen op zogenaamde “Quick Wins”.

Communicatie aan de stakeholders

Om neuezen van alle (interne) stakeholders in dezelfde richting te krijgen is het belangrijk dat de organisatie haar Privacy beleid aan hen kenbaar maakt, zodat deze (interne) stakeholders deze beleidskeuzes kunnen omzetten in concrete operationele plannen en acties.

Bloep, 20 augustus 2025.