Verantwoordingsplicht

De verantwoordingsplicht in de Algemene verordening gegevensbescherming is een belangrijk onderdeel dat in de bedrijfsvoering van een organisatie moet worden geborgd. Een Privacy Management Systeem is hierbij ondersteunend en zonder zo’n systeem is het risico om zaken te vergeten groot en is er een aanzienlijke kans dat de organisatie niet ‘privacy compliant’ is.

Achtergrond

Al in 1980 wordt er in de OECD Guidelines on the Protection of Privacy and the Transborder Flows of Personal Data gesproken over een verantwoordingsplicht en ook in de Data Protection Directive en de Wet bescherming persoonsgegevens (Wbp) is een vorm van verantwoordingsplicht opgenomen. De afgelopen twintig jaar is er echter veel discussie geweest hoe de (naleving van de) bescherming van persoonsgegevens nog steviger verankerd kan worden binnen de bedrijfsvoering van organisaties. De uitkomst van deze discussie is terug te vinden als verantwoordingsplicht in de Algemene verordening gegevensbescherming (AVG).(1)

De verantwoordingsplicht in de AVG

Art. 5 lid 1 AVG geeft de beginselen inzake de verwerking van persoonsgegevens (onder meer t.a.v. rechtmatigheid, doelbinding, juistheid, opslagbeperking en vertrouwelijkheid).

Art. 5 lid 2 AVG verplicht de verwerkingsverantwoordelijke tot naleving van deze beginselen en moet dit ook kunnen aantonen. De verwerkingsverantwoordelijke moet een ‘passend gegevensbeschermingsbeleid’ opstellen (art. 24 AVG) met technische en organisatorische maatregelen om te waarborgen en aan te tonen dat de verwerking in overeenstemming met de verordening wordt uitgevoerd. En in het geval dat de verwerkingsverantwoordelijke verwerkers inschakelt, moet deze hen ook verplichtingen opleggen om de naleving ook in relatie tot de verwerkers te borgen (art. 28).(2) De maatregelen dienen te worden geëvalueerd en indien nodig geactualiseerd. Dit betekent dat een PDCA-cyclus ingevoerd moet worden.(3)

Bovendien moet de verwerkingsverantwoordelijke verantwoordelijkheden beleggen binnen zijn organisatie om de nakoming van de privacyverplichtingen te bewerkstelligen en te zorgen voor bewustmaking en opleiding van het bij de verwerking betrokken personeel. Een (verplichte) functionaris gegevensbescherming (FG) ziet toe op de naleving van de AVG door de verwerkingsverantwoordelijke.

In een register moet de verwerkingsverantwoordelijke de verwerkingsactiviteiten bijhouden (art. 30 AVG) en daarmee ook de naleving van de AVG aantonen. Het register moet desgevraagd aan de Autoriteit Persoonsgegevens (AP) getoond worden en is daarmee ook een uitwerking van de verantwoordingsplicht van art. 5 lid 2 AVG.

Verantwoordingsplicht en de accountant

Voor het niet naleven van de AVG kan er een forse geldboete worden opgelegd tot, afhankelijk van het soort overtreding, 20.000.000 EUR of 4% van de totale wereldwijze jaaromzet.(4) Hiermee is er sprake van een materieel belang en moet de controlerende accountant inzicht verkrijgen in de verwerking van persoonsgegevens door de betreffende organisatie, de toepasselijke vereisten van de AVG, en de wijze waarop deze vereisten worden nageleefd. Indien (potentiële) overtredingen van de AVG worden geconstateerd, kan dat er mogelijk toe leiden dat een voorziening, schuld of toelichting dient te worden opgenomen in de jaarrekening. Ook kan het voorkomen dat een organisatie substantiële investeringen moet doen om compliant te worden met de AVG.(5)

Data protection framework

Om aan te tonen dat er een passend gegevensbeschermingsbeleid is, is het gebruik van Privacy Management Software vaak een uitkomst. Met deze software richt je een ‘data protection framework’ in en borg je privacy als - een op verbetering gericht - proces binnen de organisatie.

Voetnoten

(1) European Data Protection, Law and Practice, IAPP 2018, p. 195 e.v.
(2) Tekst & Commentaar AVG, Wolters Kluwer 2018.
(3) De kwaliteitscirkel van Deming is een creatief hulpmiddel voor kwaliteitsmanagement en probleemoplossing ontwikkeld door William Edwards Deming. De vier activiteiten in de kwaliteitscirkel van Deming zijn: PLAN: Kijk naar huidige werkzaamheden en ontwerp een plan voor de verbetering van deze werkzaamheden. Stel voor deze verbetering doelstellingen vast. DO: Voer de geplande verbetering uit in een gecontroleerde proefopstelling. CHECK: Meet het resultaat van de verbetering en vergelijk deze met de oorspronkelijke situatie en toets deze aan de vastgestelde doelstellingen. ACT: Bijstellen aan de hand van de gevonden resultaten bij CHECK.
(4) Zie de boetebeleidsregels van de Autoriteit Persoonsgegevens: Beleidsregels van de Autoriteit Persoonsgegevens van 19 februari 2019 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Boetebeleidsregels Autoriteit Persoonsgegevens 2019).
(5) Leidraad voor de AA afl. 103, januari 2016 - De accountant en de WBP, mr. dr. Elisabeth Thole en mr. Özer Zivali.