De Autoriteit Persoonsgegevens (AP) geeft over de ‘verantwoordingsplicht’ het volgende aan: "De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy. De AVG-regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen."
Hoofdstuk 4, met artikel 24 gaat over de compliance maatregelen. Het stelt eisen aan de verwerkingsverantwoordelijke en het hanteren van een compliance framework. Uiteraard is de AVG geen afvinklijst, zie hiervoor het artikel over de ‘beginselen van de AVG’. De AVG gaat in het algemeen over zaken zoals: ethiek, integriteit, waarden en principes.
Toch is de ‘harde kant’ van de AVG ook belangrijk. De AVG is een risk based regelgeving. Dit betekent dat een verwerkingsverantwoordelijke alle risico’s met betrekking verwerkingen van persoonsgegevens in beeld moet hebben en daarvoor mitigerende maatregelen moet treffen.
Artikel 24 van de AVG stelt dat een verwerkingsverantwoordelijke rekening houdend met de aard, de omvang, de context en het doel van de verwerking passende technische en organisatorische maatregelen moet treffen om te waarborgen en om te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
Artikel 24 bevat dus twee belangrijke aspecten: 1. Het aantoonbaarheidsbeginsel en 2. Een PDCA-cyclus.(1) Samenvattend: de verantwoordingsplicht. In een mooie volzin: de verwerkingsverantwoordelijke moet in continuïteit aantoonbaar voldoen aan de AVG.
Dit is een vergaande (compliance) verplichting, waarbij methodieken als een Control Framework zeer behulpzaam kunnen zijn. Met een normenkader op basis van de verplichting uit de AVG, kunnen beheersmaatregelen worden bepaald en deze ‘controls’ moeten periodiek worden uitgevoerd. Hiermee ontstaat een beeld in hoeverre de organisatie privacy-compliant is met de eisen vanuit de AVG. Het is hierbij de kunst om met een minimale controle inspanning een zo betrouwbaar mogelijke uitkomst te krijgen. Indien periodiek wordt nagegaan of alle beheersmaatregelen in orde zijn, kan worden aangetoond dat de organisatie ‘in control’ is op het gebied van de AVG.
(1) PDCA: De cirkel van Deming is gebaseerd op de samenwerking met Walter A. Shewhart die gezien wordt als één van de grondleggers van Total Quality Management. W. Edwards Deming (1900- 1993) is bekend om de Plan-Do-Check-Act-cyclus, afgekort als PDCA-cyclus en meer bekend als de Deming-cirkel.
Terug naar het dossier Verantwoordingsplicht
