Print:

AVG introduceert een brede verantwoordingsplicht

Ferry Waterkamp , Journalist

LinkedIn profiel

De Algemene Verordening Gegevensbescherming (AVG) legt zwaar de nadruk op de ‘accountability’. Organisaties moeten zelf kunnen aantonen dat ze zich houden aan de wet. Geen eenvoudige opgave, zo oordeelt Paul Breitbarth, Director of EU Certification Research & Senior Solutions Advisor bij het Canadese Nymity. “Vaak betekent dit het bouwen van een nieuw privacyprogramma.”

Accountability is een van de kernbepalingen van de AVG die al in artikel 5 van de privacyverordening is vastgelegd. “Het is echt een brede verantwoordingsplicht”, legt Breitbarth uit. “Het gaat er niet alleen om wat je doet, maar ook hoe. Je moet duidelijk maken welke onderdelen van de verordening je moet implementeren en hoe je dat hebt gedaan. Ook heb je de verplichting om betrokkenen inzicht te geven in hoe je bijvoorbeeld aan gegevens komt, hoe je ze verwerkt en waarom.”

Het niet voldoen aan de verantwoordingsplicht kan worden bestraft met de maximale boete van 20 miljoen euro of vier procent van de wereldwijde jaaromzet. Al denkt Breitbarth niet dat tekortkomingen op het gebied van de verantwoordingsplicht direct leiden tot hoge boetes. “Accountability is voor de Autoriteit Persoonsgegevens lastig te beboeten, en het uitdelen van boetes is ook geen doel op zich.” Wel kan het volgens de Senior Solutions Advisor bij een overtreding van de verordening verzwarend werken als een bedrijf zijn verantwoordingsplicht niet goed naleeft.

Nog 250 werkdagen

Volgens Breitbarth houdt accountability onder andere in dat een bedrijf zijn ‘register van gegevensverwerkingen’ op orde heeft, zoals artikel 30 van de AVG ook eist. “Dan krijg je een beeld van wat je doet met gegevens, waar je gegevens zijn en waar de mogelijke risico’s zitten.” Ook moeten de contracten met afnemers en verwerkers goed tegen het licht worden gehouden, want die zijn eveneens gebonden aan de AVG.

In de praktijk komt het erop neer dat veel organisaties hun privacyprogramma’s moeten herzien. “We hebben nog maar zo’n 250 werkdagen te gaan tot het moment dat de AVG voor iedereen van kracht wordt, en dat is erg weinig om een nieuw privacyprogramma uit te rollen”, waarschuwt Breitbarth. “Ga daarom zo snel mogelijk aan de slag.”

Drietrapsraket

Nymity, dat cloudgebaseerde tools biedt om privacyprogramma’s op te zetten, staat daarbij een ‘drietrapsraket’ voor. Breitbarth: “Wij hanteren een gestructureerde aanpak voor het bouwen van een privacyprogramma. We geven daarbij invulling aan verantwoordelijkheid, eigenaarschap en bewijslast.”

“Een organisatie moet de verantwoordelijkheid nemen en ook echt willen voldoen aan de wettelijke regels”, legt Breitbarth uit. “Verschillende personen moeten de verantwoordelijkheid nemen voor verschillende delen van het programma, en die delen uitwerken en uitrollen. Dan krijg je ook automatisch bewijslast in de vorm van bijvoorbeeld notulen, beleid dat wordt geschreven of logbestanden. Je hebt dan het bewijs dat je bezig bent met de implementatie van de vereiste onderdelen en zorgt er tegelijkertijd voor dat privacy deel wordt van de bedrijfscultuur.”

Op zoek naar een AVG training?

Laat uw e-mail achter en ontvang de gids direct in uw mailbox.