André Biesheuvel
De datum van 25 mei 2018 komt steeds dichterbij. Het ultieme moment waarop bestuurders en directeuren van organisaties voorbereid zouden moeten zijn op de Europese Algemene verordening gegevensbescherming (Avg) … Overeenkomstig artikel 2:391 BW stelt het bestuur van een rechtspersoon het bestuursverslag op. Dit bestuursverslag bevat een getrouw beeld van de toestand op de balansdatum, de ontwikkeling gedurende het boekjaar en de resultaten van de rechtspersoon. Tevens bevat het bestuursverslag een analyse van deze feiten. Naast enkele andere verplichte feiten, neemt de bestuurder in het bestuursverslag tevens een beschrijving op van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd. Maar hoe zit het dan met deze Europese Algemene verordening gegevensbescherming? Allemaal vragen die aan de orde komen tijdens het komende Nationaal Privacy Event in Den Haag.
In het bestuursverslag verantwoordt het bestuur zich over het gevoerde beleid en blikt het vooruit op de beleidsplannen voor het komende jaar. Het gevoerde beleid omvat de maatregelen die zijn genomen om risico’s en onzekerheden te verkleinen of zelfs volledig te mitigeren. Risico’s en onzekerheden kunnen uiteenlopende oorzaken hebben. Zo’n oorzaak kan betrekking hebben op veranderende wet- en regelgeving.
Veranderingen wet- en regelgeving inzake gegevensbescherming en privacy
Per 1 januari 2016 maakt de Wet meldplicht datalekken (Wmd) onderdeel uit van de bestaande Wet bescherming persoonsgegevens (Wbp). Per 24 mei 2016 is de Europese Algemene verordening gegevensbescherming (Avg) in werking getreden en deze zal per 25 mei 2018 van toepassing zijn. De veranderingen in de Wbp als gevolg van de Wmd, maar nog meer de veranderingen in de Avg, hebben verstrekkende consequenties voor iedere verantwoordelijke en voor iedere bewerker . Artikel 14 Wbp veroorzaakt omkering van de bewijslast en ketenaansprakelijkheid wordt geïntroduceerd waarbij de verantwoordelijke (Met verantwoordelijke doelt de wetgever op het bestuur of directie, met de ultieme, veelal statutaire zeggenschap) niet alleen toeziet op naleving van de Wbp door de bewerker ( De terminologie volgens de Avg voor ‘verantwoordelijke’ en ‘bewerker’: ‘verwerkingsverantwoordelijke’ en ‘verwerker’), maar daar ook verantwoordelijk en aansprakelijk voor is.
Artikel 24 Avg introduceert daarbij de ‘Notion of Accountability’ (NoA). Dit houdt in dat de verantwoordelijke passende technische en organisatorische maatregelen neemt ter bescherming van persoonsgegevens en dat hij tevens waarborgt en aantoont dat die maatregelen in overeenstemming met de Avg worden uitgevoerd. Artikel 28 Avg voegt daar aan toe dat de verantwoordelijke uitsluitend een beroep doet op bewerkers die afdoende garanties bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen opdat de verwerking aan de vereisten van de Avg voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
Het perspectief van artikel 24 Avg is dat de verantwoordelijke de ‘effectieve werking’ van technische en organisatorische maatregelen moet kunnen aantonen en wel op continue basis. Technische en organisatorische maatregelen zijn bijvoorbeeld het veilig transporteren van persoonsgegevens van verwerking naar opslag; het beveiligen van de gegevens zelf tijdens dit transport en de opslag om te voorkomen dat persoonsgegevens onbedoeld worden bewerkt of zelfs worden ontvreemd. Verwerking en opslag kunnen plaatsvinden binnen het computercentrum op locatie van de organisatie, waarbij het transport binnen het Local Area Netwerk plaatsvindt. In toenemende mate zien we dat verwerking en opslag hosted of in de cloud plaatsvinden, dus buiten de locatie van de organisatie. Hierbij zijn de maatregelen van transport veel complexer en ook de maatregelen van beveiliging zijn dan veel complexer.
De meetlat waarlangs verantwoording wordt afgelegd
De veranderde wet- en regelgeving maakt dat de verantwoordelijke zich in het bestuursverslag wil verantwoorden omtrent de door hem genomen maatregelen om de nieuwe risico’s uit de Avg te mitigeren en aan te tonen dat hij voldoet aan de NoA. Daartoe behoren ook de genomen passende technische en organisatorische maatregelen waarmee hij kan waarborgen en aantonen dat deze maatregelen in overeenstemming met de Avg worden uitgevoerd. Deze verantwoording is nodig om zijn controlerend (externe) accountant in staat te stellen om het bestuursverslag te controleren en te voorzien van een goedkeurende accountantsverklaring ten behoeve van het maatschappelijk verkeer. Tot het maatschappelijk verkeer behoren voor het afleggen van de verantwoording in het kader van de NoA in ieder geval de betrokkenen waarvan persoonsgegevens worden verwerkt, de verbonden partijen incl. klanten en bewerkers en de Autoriteit Persoonsgegevens. De verantwoordelijke is daarom degene die verantwoording namens de organisatie aflegt.
De verantwoordelijke wil daarbij aantonen aan welke van de noodzakelijke stappen inmiddels wordt voldaan. Men zou kunnen zeggen, is het gewenste niveau van volwassenheid gerealiseerd om aan de wet- en regelgeving te voldoen zoals is voorzien in de te realiseren doelstellingen voor het jaar waarover hij verantwoordt. Daarbij heeft de verantwoordelijke voor het formuleren van dat beleid en na de realisatie de volgende meetlat ofwel niveaus van volwassenheid voor ogen, welke zijn:
0. De verantwoordelijke heeft erkend dat hij maatregelen wil gaan nemen en daartoe de eerste initiatieven ontplooid;
1. Er is een besef omtrent gegevensbescherming. Op hoofdlijnen zijn de grenzen van verantwoordelijkheid en aansprakelijkheid in kaart gebracht en er is een Functionaris Gegevensbescherming (FG) aangesteld. Het proces van verinnerlijken is gaande;
2. Op systematische wijze zijn de verwerkingen van persoonsgegevens in kaart gebracht. Wijzigingen worden adequaat beheerd. Onderzoeken worden gepland en uitgevoerd. De uitkomsten worden gerelateerd aan het overzicht en inzicht in de verwerkingen;
3. Inzicht en overzicht in de verantwoordelijkheden en aansprakelijkheden alsmede in de verwerkingen en de compliance wordt uitgebreid naar de bewerkers. Er zijn duidelijke en transparante afspraken tussen verantwoordelijke en bewerkers en tussen bewerkers onderling gemaakt. Er is een basis gelegd voor het voorkomen van bestuurlijke en civielrechtelijke procedures;
4. Actieve en passieve rechten van de betrokkene worden gefaciliteerd. De organisatie (verantwoordelijke of bewerker) kan zich hierover maatschappelijk verantwoorden;
5. De betrokkene (klant, medewerker, patiënt of individu) is “in control” over zijn / haar persoonsgegevens. De organisatie (verantwoordelijke of bewerker) heeft de voorwaarden voor eerlijk zaken doen gecreëerd en houdt die ook in stand;
6. Gegevensbescherming en privacy zijn “ingebouwd” in de organisatie. Niet alleen in de informatiesystemen maar ook in de administratieve organisatie en het handelen van medewerkers, leveranciers en klanten. De werking van de getroffen maatregelen en mechanismen kan getoond worden. De organisatie is “accountable”. De organisatie heeft gegevensbescherming zodanig verankerd in de bedrijfsvoering dat gegevensbescherming onderdeel is geworden van het risicomanagement dat een verplicht onderdeel is van de jaarrekening;
7. Er is sprake van een heldere beslissingsstructuur voor beleid en aanpak voor gegevensbescherming en privacy als onderdeel van het in standhouden van een verantwoorde bedrijfshuishouding.
Vanuit artikel 28 Avg wil de verantwoordelijke ook weten en kunnen aantonen dat zijn bewerkers op dezelfde wijze zichzelf de maat nemen in het afleggen van verantwoording in hun bestuursverslag. Daarbij zal hij vaststelling daarvan willen zien in de accountantsverklaring bij het bestuursverslag van de bewerker.
Maar hoe wordt de verantwoording nu georganiseerd?
De verantwoordelijke, bestuurder/directeur, legt nu dus verantwoording af dat hij voldoet aan de NoA. En zoals aangegeven doet hij dit in het bestuursverslag welke door de controlerend accountant wordt voorzien van een accountantsverklaring. Maar is hij degene die deze verantwoording in het bestuursverslag opstelt?
Artikel 38 lid 3 Avg stelt: ‘De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.’
Intern is de Functionaris Gegevensbescherming (FG) de deskundige en de intern toezichthouder op het gebied van gegevensbescherming en de ingestelde technische en organisatorische maatregelen. De FG is ook degene die toeziet op het juist en effectief documenteren van de effectieve werking van genomen technische en organisatorische maatregelen in de Privacy & Security boekhouding waarmee de verantwoordelijke compliance met de Avg in het algemeen en NoA in het bijzonder aantoont. Hierover brengt de FG verslag uit aan de bestuurder van de organisatie. Verslag uitbrengen wordt zo geïnterpreteerd dat periodiek (bijv. wekelijks) verslag wordt uitgebracht in het kader van de voortgang van de te nemen maatregelen, maar ook de realisatie van het blijvend kunnen waarborgen en aantonen dat deze maatregelen overeenkomstig de Avg worden uitgevoerd. Daarnaast is het vanzelfsprekend dat de bestuurder de FG vraagt ten behoeve van het bestuursverslag de verantwoording voor te bereiden. De FG is daarbij dus de aangewezen persoon die intern de verslaglegging doet in het kader van de NoA. De FG bereidt daarmee het door de bestuurder extern afleggen van verantwoording inzake de NoA voor. De FG is daarmee tevens de contactpersoon voor dit dossier richting de controlerend accountant. In het plaatje is dit tot uitdrukking gebracht, waarbij de pijlen zowel een schriftelijke als een mondelinge uitwisseling betreffen in de communicatie tussen FG, de bestuurder en de controlerend accountant.
Is het nodig alle niveaus van volwassenheid te hebben bereikt voordat verantwoording kan worden afgelegd?
Dat is een belangrijke vraag. Waar het om gaat is dat de verantwoordelijke bezig is met het instellen van noodzakelijke maatregelen om compliance met de NoA te kunnen aantonen. En dat doet hij aan de hand van de door hemzelf vastgestelde doelstellingen voor het verantwoordingsjaar. In die doelstellingen heeft hij aangegeven welk ambitieniveau ofwel niveau van volwassenheid hij in het kader van de Avg wil bereiken. Als hij zich daarin goed kan verantwoorden dan doet hij dit overeenkomstig dit niveau van volwassenheid. Het kunnen verantwoorden over een bereikt niveau van volwassenheid is geen garantie dat er zich geen incident kan voordoen. Wel kan de bestuurder aangeven dat hij op weg is passende maatregelen te nemen om volledige compliance met de Avg te kunnen aantonen binnen de beschikbare middelen. En hij verantwoordt in het bestuursverslag tevens dat hij heeft vastgesteld dat zijn bewerkers dit kunnen aantonen middels het bestuursverslag voor 2016 voor hun eigen organisatie. Heeft u de checklist voor de verantwoording in het bestuursverslag al opgesteld?
De auteur, André Biesheuvel, is Managing Partner van Duthler Associates.
Verantwoording gegevensbescherming
25 mei 2017