‘Accountability’ is het toverwoord in de ‘General Data Protection Regulation’ (GDPR), zoals de Europese privacywetgeving in het Engels heet. Meer dan nu het geval is, moeten organisaties zelf aantonen dat ze zich aan de wet houden. Deze ‘verantwoordingsplicht’ komt al in
Brede verplichting
Het principe van accountability gaat veel verder dan het bijhouden van gegevensverwerkingen. Met documenten moet u laten zien dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen en hoe u die maatregelen heeft geïmplementeerd.
Kiest u in bepaalde gevallen bijvoorbeeld niet voor encryptie of pseudonimisering? Dan moet uit de documentatie duidelijk naar voren komen waarom niet. Heeft een betrokkene vragen over bepaalde verwerkingen? Dan dient u die keuzes in heldere en begrijpelijke taal toe te kunnen lichten.
Gedegen voorbereiding
Accountability vergt een gedegen voorbereiding. Deze stappen helpen u bij het afleggen van verantwoording:
1. Breng het ‘register van gegevensverwerkingen’ op orde
Data kunt u pas beschermen als u weet waar ze zijn. Ga na of de bestaande verwerkingen van persoonsgegevens zijn gedocumenteerd, en of die documentatie voldoet. Hanteer dezelfde aanpak ook voor toekomstige verwerkingen. Dit bent u op basis van
2. Voer Data Protection Impact Assessments uit
Hiermee brengt u de risico’s van de verwerking van persoonsgegevens goed in kaart. Ook bij de ontwikkeling van een nieuw systeem of applicatie moet bij iedere wijziging een DPIA worden uitgevoerd. Begin april heeft de Artikel 29-werkgroep, een onafhankelijk Europees adviesorgaan op het gebied van privacy, richtlijnen voor de DPIA gepubliceerd. Hierin staat wanneer u een DPIA moet uitvoeren en waaraan die moet voldoen.
3. Evalueer bestaande verwerkersovereenkomsten
Volgens de AVG zijn alle partijen verantwoordelijk voor de bescherming van persoonsgegevens, dus zowel de organisatie die de persoonsgegevens verzamelt als de ‘externe verwerker’. De contracten met afnemers en verwerkers dient u dus goed tegen het licht te houden. Is bijvoorbeeld duidelijk hoe de verwerker omgaat met persoonsgegevens?
4. Documenteer uw processen
In het geval van bijvoorbeeld een datalek is het zaak dat de organisatie adequaat reageert, zodat de omvang van het lek beperkt blijft. De processen hiervoor moeten duidelijk zijn. Ook moeten de procedures voor het melden van een datalek bij de Autoriteit Persoonsgegevens helder zijn. Het is raadzaam alle procedures regelmatig te oefenen en evalueren en eventuele wijzigingen goed te documenteren.
5. Stel een Data Protection Officer (DPO) aan
Bijvoorbeeld organisaties die op grote schaal bijzondere persoonsgegevens verwerken, zijn verplicht om een ‘functionaris voor de gegevensbescherming’ aan te stellen. Maar ook als die verplichting er niet is, kan het raadzaam zijn om een DPO te benoemen. Volgens de Artikel 29-werkgroep is de DPO ‘a cornerstone of accountability’ en kan het aanwijzen daarvan compliance bevorderen.
Verantwoordelijkheid nemen
Een organisatie moet de verantwoordelijkheid nemen en ook echt willen voldoen aan de wettelijke regels. Voldoet een organisatie niet aan deze verantwoordingsplicht, dan kan dat verstrekkende gevolgen hebben. Zo staat op het niet accountable zijn een maximale boete van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.
Ook bestaat het risico dat een slachtoffer van een datalek de schade op u verhaalt. Als u dan uw papieren niet op orde heeft, staat u al met 1-0 achter.
Meer weten over uw accountability onder de AVG? Lees dan onze whitepaper.
