Zijn jij en je medewerkers al bezig om het AVG-proces op jouw kantoor te implementeren? Accountability is hierbij een kernbegrip, maar om dat begrip goed te kunnen interpreteren, moet je weten welke rol je pakt: verantwoordelijke of bewerker?
In mijn vorige blog schreef ik over hoe je met een goed AVG-proces op jouw kantoor boetes kunt voorkomen. Om even je geheugen op te frissen: AVG staat voor Algemene Verordening Gegevensbescherming (AVG).
Accountability in AVG
In deze blog ga ik in op het onderwerp 'accountability'. Wat houdt dat eigenlijk in? Het Nederlandse woord 'verantwoording' klinkt misschien soft en dekt wellicht niet helemaal de lading. Maar uiteindelijk is het wel waar het om gaat. Het afleggen van verantwoording in het bewerken van gegevens van jouw klanten.
Het is meer dan je verantwoordelijk vóélen, je moet ook laten zíén dat je verantwoord met persoonsgegevens omgaat! Om dat te kunnen laten zien, voorziet de AVG in bepaalde verplichte maatregelen die ondernemingen moeten nemen om aan het accountability vereiste te voldoen. Onderstaand op een rijtje:
- het bijhouden van een register van verwerkingsactiviteiten;
- het uitvoeren van een data protection impact assessment (DPIA)*;
- het bijhouden van een register van datalekken die zijn opgetreden;
- het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor gegevensverwerking wanneer jij voor een verwerking toestemming nodig hebt.
- wanneer onduidelijk is of je verplicht bent om een functionaris voor gegevensbescherming (FG)** aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor gekozen hebt om al dan niet een functionaris voor gegevensbescherming aan te stellen.
Bovenstaande onderwerpen zal ik in mijn volgende blogs uitvoeriger bespreken.
Rol verantwoordelijke of bewerker
Alvorens te bekijken wat je zou moeten doen om te voldoen aan AVG accountability, moet je eerst weten welke rol je als bedrijf neemt. De verplichtingen verschillen namelijk wanneer je ‘verantwoordelijke’ of ‘bewerker’ bent. Voor accountants is dit redelijk diffuus, want accountants kunnen van rol wisselen. Voor een bepaalde opdracht bepaalt de inhoud van de opdracht welke rol de accountant heeft.
Bepaal je zelf het doel en de middelen van de verwerking of bepaalt de klant dat? Dit is lastig te bepalen. Het doel kan zijn ‘boekhouding doen van verschillende bedrijven’ en het middel kan zijn ‘bepaalde boekhoudsoftware’. Als jij als accountant aanbieder van de boekhoudsofware bent, bepaal jij dan het doel en de middelen van de gegevensverwerking of ben je nog slechts uitvoerend in opdracht van de klant? Gelukkig heeft de Nederlandse Beroepsorganisatie van Accountants (NBA) ons wat handreiking gegeven op dit gebied.