Accountability in AVG: een accountant verwerker of verantwoordelijke?

Zijn jij en je medewerkers al bezig om het AVG-proces op jouw kantoor te implementeren? Accountability is hierbij een kernbegrip, maar om dat begrip goed te kunnen interpreteren, moet je weten welke rol je pakt: verantwoordelijke of bewerker?

In mijn vorige blog schreef ik over hoe je met een goed AVG-proces op jouw kantoor boetes kunt voorkomen. Om even je geheugen op te frissen: AVG staat voor Algemene Verordening Gegevensbescherming (AVG).

Accountability in AVG

In deze blog ga ik in op het onderwerp 'accountability'. Wat houdt dat eigenlijk in? Het Nederlandse woord 'verantwoording' klinkt misschien soft en dekt wellicht niet helemaal de lading. Maar uiteindelijk is het wel waar het om gaat. Het afleggen van verantwoording in het bewerken van gegevens van jouw klanten.
Het is meer dan je verantwoordelijk vóélen, je moet ook laten zíén dat je verantwoord met persoonsgegevens omgaat! Om dat te kunnen laten zien, voorziet de AVG in bepaalde verplichte maatregelen die ondernemingen moeten nemen om aan het accountability vereiste te voldoen. Onderstaand op een rijtje:

• het bijhouden van een register van verwerkingsactiviteiten;
• het uitvoeren van een data protection impact assessment (DPIA)*;
• het bijhouden van een register van datalekken die zijn opgetreden;
• het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor gegevensverwerking wanneer jij voor een verwerking toestemming nodig hebt.
• wanneer onduidelijk is of je verplicht bent om een functionaris voor gegevensbescherming (FG)** aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor gekozen hebt om al dan niet een functionaris voor gegevensbescherming aan te stellen.

Bovenstaande onderwerpen zal ik in mijn volgende blogs uitvoeriger bespreken.

Rol verantwoordelijke of bewerker

Alvorens te bekijken wat je zou moeten doen om te voldoen aan AVG accountability, moet je eerst weten welke rol je als bedrijf neemt. De verplichtingen verschillen namelijk wanneer je ‘verantwoordelijke’ of ‘bewerker’ bent. Voor accountants is dit redelijk diffuus, want accountants kunnen van rol wisselen. Voor een bepaalde opdracht bepaalt de inhoud van de opdracht welke rol de accountant heeft.

Bepaal je zelf het doel en de middelen van de verwerking of bepaalt de klant dat? Dit is lastig te bepalen. Het doel kan zijn ‘boekhouding doen van verschillende bedrijven’ en het middel kan zijn ‘bepaalde boekhoudsoftware’. Als jij als accountant aanbieder van de boekhoudsofware bent, bepaal jij dan het doel en de middelen van de gegevensverwerking of ben je nog slechts uitvoerend in opdracht van de klant? Gelukkig heeft de Nederlandse Beroepsorganisatie van Accountants (NBA) ons wat handreiking gegeven op dit gebied.

Voer je een assurance-opdracht uit of stel je een jaarrekening samen? Dan is de kans groot dat je de rol van verantwoordelijke neemt. Doe je slechts salarisadministratie, dan ben je waarschijnlijk bewerker. Het is altijd van belang dat je per opdracht de omstandigheden van het geval in overweging neemt.

Gegevensverwerking bepalen

Kortom, voordat je gaat kijken hoe je aan het accountability vereiste van de AVG kunt voldoen, moet je eerst weten welke rol je pakt. Voor accountants is dit wisselend, daarom moet per opdracht bekeken worden welke taken opgepakt worden en of deze rijmen met de rol van verantwoordelijke of van bewerker. Pas als dat duidelijk is, kun je per gegevensverwerking bepalen, waar je aan moet voldoen.
In mijn volgende blog vertel ik je graag meer over deze verplichtingen.

* DPIA
** FG