AVG Accountability


(c) by AdValor. 

In het kort:

    • Blijvend en aantoonbaar de verwerking van persoonsgegevens beheersen is een eis; artikel 5(2) AVG.

Privacyprogramma uitgerold en nu?

Nadat wij als AdValor Privacy Solutions bij een groot aantal klanten privacy programma’s hebben geïnitieerd, uitgevoerd en begeleid komt vaak de vraag op: en wat nufgeschreven, een DPIA-procedure is ingericht en werknemers zijn getraind. Met andere woorden, er bestaat een privacyframework zoals dat wordt genoemd.

Aantoonbaar verantwoording kunnen afleggen (accountability)

In artikel 5, tweede lid van de AVG staat een belangrijk beginsel genoemd dat relevant is voor de periode na initiële implementatie.

Artikel 5 lid 2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (“verantwoordingsplicht”).

De verwerkingsverantwoordelijke of controller is niet alleen verantwoordelijk dat aan alle principes genoemd in artikel 5(1) wordt voldaan maar moet ook op enig moment kunnen laten zien op welke manier hij persoonsgegevens verwerkt conform de AVG (ook wel accountability genoemd). Dat zijn dus twee elementen: er dient transparantie te bestaan EN uw mate van compliance dient u te kunnen aantonen.

Als er een goed privacyprogramma is uitgerold en er een stevig fundament staat, dan wordt min of meer vanzelf voldaan aan een aantal belangrijke eisen van accountability, omdat het fundament rust op het privacy-framework. 

Intermezzo
Het privacy framework bestaat uit een systeemregister, dat op elk moment bereikbaar moet zijn, evenals de gegevensbeschermingseffectbeoordelingen “DPIA’s” die inzicht moeten geven in de details van de risicovolle verwerkingen van (extra gevoelige) persoonsgegevens. Maar ook zaken als:

  • een vaststelling en uitvoering van gegevensbeschermingsbeleid in een privacy policy;
  • een benadering van “gegevensbescherming door systeem ontwerp” ofwel “Privacy by Design / Default”;
  • schriftelijke contracten opstellen met organisaties die namens u persoonsgegevens verwerken;
  • het implementeren van passende beveiligingsmaatregelen;
  • het registreren en indien nodig melden van inbreuken op persoonsgegevens / data lekken;
  • het uitvoeren van gegevensbeschermingseffectbeoordelingen voor gebruik van persoonlijke gegevens die kunnen resulteren in een hoog risico voor de belangen van individuele personen;
  • benoeming van een functionaris voor gegevensbescherming die ook actief een privacy organisatie heeft opgezet, met bijvoorbeeld een privacy team.

De verantwoordingsverplichting houdt echter niet op bij het inrichten van bovenstaande en andere maatregelen. Deze maatregelen die u hebt ingevoerd moeten worden herzien en waar nodig bijgewerkt. Dat betekent continu aandacht van de verantwoordelijken in de organisatie, zoals het management en de aangestelde DPO en het privacy team.

Privacy control framework

Een middel dat zowel de DPO als het verantwoordelijk management kan helpen om blijvend en aantoonbaar aan de verplichtingen van de AVG te voldoen is een privacy control framework. Dit is een op maat gemaakt kader (interne norm) waarin beschreven staat hoe een onderneming invulling geeft aan de vereisten uit de AVG. Aan dit kader kunnen zaken gekoppeld worden als:

  • periodiek herijking van elementen uit het kader zoals het privacy statement;
  • interne of externe audits op de naleving van de intern vastgestelde norm;
  • evalueren of qua ontwerp nog steeds wordt voldaan aan de eisen uit de AVG bij bijvoorbeeld veranderende omstandigheden;
  • KPI’s die het management inzicht geeft in de mate van naleving van de AVG en een middel is om de werkzaamheden van de DPO aan te sturen en te evalueren.

Hoe ziet een Privacy control framework er uit?

Binnen een privacy control framework worden voor de AVG relevante processen gedefinieerd op management en operationeel niveau. Voor deze processen worden de doelstellingen en risico’s in kaart gebracht en aan de risico’s worden maatregelen gekoppeld ter beheersing van het risico. Vervolgens kan een DPO de naleving van deze maatregelen monitoren en hierover rapporten aan het management. Deze rapportage kan zaken bevatten als:

  • voortgang periodieke update verwerkingsregister;
  • aantal gemelde datalekken;
  • aantal gedane inzage verzoeken;
  • uitkomsten van audits bij verwerkers.

Wilt u meer weten over de mogelijkheden om een praktisch privacy control framework op te zetten neem dan contact op met AdValor Privacy Solutions.