Director
Caroline Willemse RE AA RFG

Caroline Willemse RE AA RFG

Caroline is functionaris voor gegevensbescherming en IT auditor bij Duthler Associates. Caroline is gespecialiseerd in de financiële dienstverlening en leidt de vestiging Amsterdam.

Is een bestuurder ná een audit Avg ‘veilig’ voor een persoonlijke boete?

Aanleiding en introductie

De Europese Algemene verordening gegevensbescherming (hierna Avg) is van toepassing sinds mei 2018 en dat kan bestuurders zenuwachtig maken. Er kunnen flinke boetes uitgedeeld worden aan het bedrijf of de instelling maar ook aan bestuurders zelf. En wie verkoopt er nu graag de boot? Er zijn accountantskantoren die een goede nachtrust aanbieden door het uitvoeren van een audit op de naleving van de Avg. Sommige accountantskantoren beweren zelfs hiervoor gecertificeerd te zijn. Kunt u na een audit inderdaad rustig slapen en uw boot behouden?

Om deze vragen te kunnen beantwoorden nemen wij u eerst mee naar de wettelijke vereisten en de persoonlijke boete om vervolgens accountability en auditability uit te leggen.

Wettelijke vereisten uit Avg in kort bestek

De Europese Algemene verordening gegevensbescherming (Avg; vaak wordt de Engelse afkorting GDPR gebruikt) heeft bedrijven en instellingen die als verwerkingsverantwoordelijke of verwerker kunnen worden gekwalificeerd, verantwoordelijk gesteld om de plichten uit de Avg na te leven en de goede naleving aantoonbaar voor het maatschappelijk verkeer te maken (artikel 5 lid 2 Avg). Het gaat in deze wet om het beschermen van persoonsgegevens van de betrokkene, dat is degene wiens persoonsgegevens het betreft.

In meerdere artikelen van de Avg komt de verantwoordelijkheid vervolgens van de verwerkingsverantwoordelijke aan bod, met name in artikel 24 lid 1. Dit artikel wordt ook wel de ‘notion of accountability’ genoemd omdat aan de verwerkingsverantwoordelijke hier ‘comply and demonstrate’ (compliance met de wetgeving) wordt opgelegd.

Het aantonen van de naleving van de Avg kan niet zonder bijbehorende documentatie. De Avg schrijft onder meer diverse registers voor, zoals het register van verwerkingen en het register van datalekken, maar ook andere vastleggingen zijn nodig. In artikel 28 Avg wordt ook aan de verwerker diverse verplichtingen opgelegd waaronder de verplichting om de verwerkingsverantwoordelijke te voorzien van informatie om de naleving van de AVG aan te tonen. De verwerker heeft op dit punt ook een documentatieplicht.

Persoonlijke boete

De Autoriteit Persoonsgegevens (AP) heeft ruime sanctiebevoegdheden toegekend gekregen in de Avg. Een boete kan oplopen tot maximaal € 20 miljoen of 4% van de wereldwijde jaarlijkse omzet van een organisatie. Hier bovenop kan ook een persoonlijke boete opgelegd worden aan bestuurders van de organisatie. De AP heeft nog geen persoonlijke boetes opgelegd. De Autoriteit Consument en Markt (ACM) wel in de categorie ‘feitelijk leidinggevenden’. Sylvia Vinken[1] is in een artikel hierop ingegaan en zij maakt de vergelijking tussen de uitspraken van de ACM bij persoonlijke boetes en de kans dat de AP dit ook zal doen indien de verplichtingen uit de Avg niet worden nagekomen. Die kans acht zij aannemelijk met de aantekening dat de AP hier niet te lichtvaardig te werk kan gaan maar anderzijds dat de bewijslast niet onoverkomelijk is.

In het aangehaalde artikel wordt ook ingegaan of de persoonlijke boete dan ook persoonlijk betaald moet worden. Mevrouw Vinken stelde dat er geen wettelijk betalingsverbod is, maar dat de ACM boetes heeft verhoogd in gevallen waarin de werkgever bereid was om de persoonlijke boetes van haar werknemers te betalen. Het betalen van een persoonlijke boete kan worden beschouwd als een boete verhogende omstandigheid.  Bij de parlementaire behandeling van de Wet meldplicht datalekken heeft de wetgever destijds opgemerkt dat het in strijd is met het punitieve karakter van een boete als de werkgever de boete zou betalen.[2] Daarbij kan de fiscus deze betaling als een vorm van loon aanmerken waarover dan weer belasting afgedragen moet worden.

Er ligt dus aardig wat op het bord van de bestuurder. Uiteraard zoekt u naar mogelijkheden om de risico’s voor uw organisatie en uzelf te beperken. Deze mogelijkheden zijn er. Het vergt wel een omdenken van u als bestuurder. De Avg stelt namelijk de betrokkene centraal en u moet steeds kunnen waarborgen en aantonen dat u in het belang van de betrokkene gehandeld heeft. Het aantoonbaar verantwoording afleggen wordt ‘accountability’ genoemd. Hieronder leggen we uit wat hiermee bedoeld wordt.

Accountability

Uit het voorgaande kan gesteld worden dat een organisatie (verwerkingsverantwoordelijke of verwerker), maar zeker ook leidinggevenden ervoor moeten zorgdragen dat de vereisten van de Avg aantoonbaar worden nagekomen. Alleen dan kan een organisatie accountable zijn. Dit vereist een administratie die ‘evidence based’ is ingericht. Dat is belangrijk en nodig omdat de Avg een omgekeerde bewijslast kent. Maar hoe pak je dat aan? Hieronder volgt een methodiek voor een aanpak.

De basis is een normenkader dat gebaseerd is op de Avg, aanpalende en sectorale wetgeving, en de hieruit afgeleide baseline waarin de passende technische en organisatorische maatregelen zijn beschreven. Deze baseline kan nog verder aangevuld worden met normen van de eigen organisatie.

Dat is simpel geschreven maar een hele kluif om dat te bereiken. Een goed opgeleide FG is hierbij nodig alsook vaak (externe) juridische hulp. Gelukkig hoeft niet alles zelf ontwikkeld te worden, er zijn sectorale normenkaders en baselines beschikbaar in de markt waarop een abonnement genomen kan worden.

Maar dan zijn we er nog niet. Er zal moeten worden aangetoond dat minimaal aan de baseline wordt voldaan. Hiervoor is een privacy administratie nodig waaruit moet blijken dat de technische en organisatorische maatregelen effectief hebben gewerkt. Deze administratie heeft weer input nodig vanuit de security administratie, de registers, de ketenpartners enz. Om aan de omgekeerde bewijslast te kunnen voldoen zal op elk moment de werking van de maatregelen aangetoond moeten kunnen worden. Dat is op dit moment voor veel organisaties niet haalbaar. In het verleden zijn systemen gebouwd waarin controleerbaarheid niet als deliverable is meegenomen. Maar ook bij het opzetten van operationele processen is controleerbaarheid niet meegenomen. Niet alleen bij de organisatie zelf kan dit niet op orde zijn maar ook bij een of meerdere ketenpartners. Dit maakt dat organisaties (of zelfs een hele keten) niet of niet geheel kunnen voldoen aan de vereisten van de Avg.

Daarom wordt aanbevolen om volwassenheidsniveaus te koppelen aan de baseline. Hierdoor kan per categorie uit de baseline aangegeven worden in hoeverre aan de vereisten wordt voldaan door hier een volwassenheidsniveau aan toe te kennen. De tabel van volwassenheidsniveaus kan bestaan uit 5 of 7 niveaus, al naar gelang gebruikelijk is in de sector. Nadat per categorie het volwassenheidsniveau is bepaald, kan een overkoepelend volwassenheidsniveau worden bepaald. Het verslag van dit intern onderzoek en de uitkomst (het niveau) wordt een verantwoordingsverslag of ‘declaration of accountability (DoA)’ genoemd. Het verslag bevat tevens een mededeling van de leiding en de FG en wordt tevens voorzien van een mededeling van de interne accountant. Ook een extern accountant kan de rol van intern accountant op zich nemen. Een samenvatting hieruit kan worden opgenomen in het bestuursverslag. Hiermee legt de organisatie verantwoording af aan het maatschappelijk verkeer en in het bijzonder aan de betrokkene.

Het bestuur heeft hiermee aangegeven in hoeverre de organisatie voldoet aan de vereisten van de Avg en heeft aan een ieder, zoals de betrokkene en de ketenpartner, helder gemaakt welk niveau is bereikt. Hiermee heeft de organisatie en het bestuur hun risicoaansprakelijkheid beperkt. Dit maakt dat zij tegenover derden (toezichthouder, betrokkene) dit als verweer kan meenemen bij een eventuele aanspraak.

Met de DoA heeft de organisatie een verantwoording afgelegd. Deze verantwoording is de basis voor de auditability die gecertificeerd kan worden.

Certificering

De Avg[3] stimuleert certificering waarmee aangetoond kan worden dat verwerkingsverantwoordelijken en verwerkers bij verwerkingen overeenkomstig de vereisten van de Avg handelen. Deze certificering moet plaatsvinden op de accountability (op de DoA) en kan dienen ter ondersteuning van de audit van de jaarrekening. Met de certificering kunnen de accountantskosten zeer beperkt blijven en hoeft er geen werk dubbel gedaan te worden.

Hoewel de Avg de mogelijkheid tot certificering biedt, is er nog geen organisatie in Nederland die geaccrediteerd is om certificaten inzake de Avg af te geven[4]. De Raad van Accreditatie (RvA) is aangewezen als instantie die organisaties deze bevoegdheid mag verlenen en de RvA zal hierbij de AP betrekken. Het kan mogelijk nog maanden duren alvorens de eerste organisaties geaccrediteerd zullen zijn om te certificeren.

Auditability

Wij zijn van mening dat het accountable zijn van een organisatie voorwaardelijk is om een audit uit te kunnen voeren. Er is dan weliswaar een object van onderzoek ‘het voldoen aan de vereisten van de Avg’ maar als het afgeleid object van onderzoek ‘de accountability’ er niet is, moet de audit gestaakt worden. De accountant kan niet zelf de accountability van de organisatie vaststellen omdat dan een belangenverstrengeling zou kunnen ontstaan of de indruk daartoe.

Indien de DoA al gecertificeerd is, moet de organisatie goed nagaan wat zij nog als toegevoegde waarde uit de audit wil halen. In ieder geval kunnen de accountantskosten flink dalen als een organisatie haar eigen accountability op orde heeft.

Tenslotte

We hebben aangegeven dat de AP een persoonlijke boete kan opleggen aan leidinggevenden. Een audit kan dit niet voorkomen want een organisatie en diens leidinggevenden worden hierdoor niet ontslagen van de eigen verplichting om aan de Avg te voldoen. De enige manier om het aansprakelijkheidsrisico te beperken is het zich verantwoorden middels een verantwoordingsverslag dat een juist beeld geeft van het niveau van beschermen van de persoonsgegevens. Dit bereik je niet door een checklist af te lopen, daar kom je misschien een keer mee weg bij een onervaren accountant maar het is geen structurele oplossing. Het vergt wel een goed overzicht van de privacy en securitymaatregelen en inzicht dat deze (continu!) effectief hebben gewerkt. Het inregelen hiervan kost tijd, geld en energie. Begin met het toetsen van de bestaande processen en IT-ondersteuning en de awareness aan de vereisten van de Avg. Laat hiervoor een nulmeting uitvoeren door een gekwalificeerde Avg deskundige en stel een verbeterplan op. En zorg bij nieuwe processen of IT-ondersteuning dat bij implementatie aan de vereisten wordt voldaan: privacy by design/ by default en security by design. Besteed alleen diensten uit aan verwerkers die aantoonbaar aan de Avg kunnen voldoen en koop alleen producten die voldoen aan de Avg. Indien zij nog niet zover zijn, vraag dan naar hun groeipad.

Alleen bij een voldoende privacy en security administratie kan een Avg-audit worden uitgevoerd. Hoe beter deze administratie is, des te lager kunnen de accountantskosten zijn. In het kader van de controle van de jaarrekening moet de accountant zich een oordeel vormen over de naleving van de vereisten van de Avg maar deze controle behoort te steunen op (en zich te beperken tot) het verantwoordingsverslag van de organisatie waarin onder andere de FG verantwoording over diens wettelijke taken aflegt. Dan is er geen basis voor aanvullende accountantskosten op de reguliere kosten voor controle van de jaarrekening.

Let wel. De AP kan uw organisatie en u als bestuurder een boete opleggen. De betrokkene, wiens persoonsgegevens worden verwerkt, heeft een civiel recht om schade te verhalen op uw organisatie, net als uw ketenpartners.

Wij wensen u een behouden vaart! 

[1] Mr. S.M.M.C. Vinken CIPP/E; P&I afl. 4 – augustus 2017
[2] In geval een punitieve sanctie wordt opgelegd, is er sprake van een schending van de openbare orde. Herstel van die openbare orde kan alleen als er leed wordt toegevoegd dat door de overtreder wordt gevoeld. Als de werkgever de boete zou betalen, zou er geen sprake zijn van leedtoevoeging.

[3] Artikel 42 Avg
[4] Meetpunt: september 2018

Caroline Willemse RE AA RFG

Caroline Willemse RE AA RFG

Mail: c.willemse@duthler.nl
Telefoon: +31 0 (70) 392 22 09