DoA White paper
Jan Peeters RE MIM

Jan Peeters RE MIM

Jan is adviseur en IT Auditor bij Duthler Associates. Jan helpt bedrijven en instellingen met nulmetingen, audits en DoA's.

White paper Declaration of Accountability (DoA)

“Een excpliciete ‘in-control statement’ over de ingestelde beheersing van de bescherming van persoonsgegevens”.

Wat is een DoA?

Een Declaration of Accountability hierna DoA) is de verantwoording door een verwerkingsverantwoordelijke of verwerker over de mate waarin zijn organisatie voldoet aan de eisen vanuit de Algemene verordening gegevensbescherming (Avg). Door het verstrekken van een DoA kan u in uw rol als verantwoordelijke of verwerker voor uw organisatie verantwoording afleggen inzake de maatregelen die u heeft genomen ter bescherming van persoonsgegevens. Met een DoA geeft u inzicht in de realisatie van de doelstellingen van uw organisatie ten opzichte van het door u ingestelde beleid en de hiervan afgeleide normen. Hiermee maakt u het handelen en de gemaakte keuzes transparant voor uw belanghebbenden. In feite is de DoA een expliciete ‘In-Control Statement’ van u als verantwoordelijke of verwerker over de ingestelde beheersing van de bescherming van persoonsgegevens in uw organisatie.

Voor wie bestemd?

Als u verantwoordelijke bent, dan gebruikt u de DoA richting de betrokkenen wiens persoonsgegevens u verwerkt waaronder uw medewerkers, uw klanten, Raad van Toezicht en overige stakeholders om aan te geven wat uw organisatie heeft gedaan om persoonsgegevens te beschermen volgens de eisen uit de Avg. Als u verwerker bent, dan gebruikt u de DoA richting uw klant, de verantwoordelijke waarvoor u verwerker bent, en als u een subverwerker bent, gebruikt u de DoA richting uw klant, uw verwerker, en diens klant, de verantwoordelijke.

Maar de DoA heeft nog meer voordelen voor u. De DoA is namelijk ook een goed middel voor communicatie met belangengroeperingen zoals de OR, gebruikersgroepen en patiëntenverenigingen. Door het aantonen dat uw organisatie op een respectvolle en integere wijze omgaat met persoonsgegevens wint u vertrouwen bij deze groeperingen. De DoA is in verkorte vorm een onderdeel van het bestuursverslag bij de jaarrekening. De DoA wordt ook gebruikt als verantwoording richting de Autoriteit Persoonsgegevens (AP) en kan door de accountant worden gehanteerd als onderdeel bij het vaststellen van de governance & compliance cyclus ten behoeve van de controle van de jaarrekening.

Wat kun je met een DoA?

De DoA is in de eerste plaats een verantwoordingsmiddel. Centraal staat het open en eerlijk zijn over de realisatie van het niveau van volwassenheid inzake het beschermen van persoonsgegevens. De DoA geeft ook inzicht in de mate waarin de ketenaansprakelijkheid is georganiseerd. De aansprakelijkheid van u als verantwoordelijke of verwerker neemt toe indien u geen eisen stelt aan de garanties, ten aanzien van het voldoen aan de Avg, te verstrekken door zijn gecontracteerde verwerkers. Niet nakoming van allerlei eisen en verplichtingen, ook door de verwerker(s), verhoogt het risico op aansprakelijkheid vanuit het toezichtsarrangement in de Avg.

Accountability manifesteert zich door de verplichting tot het waarborgen en aantonen dat de verwerking van persoonsgegevens overeenkomstig de Avg wordt uitgevoerd. Anders gezegd, de Avg kent een omgekeerde bewijslast. Het gaat om het treffen van passende technische en organisatorische beheers- en beveiligingsmaatregelen binnen uw organisatie en/ of bij de organisatie waar het verwerken van persoonsgegeven is uitbesteed.

Het gaat ook om het waarborgen en aantonen wanneer de betrokkene zijn/haar rechten uitoefent, of het vaststellen van en uit het onderzoek melden dat een incident gemeld is bij de AP. Steeds moet de belanghebbende kunnen vaststellen en vertrouwen op het ingestelde niveau van volwassenheid van een organisatie.

De leiding van uw organisatie zal zich periodiek willen uitspreken naar het maatschappelijk verkeer, in het bijzonder naar betrokkenen, producenten van informatiediensten en afnemers, over uw bereikte en te handhaven niveau van volwassenheid van gegevensbescherming. Het open en eerlijk zijn daarover gaat uit van volwassenheidsniveaus die gerelateerd zijn aan het voor de organisatie relevante wettelijke kader. Kortom, u biedt met de DoA comfort aan alle belanghebbenden en toezichthouders van uw organisatie over de ingestelde maatregelen voor bescherming van persoonsgegevens. Door de DoA toegankelijk te maken voor deze belanghebbenden legt uw organisatie hierover aantoonbaar verantwoording af.

Welke basisinformatie is nodig voor het opstellen van een DoA?

Basis voor de opstelling van een DoA is de vastlegging van feiten/ bewijs van effectieve werking van de getroffen beheers- en beveiligingsmaatregelen in de privacy & security accounting administratie. Deze administratie is ‘evidence based’ en vormt het afgeleid object van onderzoek voor de functionaris voor gegevensbescherming (FG) en de interne auditor. De FG geeft een mededeling (“het verslag”) af over de uitgevoerde toezichtstaken. De interne auditor stelt de geschiktheid van de administratie vast en gaat “risk based” de ingestelde beheersmaatregelen op de administratie na, bedient zich van inlichtingen van de gecontroleerde en onderzoekt en beoordeelt de DoA inclusief de mededelingen van de leiding en van de FG. De verwerkingsverantwoordelijke betrekt ook de uitkomsten van de door iedere verwerker afzonderlijk afgegeven DoA in diens eigen DoA.

Hoe past de DoA in de governance & compliance structuur van een organisatie?

Het is effectief en kostenefficiënt om de verantwoording over het naleven van de wettelijke regelingen inzake gegevensbescherming en informatieveiligheid plaats te laten vinden binnen de gebruikelijke governance & compliance structuur en cyclus: gedurende het jaar wordt onder verantwoordelijkheid van de leiding een bewijspositie, op basis van een accounting principe, in de privacy & security accounting administratie opgebouwd en wordt hierop interne controle uitgeoefend. De administratie vormt het afgeleide object van onderzoek voor het:

  • Afgeven van de mededeling van de leiding over de naleving daarvan en de mate van beheersing hiervan dat uitgedrukt wordt in een behaald volwassenheidsniveau;
  • Afgeven van de mededeling van de FG over het conform de wet vervullen van diens rol en diens oordeel over het behaalde volwassenheidsniveau door de verantwoordelijke; en
  • Afgeven van de mededeling van de interne auditor inzake de deugdelijkheid van de administratie en volkomenheid van de afgegeven mededelingen van de leiding en de FG.

Hiermee voldoet u aan ‘demonstrate compliance’.

Door aan te sluiten bij de wetgeving en opvattingen over corporate governance en de DoA hierbinnen te positioneren ontstaat synergie tussen de verschillende verticale verantwoordingsmodellen in een horizontale verantwoording rondom de naleving van wet- en regelgeving in het algemeen, en voor het doel de Avg in het bijzonder.[1] Zie het onderstaand schema.

Wie is betrokken bij het opstellen van een DoA?

Het ingestelde niveau van accountability alsmede de wijze van systematisch vastleggen van de feiten/ het bewijs van effectieve werking van de getroffen beheers- en beveiligingsmaatregelen vormen de basis/ grondslag/ object van onderzoek voor het kunnen afgeven van de management mededeling door de leiding van uw organisatie en de mededeling van de FG alsmede het kunnen uitvoeren van interne controle/audit. Internal Audit heeft als 3e lijn een rol in:

  • Het vaststellen dat de administratie met feiten/ bewijs van effectieve werking van de beheers- en beveiligingsmaatregelen gericht op beschermen persoonsgegevens deugdelijk is;
  • Het vaststellen dat de accounting principle deugdelijk en ook adequaat is;
  • Het vaststellen dat de management mededeling van de leiding en de mededeling van de FG “de lading dekt”; en
  • Het vaststellen dat de samenvatting van de DoA ten behoeve van het bestuursverslag juist en representatief is.

Het periodiek uitvoeren van interne beheersing/controle activiteiten om accountability vast te stellen, biedt het maatschappelijk verkeer het gewenste comfort omtrent de zekerheid van het door uw organisatie te bereiken en onderhouden volwassenheidsniveau. Bovendien biedt Internal Audit de leiding en de FG comfort omtrent het uitoefenen van hun wettelijke taken. De interne beheersing/controle taken kunnen door Duthler Associates worden uitgevoerd.

Werkwijze?

Duthler Associates kan uw organisatie ondersteunen bij de inrichting van het proces voor het opstellen van een DoA, het uitvoeren van de maatregelen van interne beheersing/controle op de DoA en het zo nodig opleiden van de eigen interne auditors voor de interne beheersing/controle op de DoA.

Bij de uitwerking van de werkwijze gaat Duthler Associates ervan uit dat uw organisatie voorziet in de volgende noodzakelijke randvoorwaarden. De FG ziet toe dat voor het aangegeven niveau van volwassenheid de privacy & security administratie op orde is. En de internal auditor stelt vast dat in de randvoorwaarden is voorzien, doet deelwaarnemingen op het afgeleid object van onderzoek, de privacy & security administratie, zijn uitgevoerd en stelt vast dat de vastleggingen juist zijn geweest en neemt indien gewenst aanvullende interviews af.

Samen met u als opdrachtgever, de FG en de procesverantwoordelijke stellen we een plan van aanpak op voor het opstellen van een DoA voor uw organisatie. De doorlooptijd voor de uitvoering van de maatregelen van interne beheersing/controle is afhankelijk van de mate waarin is voorzien in de bovengenoemde randvoorwaarden. Na uitvoering van de interne controle stemt Duthler Associates de bevindingen af met betrokkenen en stellen we een mededeling voor de leiding op voor het concept DoA. Onder verantwoordelijkheid van de leiding maken we – na toevoeging van de mededeling van de FG – een definitieve DoA op die voor controle wordt voorgelegd aan uw internal auditor.

[1] Met verschillende verticale verantwoordingsmodellen wordt bijvoorbeeld de financiële verantwoording aan het maatschappelijk verkeer, de fiscale verantwoording aan de belastingdienst, de verantwoording aan betrokkenen als het om beschermen van persoonsgegevens gaat bedoeld. Het verbinden van de verschillende verantwoordingsmodellen creëert een effectiever en meer kosterefficiënter horizontale verantwoording die voor alle belanghebbenden/ toezichthouders gebruikt kan worden.

Voor vragen en opdrachtverstrekking

Jan Peeters RE MIM

Jan Peeters RE MIM

Mail: j.peeters@duthler.nl
Telefoon: +31 0 (70) 392 22 09