Frankenslag 137, 2582 HH Den Haag
+31 (0) 70 392 22 09
info@duthler.nl

Vragen over verantwoording (accountability)

In dit artikel wordt gekeken naar het begrip Accountability, zoals dit in de Europese Algemene verordening gegevensbescherming (Avg) wordt benoemd. Wat betekent het? Welke vragen roept het begrip op. Hoe worden organisaties verwacht aan het begrip invulling te geven?

Om hier een enigszins zinvol gesprek over te hebben is het nodig om hetzelfde te verstaan onder het te bespreken onderwerp. Dus dat betekent het opstellen van een definitie. Zo creëer je een gezamenlijke grond en kun je een standpunt innemen. Er ontstaat begrip over en weer.

Definitie van verantwoording (accountability)

In een voorzichtige poging een definitie voor accountability in de zin van de Avg te gebruiken betekent accountability de staat van zijn waarin het mogelijk is dat een andere partij komt kijken of je verantwoording kunt afleggen over hetgeen je gedaan hebt. Je bent accountable als je begrijpt welke zaken afgezet gaan worden tegen welke maatstaven én als je begrijpt of die zaken voldoen aan bepaalde normen.

Voorbeeld van accountable

Neem het voorbeeld van een helpdesk. Het is goed denkbaar dat een helpdesk gewogen gaat worden op het aspect “afsluiten cliëntvraag”. En dat daarbij bijvoorbeeld als norm is gesteld 2 werkdagen. Accountable wil dan zeggen dat cliëntvragen meetbaar zijn. Meer in het bijzonder, meetbaar hoe lang het duurt voordat een cliëntvraag als afgesloten beschouwd wordt. Is het dan belangrijk dat dit gemiddeld genomen, of in 100% van de gevallen, slechts 2 dagen duurt? Strikt genomen ben je in dit voorbeeld al accountable als de afhandeling van je cliëntvragen meetbaar is. De norm die je erop toepast is eigenlijk niet eens van belang.

Toepassing van een norm

Toepassen van een norm is eigenlijk geen accountability, maar eerder een voorwaarde voor quality management of performance managent. Vinden we het goed dat de afhandeling van een cliëntvraag 15 dagen op zich laat wachten?

Kunnen we als helpdesk beloven dat we cliëntvragen altijd binnen 3 werkdagen kunnen afhandelen? Voor het antwoord op dat soort vragen dient de helpdesk wel accountable zijn. Maar die aantallen zijn het gevolg van de volgende stap, het toepassen van normen.

Dus het begrip accountability bestaat uit:

  • een object;
  • de activiteit verantwoording afleggen/inzichtelijk kunnen maken;
  • criteria.

In het voorbeeld van zojuist: het onderwerp is hierin de door de helpdesk afgehandelde cliëntvragen. De activiteit is het verantwoording afleggen. Het criterium is hoe lang het duurt vooraleer een cliëntvraag is afgehandeld. Als bovenstaande duidelijk is, kan men spreken van accountability.

Verantwoording binnen de Avg

Hoe vertaalt dit zich nu naar accountability binnen de Avg?

Uit overweging 74 Avg: De verantwoordelijke dient te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen.

Het object is hier: passende en effectieve maatregelen uitvoeren. De activiteit: het kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt. Het criterium: de verordening, waaronder de doeltreffendheid.

Uit overweging 78 Avg: ‘Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.’

Het object is hier: interne beleidsmaatregelen nemen en maatregelen toepassen. De activiteit: Het kunnen aantonen van de naleving van deze verordening. De criteria: met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.

Van kwantitatief naar kwalitatief

Hiervoor geldt dat deze criteria intrinsiek niet kwantitatief zijn, maar kwalitatief. Je zou kunnen denken dat het beginsel van privacy by design een ja/nee kwestie is en dus kwantitatief. Echter, als meetlat is een dergelijk beginsel vooral subjectief. Want wie definieert precies waaruit dat beginsel bestaat? De wetgeving legt een aantal principes neer met een dringend verzoek om daaraan te voldoen. Diezelfde wetgeving kan ook moeilijk gevraagd worden om voor elke situatie kwantificeerbaar te maken wanneer iets voldoende is. Enerzijds omdat elke organisatie anders is, dus zullen de maatregelen ook moeten verschillen per organisatie. Anderzijds omdat de stand der techniek zich blijft ontwikkelen.

Software wordt complexer, hackers worden slimmer, virussen worden agressiever. Big data, blockchain, quantum cryptografie zijn ontwikkelingen waarvan de toekomst zich lastig laat voorspellen. Daarom kan de wetgeving niet haar toevlucht nemen tot alleen regels. Wat passend is kan niet voor iedereen in cijfers uitgedrukt worden.

Dus anders gezegd, het eindresultaat van het organiseren van accountability, of je dat nu zelf doet, risico analyses en Data Privacy Impact Analyses uitvoert of dat je het laat uitvoeren door consultants, het eindresultaat is altijd kwalitatief van aard en niet per se kwantitatief.

Is de privacy van cliënten nu gewaarborgd? Niet per se.

In plaats daarvan heb je een hoop tijd gestoken in het optuigen van een verhaal. Je hebt een overtuiging. ‘we hebben maatregel x, y, z genomen.’ We hebben een risico analyse uitgevoerd.

Je bent daarmee accountable geworden, zonder dat duidelijk wordt welk concreet resultaat maatregel x, y, z heeft opgeleverd. Ook het feit dat een risico analyse is uitgevoerd zegt wat dat betreft niet zoveel; de risico’s zijn gekend, maar moeten ze ook allemaal zijn gemitigeerd? Wat is nu precies waar we vanuit de Europese Algemene verordening gegevensbescherming mee bezig zijn?

Hoe dien je oprecht en integer de privacy bescherming van natuurlijke personen?

De letter van de wet schrijft weliswaar precies voor wat we moeten doen, met moet echter wel zelf bedenken wat passend is en een verhaal klaar hebben waarin naar eer en geweten het begrip ‘passend’ van toepassing verklaard wordt op de organisatie. Weer even terug naar de praktijk: hoe pakt een organisatie privacy nu het beste aan?

Een paar suggesties: Identificeer als organisatie in welke processen privacy aspecten naar voren komen en beschrijf dat. Zorg dat die processen meetbaar zijn. Dus als een proces persoonsgegevens behandelt, hoe vaak is dat dan, welke rol doet dat dan, wie is de eigenaar van dat proces, wat gebeurt er met die gegevens? Probeer op basis daarvan tot een beschrijving van verwerkingen te komen. En in het kader van het nemen van “passende technische en organisatorische maatregelen”, beschrijf wat je op dat vlak doet en waarom. Voer risico analyses uit op gegevensverwerkingen die gevoelige gegevens verwerken. Voer Data Privacy Impact Analyses uit. Documenteer.

Je loopt met bovenstaande aanpak desondanks nog steeds het risico dat iemand beschrijft dat ze elke dag verse knoflook bij de deuropening ophangen omdat zij dat beschouwen als passende beveiligingsmaatregelen. Uiteraard zijn er dan voldoende adviseurs te vinden die een dergelijke maatregel als inadequaat beschouwen.

Maar let wel: datzelfde geldt voor een organisatie die haar datacenters volledig redundant heeft uitgevoerd, aparte stroomvoorzieningen, biometrische toegangscontrole, alle ISO certificaten prijken aan de muur. Ook hier zijn er voldoende adviseurs te vinden die de invoering van een IDS of een SIEM, of appliance x, een minimale vereiste vinden, want anders is het beveiligingsniveau onacceptabel.

Wanneer is het nu genoeg?

Uiteindelijk is het de verwerkingsverantwoordelijke die de ultieme afweging maakt.

‘Gezien de aard van de verwerking, het belang van de betrokkene, bezien in het licht van de hierop uitgevoerde risico- en privacy impact analyses, en gezien de impact op het beschikbare budget, worden de beschreven technische en organisatorische maatregelen passend geacht.’

Hiermee verklaart de verantwoordelijke dat de voorwaarden zijn gecreëerd om accountable te zijn. Dan nog steeds kan overigens de Autoriteit Persoonsgegevens een andere mening zijn toegedaan.

Slot

Een aantal zaken is niet besproken, en dat is vooral de cultuur en het type van een organisatie.

Een jonge dynamische organisatie of een gevestigd familiebedrijf van anderhalve eeuw oud of een productiebedrijf en een denktank kunnen anders aankijken tegen de invulling van het begrip ‘accountable’.

Het zijn voorbeelden van uitersten in diverse spectra. Het zou interessant zijn om te overdenken op welke wijze accountability kan worden opgepakt in dergelijke bedrijven. Zit daar nou veel verschil tussen? Vragen genoeg dus voor een FG en/of een vervolgartikel.