Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Wie is die vreemde man of vrouw aan uw bestuurstafel?

Evaluatie van de Avg

De Europese algemene verordening gegevensbescherming (Avg) dateert alweer van mei 2016. Het lijkt veel korter geleden omdat veel mensen deze verordening pas in mei 2018 gingen lezen. Op 25 mei 2018 werd de Avg immers pas van toepassing. Het is voorstelbaar dat niet iedereen de gehele verordening zal hebben gelezen, en zeker niet de laatste artikelen. In artikel 97 (de Avg heeft 99 artikelen) staat een datum die ras nadert:

Uiterlijk op 25 mei 2020 en om de vier jaar daarna, dient de Commissie een verslag in bij het Europees Parlement en de Raad over de evaluatie en de toetsing van deze verordening.’

Lid 2 van artikel 97 beperkt deze evaluatie tot met name de toepassing en werking van enkele onderdelen uit de hoofdstukken V (doorgifte aan derde landen) en VII (samenwerking tussen toezichthoudende autoriteiten en coherentie) van de verordening.

Voorbereidingen en toetsing

De voorbereidingen voor de evaluatie en toetsing zijn in volle gang. Op 9 oktober 2019 heeft de Europese Raad het commentaar van 19 lidstaten gepubliceerd. Wat als eerste opvalt is dat Nederland 20 pagina’s commentaar heeft aangeleverd van de in totaal 68 pagina’s. Zelfs Duitsland met 8 pagina’s heeft veel minder commentaar gegeven.

Iemand tijdelijk toevoegen aan het bestuur

Nederland heeft zich niet laten beperken door het tweede lid van artikel 97 AVG, maar heeft zeer uitgebreid aangegeven op welke onderdelen de Avg tot discussie leidt en waar verbeteringen en/ of verduidelijkingen nodig zijn.

Nederland vraagt onder andere om een evaluatie van de middelen die de toezichthoudende autoriteiten (Autoriteit Persoonsgegevens, de AP) tot hun beschikking hebben om toezicht te houden bij met name organisaties waar zeer grote hoeveelheden persoonsgegevens worden verwerkt. Het voorstel dat Nederland doet is dat de AP tijdelijk iemand kan toevoegen aan het bestuur, ongevraagd en op kosten van de verwerkingsverantwoordelijke, indien de Avg wordt overtreden. Deze persoon moet toezicht gaan houden op de verwerkingen van persoonsgegevens binnen de organisatie. Een vergelijking wordt gemaakt met een huidig sanctiemiddel voor kredietinstellingen en beleggingsfondsen.

Verantwoording wordt belangrijker

Indien dit voorstel wordt geaccepteerd door de andere lidstaten, kan het bestuur ongevraagd een extra persoon aan tafel krijgen als de Avg niet correct wordt nageleefd en als daarnaast niet aangetoond kan worden dat de onderneming accountable is voor de verwerking van persoonsgegevens. Behalve dat het een blamage is voor het bestuur, zullen ook de raad van commissarissen en overige stakeholders iets vinden van dit brevet van onvermogen van het bestuur.

Deze inbreng van Nederland geeft aan dat de Avg een issue moet zijn aan de bestuurstafel en dat bestuurders zich moeten kunnen verantwoorden over de bescherming van persoonsgegevens. Om die verantwoording te kunnen afleggen zal de verwerking van persoonsgegevens goed ingeregeld moeten zijn, ook bij de ketenpartners, en zal steeds vastgesteld moeten kunnen worden dat de beheersmaatregelen (aantoonbaar!) effectief zijn gebleken.

Voorbereidingen

Weet u of uw organisatie accountable is? Kunt u als bestuurder verantwoording afleggen over 2019? Zo neen, neemt u dan nu initiatief of wacht u tot u zelf geen initiatief meer kunt nemen en het moet overlaten aan een verplicht in te huren persoon?

Tot slot nog een tip: regel tegelijk de verantwoording over andere zaken waar u verantwoordelijk voor bent.

Meer informatie en contact

Graag helpen wij u de verantwoording over gegevensbescherming en informatieveiligheid te organiseren. Lees meer hierover op. Neem contact met ons op via +31 0 (70) 392 22 09 en info@duthler.nl.