EDPS Conference
Recent heeft de EDPS Conference 2022 plaatsgevonden. Het onderwerp van dit jaar was ‘Effective enforcement in the digital world’. Twee dagen werd gesproken en gediscussieerd over het effectief handhaven van de AVG. Ik zag vertegenwoordigers van de EDPS, EDPB, EC en cliëntenorganisaties voorbij komen. Ook Max Schrems was er. Ik hoorde de worsteling over het handhaven aan en hoe moeilijk het is voor een burger om zijn recht te halen omdat de mogelijkheden voor handhaving beperkt zijn, voornamelijk door budgetproblemen van de nationale toezichthouders. Krachtige woorden werden gesproken zoals ‘er is een wet en er zijn instituties aangewezen om te handhaven’ en ‘de DPA’s moeten het laten werken!’.
Autoriteit Persoonsgegevens
En als brave burger hoorde ik dit aan. Ik voelde me nog eenzamer dan op het moment dat de Autoriteit Persoonsgegevens (AP) aangaf geen tijd te hebben voor mijn klachten, ze hebben belangrijkere dingen te doen. Dat laatste werd niet letterlijk gezegd maar het verwoordt wel mijn gevoel op dat moment. Ik had een uitgebreide discussie over het gebruik van mijn persoonsgegevens gehad met diverse bedrijven die naar mijn mening in strijd handelden met de AVG en hun gedrag niet wilden aanpassen. De AVG biedt dan de mogelijkheid om je nationale toezichthouder jou te laten helpen. Maar wat moet je als dit niet gebeurt?
Ombudsman
Je kan als burger dan naar de rechter gaan om handhaving af te dwingen. Maar dat leek me geen simpele weg. Daarom heb ik de Ombudsman aangeschreven en de klachten voorgelegd. Vanaf die kant is het ook alweer een half jaar stil. Ook na meerdere reminders blijft het stil. Het geeft deze burger geen lekker gevoel.
Standaard 250
Terug naar de EDPS Conference. De titel van het congres gaf me goede moed. Gaat het nu echt gebeuren? De wil is er wel maar het handhaven en met name het effectief handhaven komt nog niet goed van de grond. Wat me tijdens het beluisteren opviel is dat niemand de accountant ter sprake bracht. Terwijl deze toch ook een belangrijke rol bij het handhaven van wet- en regelgeving heeft.
De (certificerende) accountant heeft zich aan een aantal regels te houden. Daartoe behoort Standaard 250 welke gaat over ‘Het in aanmerking nemen van wet- en regelgeving bij een controle van financiële overzichten’. De jaarrekening kan het belangrijkste financiële overzicht genoemd worden. De vereisten van deze Standaard zijn erop gericht de accountant te helpen afwijkingen van materieel belang in de financiële overzichten als gevolg van niet-naleving van wet- en regelgeving te identificeren. Het bedrijf is uiteindelijk verantwoordelijk voor de naleving maar van de accountant wordt verwacht dat afwijkingen van materieel belang worden gedetecteerd.
In de toelichting bij Standaard 250 wordt ‘databescherming’ expliciet benoemd als voorbeeld waaraan een bedrijf zich heeft te houden. De Autoriteit Persoonsgegevens (AP) kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. De boete die de AP hierdoor kan opleggen kan derhalve zo hoog worden, dat deze hoogte van materieel belang is voor de beoordeling van de jaarrekening door de accountant. Tevens kan een datalek leiden tot een massaclaim door betrokkenen die kan leiden tot een veelvoud van de boete door de toezichthouder.
De Standaard 250 geldt alleen voor beursgenoteerde ondernemingen. Als accountant kan je dan heel beperkt gaan denken en handelen maar je kan ook je vrije (en verstandige) geest gebruiken om de essentie van deze Standaard te gebruiken voor andere werkzaamheden. Want ook MKB-bedrijven hebben zich aan wet- en regelgeving te houden en lopen ook financiële risico’s bij niet-naleving die zelf hun continuïteit kunnen bedreigen.
Maar denk ook bijvoorbeeld aan de samenstellingsopdracht. Je bent toch een accountant zonder kop als je hierbij niet vaststelt dat het bedrijf voldoet aan de AVG.
Objectieve verhindering
Er is sprake van een objectieve verhindering als onvoldoende en geschikte controle-informatie beschikbaar is voor de accountant. Volgens de controlerichtlijnen (COS 710:7) kan een objectieve verhindering leiden tot een accountantsverklaring met beperking.
Als een bedrijf niet of onvoldoende weet welke persoonsgegevens zij verwerkt en waar deze gegevens zijn, dan kan mijns inziens niet met droge ogen gezegd worden dat de persoonsgegevens passend worden beschermd zoals de AVG dit verlangt.
Ook dit zou voor de accountant moeten betekenen dat hij/zij zich ervan moet overtuigen dat het bedrijf de AVG naleeft. Naar mijn mening kan een bedrijf dat geen AO/IC en geen compliance heeft ingericht voor het beschermen van persoonsgegevens geen goedkeurende verklaring mogen krijgen.
Functionaris voor gegevensbescherming
De functionaris voor gegevensbescherming (FG) heeft een wettelijke taak (AVG artikel 39) toe te zien op de naleving van de AVG en het beleid van het bedrijf voor het beschermen van persoonsgegevens. De FG rapporteert (minimaal jaarlijks) aan de directie de stand van zaken en heeft een dossier om het oordeel te onderbouwen.
In de praktijk valt me echter op dat de accountant veelal geen contact zoekt met de FG terwijl de accountant veel eigen werkzaamheden van de accountant kan voorkomen door (na toetsing) te steunen op het werk van de FG. Hierdoor kan het gebeuren dat de accountant in de management letter aangeeft dat het bedrijf aan de AVG voldoet terwijl de FG (aantoonbaar) tot een geheel ander oordeel komt.
Het is daarom niet minder dan slim dat de accountant in contact treedt met de FG en de uitkomsten van zijn toezichtstaken bevraagt. De accountant helpt hierdoor ook de FG door – indien nodig – in de managementletter op te nemen als er te weinig gedaan wordt met de bevindingen van de FG.
Tenslotte
Het naleven van de AVG is een eigen verantwoordelijkheid van de leiding van het bedrijf. Ook als de toezichthouder niet achter je staat met een stok. Een bedrijf behoort een intrinsieke verantwoordelijkheid te voelen om persoonsgegevens te beschermen.
De accountant en de FG zijn beiden aangesteld om de maatschappij te dienen. De FG direct om het belang van de betrokkenen te dienen en de accountant om het financiële resultaat van het bedrijf te toetsen, onder andere aan de wetgeving voor het beschermen van persoonsgegevens.
Als het bedrijf de bescherming van persoonsgegevens niet goed heeft ingeregeld dan moeten de FG en de accountant dit signaleren. Voor de accountant kan de objectieve verhindering of het risico van een boete of een claim van materieel belang reden zijn om de samenstellingsopdracht te weigeren of geen goedkeurende verklaring af te geven.
MYOBI biedt een vertrouwensnetwerk waarop bedrijven en personen zich kunnen aansluiten die het wél belangrijk vinden om persoonsgegevens passend te beschermen én hierover verantwoording af te leggen, intern en naar de partners in het netwerk. MYOBI ondersteunt bedrijven met een gedragscode, verantwoordingsmethodiek en hulpmiddelen. De FG van het bedrijf krijgt hierin een belangrijke rol.
Meer weten?
Wilt u weten wat wij voor u kunnen betekenen op het gebied van het vertrouwensnetwerk en de verantwoordingsplicht? Neem gerust contact met ons op of met onze specialist Caroline Willemse.