Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Verantwoorden aan het maatschappelijk verkeer

Wat is de verantwoordingsplicht?

Op basis van de uitkomsten van de werkzaamheden gericht op compliance met wetgeving, gesloten overeenkomsten en beleidsdoelen zal de leiding van een organisatie zich verantwoorden over de effectieve werking van beheers- en beveiligingsmaatregelen.

De wettelijke basis voor deze verantwoordingsplicht vinden wij in artikel 2:391 lid 5 van het Burgerlijk Wetboek en ook in andere wetgeving zoals artikel 5 lid 2 Avg of de Wwft als het gaat om het melden van fraude.

Resultaatsgericht toezichtsarrangement

In steeds meer wetgeving is er sprake van een resultaatsgericht toezichtsarrangement in plaats van een risicogericht arrangement. Bij een resultaatsgericht toezichtsarrangement meldt de leiding van een organisatie aan de toezichthouder incidenten en of datalekken. Het niet melden van incidenten en datalekken betekent dat de organisatie aangeeft compliant te zijn met wetgeving. Als achteraf blijkt dat er incidenten en of datalekken niet zijn gemeld kan de toezichthouder aan de leiding van de organisatie uitleg vragen. Veelal gaat het om de vraag waarom de beheers- en beveiligingsmaatregelen van administratieve organisatie en interne beheersing de niet gemelde incidenten niet heeft gedetecteerd. Hiermee wordt de organisatie geconfronteerd met het omdraaien van bewijslast.

Voorbeelden van de meldplicht zijn het horizontaal toezicht van de Belastingdienst, het melden van fraude door accountants belast met de controle en samenstellen van de jaarrekening bij de Financial Intelligence Unit (FIU-Nederland) of het melden van datalekken bij de Autoriteit Persoonsgegevens en of de betrokkene.

Uitgangspunten

Een resultaatsgericht toezichtsarrangement trekt een zware wissel op de beheersmaatregelen van de administratieve organisatie en interne beheersing gericht op het detecteren en vastleggen van incidenten en of datalekken. Wij kunnen een aantal uitgangspunten noemen:

  • De organisatie heeft overzicht en inzicht in het verantwoordelijkheids- en aansprakelijkheidsgebied: uit welke entiteiten bestaat de organisatie, wie zijn de vertegenwoordigingsbevoegden en met welke cliënten en leveranciers heeft de organisatie afspraken die tot aansprakelijkheid kunnen leiden;
  • De organisatie heeft overzicht en inzicht in alle bedrijfsactiviteiten, datamodellen en bedrijfsprocessen. Vervolgens gaat de aandacht uit naar de effectiviteit van getroffen beheers- en beveiligingsmaatregelen gericht op compliant zijn met wetgeving, contracten en beleidsdoelen; en
  • De leiding van de organisatie verantwoordt zich aan het maatschappelijk verkeer voor de mate waarin de administratieve organisatie en interne beheersing compliant zijn met wetgeving, contracten en beleidsdoelen. Dit geldt ook voor wat de ambitie van de leiding is op enig moment.
    Bij het verantwoording afleggen over de actuele situatie en het ambitieniveau van de effectieve werking van getroffen beheersmaatregelen gaat het er om het maatschappelijk verkeer “eerlijk” te informeren. Een gebruiker van de informatie moet zelf compenserende maatregelen kunnen treffen als er sprake is van een beperkte compliance met wetgeving. 

Aan het in standhouden van maatregelen van administratieve organisatie en interne beheersing zal een organisatie permanent werken. Wijzigingen in wetgeving en wijzigingen in de samenstelling van het verantwoordelijkheidsgebied (nieuwe entiteiten, andere bedrijfsactiviteiten, effectievere beheersmaatregelen of betere managementinformatie) zullen van de organisatie de nodige aandacht en investeringen vragen. De mate waarin de organisatie compliant is met wetgeving zal logischerwijs fluctueren.

Verantwoorden aan maatschappelijk verkeer

Duthler Associates heeft onderkend dat organisaties veelal wel wensen te voldoen aan wetgeving maar dat niet altijd kunnen. Soms ontbreekt het aan tijd, capaciteit en of voldoende middelen. Het gevolg is dat de organisatie pas later in de tijd compliant kan zijn met wetgeving. Het spreekwoord “niemand kan ijzer met handen breken” is dan ook van toepassing.

Een dergelijke situatie hoeft echter niet te betekenen dat de leiding van de organisatie in het geheel niet kan of hoeft te voldoen aan de verantwoordingsplicht. Het is juist in deze situaties belangrijk dat de leiding van de organisatie het maatschappelijk verkeer informeert over de verhoogde kans op non-compliance met wetgeving. Met een dergelijke verantwoording kan het maatschappelijk verkeer zich voorbereiden door het treffen van compenserende beheersmaatregelen.

Ook de toezichthouders behoren tot het maatschappelijk verkeer. Van hen wordt verwacht dat het toezien op het door bedrijven en personen naleven van de wet op een maatschappelijk verantwoorde wijze plaatsvindt. Redelijkerwijs zal de toezichthouder rekening houden met de verantwoording van de organisatie. Hierbij gaat het er ook om dat de leden van het maatschappelijk verkeer in staat zijn gesteld kennis te nemen van de verantwoording en de informatie toegankelijk is.

De wijze van verantwoorden

Het verantwoorden zou op een maatschappelijk gebruikelijke wijze kunnen plaatsvinden:

  • De organisatie verantwoordt zich op haar website met toereikende informatie (er is geen vormverplichting). De informatie staat niet ter discussie;
  • De verantwoording is gebaseerd op een normenkader dat aantoonbaar gerelateerd is aan relevante wet- en regelgeving. Bovendien wordt in de verantwoording gebruik gemaakt van logisch samengestelde volwassenheidsniveaus; en
  • De verantwoording is onderdeel van het gebruikelijke bestuursverslag (en als dat niet wordt opgemaakt een verslag van de leiding van de organisatie). Hiermee wordt de verantwoording onderworpen aan intern toezicht en of interne controle. De externe accountant belast met de controle of samenstellen van de jaarrekening zal de incidenten en datalekken beoordelen op signalen van fraude (non-compliance) en kan een marginale toetsing uitvoeren op het bestuursverslag.

Duthler Associates en MYOBI, in de rol van digitale notaris, faciliteren organisaties bij het voldoen aan de verantwoordingsplicht.

Privacy & compliance seal

MYOBI heeft in haar TTP Policy de verantwoordingsplicht van artikel 5 lid 2 Avg verder uitgewerkt. Het gaat erom dat bedrijven die lid zijn van MYOBI accountable zijn voor het volwassenheidsniveau dat zij aangeven op een bepaald moment. De andere leden van MYOBI en ook het maatschappelijk verkeer kunnen ervan uitgaan dat het volwassenheidsniveau juist is. Onder de TTP Policy ontstaat onderling meer zekerheid omtrent de betrouwbaarheid van het aangegeven volwassenheidsniveau. De toename in vertrouwen tussen partijen leidt tot betere randvoorwaarden voor het drijven van handel en uitwisselen van bedrijfs- en persoonsgegevens.

Hoe werkt het?

  1. MYOBI maakt gebruik van juridische modellen en normenkaders van Duthler Associates en First Lawyers. Duthler Associates heeft voor het verwerken van bedrijfs- en persoonsgegevens volwassenheidsniveaus uitgewerkt;
  2. Het is voor MYOBI belangrijk de wettelijk vertegenwoordiger van het bedrijf of instelling te kennen. Immers, de wettelijk vertegenwoordiger kan een bedrijf met een contract binden. Een wettelijk vertegenwoordiger is een persoon. MYOBI maakt gebruik van een authenticatie mechanisme om de identiteit van een persoon vast te stellen om vervolgens met smart contracting een Personal Data Store (PDS) aan die persoon toe te wijzen. De PDS is voorzien van sleutelparen waarmee elektronische handtekeningen gezet kunnen worden. Het smart contract voor de PDS is een TTP overeenkomst met daarin de afspraak dat partijen zich conformeren aan de TTP Policy; en
  3. Op basis van een uittreksel inschrijving handelsregister van de Kamer van Koophandel wordt de entiteit bekend bij MYOBI en wordt de wettelijk vertegenwoordiger aan deze entiteit gekoppeld. MYOBI maakt gebruik van smart contracting om bedrijven of instellingen aan te sluiten bij MYOBI.

De wettelijk vertegenwoordiger van een bedrijf geeft het volwassenheidsniveau van de organisatie aan en deponeert deze informatie bij MYOBI. MYOBI publiceert de entiteiten van de organisatie, de namen van de compliance medewerkers en de FG, alsook het volwassenheidsniveau op haar website. Elke keer als er wijzigingen in de situatie van de organisatie ontstaan wordt dit aangepast en gepubliceerd. Hierbij blijft de historie bij MYOBI beschikbaar om te raadplegen.

In opdracht van MYOBI voeren professionals van Duthler Associates periodiek compliance checks uit op de verantwoording van de leiding van de organisatie. Deze controle wordt uitgevoerd om de juistheid van het volwassenheidsniveau te controleren zodat andere deelnemers van het ecosysteem van MYOBI op dit niveau kunnen vertrouwen.

Rol van Duthler Associates

Duthler Associates en First Lawyers onderhouden de juridische modellen en normenkaders. MYOBI heeft Duthler Associates gevraagd de bedrijfs-compliance functie van MYOBI te ondersteunen met interne compliance dienstverlening.