The Hague | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Zeven voor de hand liggende vragen van de Autoriteit Persoonsgegevens

Aanleiding en vragen aan de leiding

Naar aanleiding van de klachtenrapportage Autoriteit Persoonsgegevens (AP) en onze ervaringen hebben wij een aantal mogelijke en voor de hand liggende vragen van de toezichthouder op een rij gezet.[1] Deze vragen zou de AP kunnen stellen tijdens een bezoek naar aanleiding van een datalek, klachten of een bezoek uit hoofde van een regulier handhavingsbezoek.

Wij dagen u uit deze vragen te stellen aan de leiding van uw organisatie, sleutelfunctionarissen én de functionaris voor gegevensbescherming (FG). Kunt u deze vragen niet beantwoorden, dan heeft u een indicatie hoe het gesteld is met het weerstandsvermogen van uw organisatie voor het beschermen van persoonsgegevens.

1. De verantwoordingsplicht

Vraag: ‘Voldoet uw organisatie aan de verantwoordingsplicht’

De verantwoordingsplicht is expliciet in de Avg geregeld (artikel 5 lid 2). De verantwoording gaat over een verklaring van de leiding van een verwerkingsverantwoordelijke dat over een bepaald tijdvak de getroffen beheersingsmaatregelen gericht op het beschermen van persoonsgegevens effectief zijn geweest zoals bedoeld in relevante wetgeving. De Europese toezichthouder spreekt over “accountable” zijn voor gegevensbescherming en dat ook aan het maatschappelijk verkeer kenbaar maken.

De verantwoordingsplicht houdt ook een verantwoordingsrecht in. Als een verwerkingsverantwoordelijke of verwerker niet geconfronteerd wil worden met oplopende aansprakelijkheids- en kostenrisico’s van non-compliance met de wet dan kan verantwoorden aan belanghebbenden een uitkomst bieden.

Het antwoord op de vraag van de AP hoe u heeft voldaan aan de verantwoordingsplicht is relevant om het toezicht succesvol te ondergaan. Het schuldig blijven van het antwoord geeft aanleiding tot het stellen van aanvullende vragen door de toezichthouder.

2. Overzicht en inzicht van verwerkingen van persoonsgegevens

Vraag: ‘Beschikt u over een sluitend overzicht en inzicht van verwerkingen van persoonsgegevens?’

Het overzicht en inzicht in de verwerkingen is expliciet in de Avg opgenomen (artikel 30). Het wordt het ‘verwerkingsregister’ genoemd. In de Engelse tekst spreekt de wetgever over “keeping records”. Dat gaat een stuk verder dan een register met een verzameling verwerkingen. Het suggereert dat het een sluitend geheel moet zijn waarin de volledigheid van het overzicht is geborgd en de gegevens actueel zijn.

Het ontbreken van het overzicht en inzicht in de verwerkingen maakt het voldoen aan de verantwoordingsplicht moeilijk en veelal onmogelijk. Het ontbreekt veelal aan inzicht in het verantwoordelijkheidsdomein van samenhangende entiteiten en daarbinnen de hiërarchische opbouw van verwerkingen. Het opsommen van verwerkingen is niet voldoende omdat de klacht over een bepaalde verwerking op een bepaald moment gaat. Het inzicht zal moeten bestaan uit het bewijs van de effectieve werking voor de betreffende verwerking op het specifiek moment.

Het beantwoorden van de vraag van de AP dat er een risicogerichte benadering wordt gehanteerd en dat niet alles wordt beheerst is voor de AP niet bevredigend. De ernst van de zaak wordt niet bepaald door de kwaliteit van de administratieve organisatie en interne controle van het bedrijf maar wel door de inbreuk van het niet geconstateerde incident met impact op de levenssfeer van de betrokkene.

Als de beantwoording van de vragen van de AP aanleiding geven “door te vragen” dan zal de AP de FG vragen of deze functionaris actief betrokken is geweest bij het treffen van de beheersingsmaatregelen en wat de uitkomsten zijn geweest van de DPIA’s.

3. Kennis en kunde binnen de organisatie

Vraag: ‘Zijn de medewerkers adequaat en blijvend opgeleid?’

Zijn alle medewerkers (en ook de nieuwe instroom) goed op de hoogte van de privacyregels die gelden in de organisatie? Hoe zijn de regels afgesproken in een arbeidsreglement en mag ik een afschrift?

Het merendeel van de incidenten en datalekken vinden hun oorzaak in menselijk handelen. Het permanent trainen van medewerkers vormt een belangrijke beheersingsmaatregel. De wetgever vraagt deze maatregelen ook te toetsen op effectiviteit.

Het is aan te raden om privacy awareness op te nemen in het permanente educatie programma, monitoren op tijdige afronding van e-learning modules en toetsen dat de kennis is verinnerlijkt. Vaak zien we dat medewerkers een algemene training krijgen, die niet is toegesneden op hun dagelijkse werkzaamheden.

Naar aanleiding van de resultaten van de trainingen zal de AP doorvragen wat u gedaan heeft om menselijke fouten te voorkomen. Leren de medewerkers hoe het ontstaan van onwenselijke situaties is te voorkomen?

4. Rol en het opleidings- en ervaringsniveau van de FG

Vraag: ‘Is de rol van de FG duidelijk en of is het opleidings- en ervaringsniveau van de FG passend bij de bedrijfsactiviteiten van de organisatie?’

De wetgever vraagt aan het bedrijf de argumenten waarom er geen FG is aangesteld. Wij kunnen deze aanpak omschrijven als “comply or explain” en deze is vergelijkbaar met de verantwoordingsplicht van artikel 5.2 Avg. Als er een FG is aangesteld dan vervult de FG de wettelijke taken en sluiten diens capaciteiten aan bij de bedrijfsactiviteiten van de verwerkingsverantwoordelijke of verwerker.

In diens functie behartigt de FG de belangen van de betrokkenen en door adequaat toe te zien ook de belangen van het bedrijf. De wetgever somt in de artikelen 37 – 39 Avg een lijstje op met taken van de FG. De Europese toezichthouder heeft de taken van een FG verder uitgewerkt in een richtsnoer. In grote lijnen is de FG betrokken bij het invullen van het bedrijfsbeleid, ziet toe op de uitvoering en verantwoordt zich over de uitgevoerde taken. Wij hebben de nodige publicaties over de taken, bevoegdheden en verantwoordelijkheden van de FG uitgebracht.

De FG wordt door de leiding van het bedrijf aangesteld en het is verstandig dat elk jaar de aanstelling wordt bevestigd (een vorm van decharge). De FG bekleedt een onafhankelijke positie in de organisatie en rapporteert rechtstreeks aan de leiding. De medewerkers kennen de FG en de FG is voor de betrokkenen benaderbaar. De FG heeft een passende opleiding gevolgd en zorgt dat de kennis aangesloten blijft bij de bedrijfsactiviteiten. Kunt u dit aantonen?

U zou kunnen zeggen dat de FG een vooruitgeschoven post is van de AP. De FG vangt de vragen van betrokkenen af en adviseert over de uitleg van relevante wetgeving en normen. De FG verzorgt de relatie tussen het bedrijf en de AP.

Een professionele FG levert het bedrijf veel toegevoegde waarde. Andersom geldt ook. Het ontbreken van een vereiste FG bij een bedrijf of een niet adequaat functionerende FG kan omvangrijke aansprakelijkheids- en kostenrisico’s veroorzaken.

5. Betrokkenheid van de FG

Vraag: ‘Is de FG betrokken bij het treffen en in stand houden van effectieve beheersings- en beveiligingsmaatregelen gericht op het beschermen van persoonsgegevens?’

De FG ziet toe op de naleving van de Avg (artikel 39 lid 1 Avg) en de FG staat de verwerkingsverantwoordelijke bij met het toezicht op de interne naleving van de Avg (overweging 97). De FG kan deze taken alleen uitvoeren als er een professionele betrokkenheid is bij het treffen en in stand houden van effectieve beheersingsmaatregelen gericht op het beschermen van persoonsgegevens (artikel 38 Avg). Kan de verwerkingsverantwoordelijke én de FG aantonen dat er een professionele betrokkenheid is geweest? Is er een rapportage met een duidelijke vraagstelling en advies? Hoeveel uren heeft de FG besteed?

In de organisatieonderdelen die onder een bedrijf vallen, worden jaarlijks vele informatiesystemen geselecteerd, aangeschaft, aangepast, geïmplementeerd en in beheer genomen waarin persoonsgegevens worden verwerkt. De investeringen in deze systemen en wijzigingen in de organisatie zijn materieel en kunnen verstrekkend zijn voor de bedrijfsvoering. De veranderingstrajecten hebben de instemming van de directie of management nodig om projecten op te starten. Er zal binnen het bedrijf een lijst met projecten bestaan en per project blijkt de bemoeienis van de FG.

In het verwerkingsregister vindt de AP een overzicht van alle verwerkingen (artikel 30 AVG). Het register is volledig en actueel. Het is hiërarchisch opgebouwd en geeft inzicht in de huidige stand en in het verleden. De FG houdt toezicht op het register. In een breder perspectief gaat het over het periodiek plannen en uitvoeren van onderzoeken en data protection impact assessment (DPIA’s, artikel 35 Avg).

De effectieve beheersingsmaatregelen gericht op het beschermen van persoonsgegevens die opgenomen zijn in de administratieve organisatie en interne controle van informatiesystemen zullen aansluiten op de wens van de wetgever “privacy by design” en “privacy by default” toe te passen (artikel 25 Avg). Het zou een voor de hand liggende vraag van de AP zijn aan de verwerkingsverantwoordelijke aan te geven welke systemen voorzien zijn van beheersingsmaatregelen gebaseerd op het principe van “privacy by design” en de FG vragen wat de effectiviteit van deze maatregelen zijn.

6. Het uitvoeren van DPIA’s

Vraag: ‘Voert u DPIA’s uit in overeenstemming met het besluit?’

Het uitvoeren van DPIA’s is door de wet én het besluit verplichte DPIA van de AP ingekleurd.[2] De Avg schrijft voor dat voor gegevensverwerkingen met een hoog privacyrisico voor betrokkenen een DPIA verplicht is. De aanpak voor het uitvoeren van de DPIA moet privacyrisico’s in kaart brengen. Op basis van de bevindingen worden beheersingsmaatregelen geadviseerd om de risico’s te verkleinen. De FG ziet toe op het uitvoeren van de DPIA’s. In de praktijk voert veelal de FG de DPIA’s zelf uit.

In het hierboven genoemde besluit verplichte DPIA van de AP is een lijst van soorten verwerkingen opgenomen waarvoor een DPIA uitgevoerd moet worden. Het uitvoeren van een DPIA op een verwerking van persoonsgegevens is geen eenmalige activiteit. Het is de bedoeling dat DPIA’s tijdens de lifecycle van de verwerking worden bijgehouden.

Ook hier is er sprake van het mechanisme van “comply or explain”. Het bedrijf maakt een afweging voor het wel/niet uitvoeren van een DPIA op verwerkingen van persoonsgegevens. De FG en desgewenst de AP kunnen nagaan of de afweging adequaat heeft plaatsgevonden. Veelal wordt deze afweging door de AP ingezien als er sprake is van een incident of een datalek.

Een DPIA kan in een kort tijdsbestek worden uitgevoerd. Het opvolgen van de aanbevelingen uit de DPIA kan veel voeten in de aarde hebben. De AP verwacht dat van verwerkingen van persoonsgegevens waarvoor een DPIA noodzakelijk is, een lopend dossier wordt bijgehouden. Dit is belangrijk voor het faciliteren van de verbetercyclus én om accountable zijn naar het maatschappelijk verkeer, in het bijzonder de betrokkene.

De toegevoegde waarde van een DPIA is sterk afhankelijk van de kennis en ervaring van professionals die een dergelijk onderzoek uitvoeren en de adviezen van de FG. Het is de moeite waard de opdrachtformulering voor het uitvoeren van een DPIA doordacht op te stellen en de juiste professionals te vragen het onderzoek uit te voeren. Wij constateren dat het uitvoeren van DPIA’s thans veel lijkt op het invullen van vragenlijsten en het niet zoveel uitmaakt wie dat doet.

Wij verwachten dat zowel het bedrijf als de AP gaan inzien dat een kwalitatief goed uitgevoerde DPIA veel waarde kan hebben in het verbeterproces voor het beschermen van persoonsgegevens.

7. Rechten van betrokkenen

Vraag: ‘Kunnen betrokkenen hun rechten uitoefenen?’

De Avg en andere wetgeving gericht op het beschermen van persoonsgegevens ontnemen het bedrijf de regie over persoonsgegevens en geeft die aan de betrokkene. Een bedrijf kan regie over persoonsgegevens uitoefenen als het bedrijf en de persoon hierover afspraken hebben gemaakt.

Om regie te kunnen uitoefenen over de eigen gegevens heeft de betrokkene een verzameling van actieve en passieve rechten gekregen. Zo zal de verwerkingsverantwoordelijke de betrokkene over het verwerken van persoonsgegevens moeten informeren en heeft de betrokkene het recht van inzage in de eigen gegevens.

Veel klachten van betrokkenen die aan de FG’s en de AP worden voorgelegd gaan over het niet kunnen uitoefenen van deze rechten en dus eigenlijk over het niet uitvoeren van de regie over eigen gegevens.

Ervaart een betrokkene een blokkade om de toegekende rechten uit te oefenen dan legt de betrokkene een klacht voor aan de FG en als die geen actie onderneemt dan kan de klacht worden neergelegd bij de AP.

Het ligt voor de hand dat de AP vraagt om inzage in het register met de verzoeken van de betrokkenen en in het klachtenregister. Het register met de verzoeken van de betrokkenen heeft betrekking op verzoeken om inzage, rectificatie, vergetelheid, beperking van verwerking, bezwaar tegen gebruik en dataportabiliteit. Het bedrijf moet de ingediende verzoeken binnen 1 maand afhandelen (met mogelijkheid tot verlenging bij een goed verhaal). Van elk verzoek wordt een dossier gemaakt en de status van behandelen wordt bijgehouden. Dit geldt ook voor de klachten in het klachtenregister die gaan over het blokkeren van de rechten van de betrokkene.

Als een bedrijf geen inzage kan geven in het register van verzoeken van betrokkenen en of het klachtenregister dan kan dat aanleiding voor de AP zijn nader onderzoek in te stellen.

Tenslotte

Wij hebben slechts een greep uit mogelijke vragen van de AP behandeld. Bij het behandelen van de vragen hebben wij ons beperkt tot de organisatie van het bedrijf. Het wordt voor de verwerkingsverantwoordelijke complexer als de AP vragen stelt aangaande “de keten”. Wij hebben het over de ketenaansprakelijkheid van artikel 28 Avg. De verantwoordelijke (degene die doel en middelen van de verwerking van persoonsgegevens vaststelt) is bestuurlijk verantwoordelijk en aansprakelijk voor de achterliggende verwerkers en sub-verwerkers.

Antwoorden geven op vragen van de AP kost bedrijven tijd en geld. Veelal geven de antwoorden de AP aanleiding nieuwe vragen te stellen. Meer tijd en meer kosten zijn dan nodig. Zoals wij hierboven zien kunnen antwoorden leiden tot meer aansprakelijkheids- en kostenrisico’s als het bij het bedrijf ontbreekt aan bewijs van effectieve werking van (getroffen) beheersingsmaatregelen.

Contact us

Heeft u vragen of ondersteuning nodig naar aanleiding van deze blog? Wij overleggen graag met u. Maak vrijblijvend een afspraak, neem contact met ons op via +31 0 (70) 392 22 09 of info@duthler.nl. Wij beschikken over Microsoft Teams voor overleg, vergaderingen, presentaties en demo’s.


[1] Zie een eerder blog over de klachtenrapportage AP, https://duthler.nl/2020/03/15/klachtenrapportage-autoriteit-persoonsgegevens-wat-zijn-de-verwachtingen/.

[2] Zie https://autoriteitpersoonsgegevens.nl/nl/nieuws/definitieve-dpia-lijst-beschikbaar.

 

en_GB
nl_NL en_GB