U staat op het punt verantwoording af te leggen over de toereikendheid en effectiviteit van de beheersingsmaatregelen die u in 2020 heeft getroffen voor het beschermen van persoonsgegevens zoals die voortvloeien uit de wet, contractuele verplichtingen en beleid. Zo nodig neemt u in het bestuursverslag een samenvatting van de verantwoording op alsook het compliance jaarplan voor 2021.
Bent u hier klaar voor?
Het uitwerken van de verantwoording over 2020 en het plannen van werkzaamheden in het compliance jaarplan voor 2021 bieden de organisatie de mogelijkheid stappen te zetten die effectief en kostenefficiënt zijn. Hieronder bespreken wij aandachtspunten voor het opstellen van de verantwoording en het jaarplan.
Het organiseren van ‘accountable zijn’ met wetgeving, contractuele verplichtingen en beleid is een cyclische aangelegenheid. Het is effectief als deze cyclus aansluit op uw andere good governance- en verantwoordingsverplichtingen. Zo wordt invulling gegeven aan een goed opgebouwde ‘bedrijfscompliance functie’.
De Autoriteit Persoonsgegevens (AP) focust zich volgens haar toezichtsbeleid ‘Visie 2020 – 2023’ op drie aandachtsgebieden: datahandel, de digitale overheid en artificiële intelligentie & algoritmen. Als uw organisatie activiteiten verricht op één van deze gebieden is het handig en verstandig deze te agenderen in uw DPIA jaarplan. DPIA staat voor Data Protection Impact Assessment (DPIA). De AP heeft bovendien recent in een besluit aangegeven voor welke verwerkingen van persoonsgegevens het uitvoeren van DPIA’s verplicht is. Ook deze kunnen worden geagendeerd in het jaarplan.
Wij hebben dit bericht voor de leiding van uw organisatie geschreven. De wetgever spreekt immers de leiding aan effectieve beheersingsmaatregelen te treffen ter bescherming van persoonsgegevens. De organisatie heeft natuurlijk ook een eigen belang bedrijfs- en persoonsgegevens adequaat te beschermen. Daarnaast is dit bericht bestemd voor interne professionals die belast zijn met het uitvoeren van (onderdelen) van de bedrijfscompliance functie.
Het cyclisch karakter van het afleggen van verantwoording aan het maatschappelijk verkeer blijft actueel. Wij streven ernaar dit bericht te actualiseren.
Wat betekent verantwoorden?
De leiding van een organisatie dient compliant te zijn met relevante wetgeving, contractuele verplichtingen en beleidseisen. Over de mate van compliance verantwoordt de leiding zich aan het maatschappelijk verkeer. Wat de relevante wetgeving is, wordt bepaald door de bedrijfsactiviteiten.
In het algemeen ervaart de leiding van organisaties de vele verantwoordingsverplichtingen als administratieve lasten. De verantwoordingsinspanningen kunnen ook tot extreme hoogte stijgen als een organisatie niet beschikt over een goed functionerende bedrijfsjuridische functie. In het kader van compliance zorgt deze functie immers voor overzicht en inzicht in de wettelijke en contractuele verplichtingen. Deze verplichtingen zijn op hun beurt bepalend voor de norm en baseline waartegen getoetst wordt en op basis waarvan de leiding van de organisatie zich verantwoordt.
Op basis van de uitkomsten van de toetsing spreekt de leiding zich aan het maatschappelijk verkeer uit over de mate – ook wel het volwassenheidsniveau genoemd – waarin voldaan wordt aan de wetgeving, contracten en beleidseisen.
Is het nu nodig dat de leiding zich uitspreekt over het volwassenheidsniveau en de voornemens voor het nieuwe jaar? Wij adviseren u dat van harte. Niet alleen omdat er een wettelijke verplichting bestaat, maar ook omdat u zo de mogelijkheid hebt uw aansprakelijkheids- en kostenrisico’s van non-compliance te verkleinen.
Verantwoorden aan het maatschappelijk verkeer
Welke afspraken heeft de leiding van de organisatie gemaakt met het maatschappelijk verkeer? Wij kunnen zeggen afspraken die bepaald worden door relevante wetgeving die past bij de bedrijfsactiviteiten, en verplichtingen die voortvloeien uit overeenkomsten met medewerkers, leveranciers en klanten. Wij kunnen onderscheid maken tussen het door personen en organisaties uitoefenen van regie over hun gegevens (gegevensbescherming en informatieveiligheid) en per bedrijfsactiviteit specifieke eisen. Wij beperken ons in dit bericht tot gegevensbescherming en informatieveiligheid die personen en organisaties in staat stellen regie over hun gegevens uit te oefenen.
De organisatie kan gebruik maken van de MYOBI baselines gericht op gegevensbescherming en informatieveiligheid om zich te verantwoorden over het effectief nakomen van de wetgeving en gemaakte afspraken. Deze baselines zijn ingekleurd door het besluit van de AP omdat voor bepaalde verwerkingen DPIA’s moeten worden uitgevoerd. Aanvullend kunnen sector- en bedrijfsspecifieke baselines worden gemaakt.
Sectorale wetgeving legt accenten op gegevensbescherming en de organisatie moet over voldoende capaciteit beschikken aanvullende passende beheersingsmaatregelen te treffen en in stand te houden. Nadat de risico’s van de betrokken partijen zijn geïnventariseerd en geanalyseerd, biedt de Nederlandse governance code de leiding de mogelijkheid de aard en omvang van de beheersingsmaatregelen te kiezen. Aan deze besluitvorming ligt veelal een DPIA ten grondslag.
Gedurende de verantwoordingsperiode vormt de leiding een beeld van de effectiviteit van de getroffen beheersingsmaatregelen gericht op het beschermen van gegevens zoals uitgewerkt in de bedrijfsspecifieke baseline. Het kan aanleiding zijn voor de leiding tussentijds aanpassingen door te voeren in het stelsel van maatregelen. De uitkomsten van uitgevoerde DPIA’s, als onderdeel van compliance-werkzaamheden zijn hierbij richtinggevend.
Zelfverklaring van de leiding
Op een strategisch en logisch moment voor verantwoorden wordt de balans van de uitkomsten van compliance werkzaamheden opgemaakt. Hiermee krijgt de leiding een fundament om te voldoen aan de wettelijke verantwoordingseis. De zelfverklaring van de leiding zou er als volgt uit kunnen zien:
- Op hoofdlijnen het verantwoordelijkheids- en aansprakelijkheidsdomein plus de wijzigingen voor het nieuwe tijdvak;
- Overzicht van de bedrijfsactiviteiten en verwerkingen van persoonsgegevens van het afgelopen en het nieuwe tijdvak;
- Gemotiveerde uitleg van de gehanteerde normenset en de aanpassingen voor het nieuwe tijdvak;
- Beeldvorming over de toereikendheid en effectiviteit van de privacy- en beveiligingsadministratie waarin het register van verwerkingen is opgenomen en het bewijs van effectieve werking van beheersmaatregelen is opgenomen;
- Samenvatting van het complianceplan met DPIA’s voor het komende jaar, bevindingen en conclusies over het afgelopen tijdvak en aanpassingen voor het nieuwe tijdvak;
- Indruk van de mate waarin personen en de organisatie regie over hun gegevens kunnen uitoefenen; en
- Samenvatting verantwoording over de afgelopen periode en beleidseisen voor de komende periode. Zelfverklaring van de leiding, opinie van de functionaris voor gegevensbescherming (FG), en bevestiging door de compliance functie.
De zelfverklaring moet gemakkelijk toegankelijk voor het maatschappelijk verkeer zijn. Relevante details zijn desgevraagd voor betrokkenen beschikbaar en de FG is bereikbaar voor het beantwoorden van vragen.
DPIA, een effectief compliance instrument
Een DPIA kenmerkt zich door een risicogerichte benadering van het onderzoek. Hierdoor is de DPIA een goed bruikbaar instrument bij het plannen van werkzaamheden, systeembeoordelingen en compliancewerkzaamheden. Het is niet verwonderlijk dat vanuit verschillende perspectieven stappenplannen voor het uitvoeren van DPIA’s zijn opgesteld. Dus ook vanuit het perspectief van compliance kan het instrument DPIA worden toegepast.
In de opdrachtomschrijving van de DPIA wordt aangegeven aan wie gerapporteerd en verantwoording wordt afgelegd. Speciale aandacht is er voor de belangen van de betrokkene (degene wiens persoonsgegevens worden verwerkt). Wij zouden kunnen zeggen dat de zelfverklaring van de leiding als onderdeel van de Accountability Seal Policy een vorm is van een DPIA gericht op verantwoorden aan het maatschappelijk verkeer.
De in het jaarplan opgenomen DPIA’s zijn veelal gericht op het vaststellen van de compliance met relevante wetgeving en contractverplichtingen.
Het is belangrijk om in een zo vroeg mogelijk stadium van een nieuwe ontwikkeling te beginnen met het plannen en uitvoeren van DPIA’s. De opdrachtomschrijving met een heldere scope van het onderzoek bepaalt de waarde van de uitkomsten van de DPIA. Hierdoor kunnen risico’s zo vroeg mogelijk worden gesignaleerd en worden meegenomen in prille beslissingen. Zoals bij het opstellen van functionele specificaties gericht of treffen van effectieve beheersingsmaatregelen bij de aankoop of het ontwikkelen van een applicatie.
DPIA Life cycle versus DPIA checklists
De DPIA is niet het afhandelen van een checklist zoals we helaas vaak zien, die – nog erger – daarna in een lade verdwijnt. Het uitvoeren van een DPIA is vakwerk. Het is daarom verstandig om hiervoor een goed opgeleide professional in te schakelen of op te leiden.
Een DPIA is geen éénmalige risicoanalyse maar wordt gedurende de life cycle van de verwerking van persoonsgegevens bijgehouden. De wetgever en de nadere uitleg van de wetgeving duiden op een life cycle van de verwerking.
“Risico’s worden afgewogen tussen doelen/ beleid, afhankelijkheden en kwetsbaarheden aan de ene kant en passende en effectieve beheersingsmaatregelen gericht op het beschermen van de persoonsgegevens aan de andere kant”
De door de leiding te maken afweging voor het toepassen van DPIA’s wordt door het besluit van de AP met een lijst van de verplicht uit te voeren DPIA’s kracht bij gezet. De wetgever en ook de Nederlandse good governance code biedt de leiding wel een risicogerichte benadering ‘pas de DPIA toe of leg uit waarom een DPIA niet is uitgevoerd’.
De professional belast met het uitvoeren van DPIA’s heeft ervaring met het uitvoeren van dergelijke onderzoeken én begrijpt de wetgeving op het vlak van gegevensbescherming en informatieveiligheid. De kwaliteit van de professional kan worden afgelezen aan de hand van de opdrachtbeschrijving. Hierin is duidelijk wat het doel van de DPIA is, wie de stakeholders zijn, wat de aanpak is en wat de opdrachtgever verwacht van de rapportage. De DPIA maakt onderdeel uit van de DPIA life cycle. Dit wil zeggen dat de rapportage aanleiding geeft de volgende DPIA te plannen. In het jaarplan vindt de jaarlijkse weerslag van de DPIA Life cycle plaats.
De leiding stelt het jaarplan compliance op waarna, indien aanwezig, de raad van commissarissen instemt met het plan. Afhankelijk van de DPIA Life cycle zijn in het compliance plan ook de uit te voeren DPIA’s opgenomen. De FG ziet toe op het tijdig en goed uitvoeren van de DPIA’s. Op basis van de verwachtingen van de AP voorzien wij de volgende DPIA’s op:
- Nieuwe diensten/services/systemen die een hoog risico opleveren voor betrokkenen. Voordat deze systemen in gebruik genomen mogen worden zijn er DPIA’s uitgevoerd en rekening gehouden met de uitkomsten van deze onderzoeken;
- Wijzigingen in bestaande diensten/services/systemen; en
- Uitgevoerde DPIA’s. Het gaat om een periodieke 3-jaarlijkse herijking.
Bij het bepalen van uit te voeren DPIA’s wordt rekening gehouden met de focus die de AP voor de jaren 2020-2023 legt op: datahandel, digitale overheid en artificiële intelligentie en algoritmes.
Het hanteren van checklists kan “een steuntje in de rug” zijn. De wetgever vraagt een professionele aanpak dat verder gaat dat invullen van een checklist.
Hoe past de DPIA in de compliance life cycle?
Compliance, en misschien wel beter governance & compliance, richt zich op het inzichtelijk maken, plannen en uitvoeren van onderzoeken, interpreteren van resultaten en trekken van conclusies en vervolgens weer plannen van onderzoeken gericht op het treffen van effectieve beheersmaatregelen die zijn opgenomen in bedrijfsactiviteiten gericht op het nakomen van de wet, contractverplichtingen die zijn aangegaan en beleidsrichtlijnen.
Compliance, zoals aangegeven, heeft het karakter van een life cycle. Het is de bedoeling dat de organisatie professionele adviezen van interne en externe professionals ter harte neemt en hiermee de bedrijfsvoering effectiever en kostenefficiënter maakt. Kortom, bijdraagt aan de continuïteit van de bedrijfsvoering.
Binnen deze gedachte past de DPIA life cycle. Het betreffen immers DPIA’s gericht op het effectief beschermen van persoonsgegevens zoals bedoeld in privacywetgeving, verplichtingen die voortvloeien uit verwerkersovereenkomsten en privacy beleidsrichtlijnen van de leiding van een bedrijf. Wij kunnen zeggen dat de uitkomsten van DPIA’s – net als alle andere compliance onderzoeken – bijdragen aan een betere bedrijfsvoering. De DPIA life cycle past dus in de compliance life cycle.
Meer informatie
Heeft u vragen of heeft u behoefte aan een afspraak? Neem gerust contact met ons op.