Accountability en de AVG

De AVG is dit voorjaar van kracht geworden. Eigenlijk golden de privacyregels al in de vorm van de Wet bescherming persoonsgegevens (Wbp). De AVG is lang van tevoren aangekondigd, zodat eenieder zich goed kon voorbereiden. Opvallend was dat er dit voorjaar vooral veel angst was om boetes te krijgen van de Autoriteit Persoonsgegevens. Angst is een slechte raadgever en dat is ook nu het geval. We zagen de cursussen en seminars de grond uitschieten en er werd door consultants en juristen goed geld verdiend aan adviezen over de implementatie van de AVG.

Het doel van de AVG is, conform artikel 1.1:

‘Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.’

Het gaat dus om de bescherming van natuurlijke personen. Mensen zoals u en ik. De belangen van het individu staan voorop. De AVG verschuift de facto een deel van de macht van de datagiganten, zoals Google, Facebook en dergelijke naar het individu. De verwerking van de gegevens moet op orde zijn, daar is bij de meeste organisaties in relatie tot de AVG de meeste aandacht naar uitgegaan (zorgen dat er niets fout gaat). Concreet: alle organisaties hebben wel een privacy impact assessment uitgevoerd. Er is een privacy statement, een register van verwerkingen, er is een onderbouwde keuze gemaakt voor het al dan niet aanstellen van een Functionaris Gegevensbescherming (FG), er is een gemotiveerde positie bepaald als verantwoordelijke of verwerker in het kader van de AVG en er is een risicoanalyse gemaakt van de AVG-risico’s per proces.

Maar de AVG draait ook om het vrije verkeer van de gegevens. Dit vrije verkeer kan pas dan worden gerealiseerd als het individu over zijn eigen data kan beschikken. En dat is een belangrijk onderdeel van de AVG. Elk individu kan en mag bij elke organisatie opvragen welke gegevens over hem/haar zijn opgeslagen. En het mooie is dat die organisatie deze gegevens moet leveren. De data zijn immers eigendom van het individu. Het is natuurlijk niet te voorspellen hoe het precies zal gaan. Maar zeker lijkt dat individuen met het bezit van hun data ‘iets gaan doen’. Anders gezegd: die data zijn geld waard. Voorbeelden kunnen we al lezen in de media. Zo heeft de ANWB een Veilig Rijden Autoverzekering voor leden. Deze verzekering geeft korting op basis van de rijstijl van de verzekerde. Hoe veiliger wordt gereden, hoe hoger de korting op de verzekeringspremie. Na afloop van ieder kwartaal bepaalt de ANWB de eindscore en betaalt de korting uit. De ANWB beschikt hiermee over gevoelige persoonsgegevens, waarbij de ANWB ook weer moet voldoen aan de AVG-eisen.

De vraag die in dit artikel aan de orde komt, is wat u als controller met de AVG moet.

Rol controller

De controller heeft als missie de bedrijfsvoering te beheersen. Zorgen dat er niets fout gaat en ook zorgen dat het goed gaat. Definiëren wat goed, fout en het is moet de controller houvast geven. De traditionele verantwoordelijkheden en werkzaamheden van de controller zijn vooral gericht op een betrouwbare verslaggeving en op een adequaat risicomanagement, hetgeen weer ondersteunend is voor de doelstelling van de organisatie. Maar hoe doe je dat in relatie tot de AVG?

Doelstelling organisatie centraal

In veel organisaties wordt vanuit de systemen naar de doelstelling gedacht. De systemen zijn in de praktijk hierdoor te vaak leidend. Het is de kunst om dit om te draaien en de doelstelling centraal te stellen. Het gaat er immers om de doelstellingen van de organisatie te realiseren.¹

In onze benadering van de AVG gaan wij uit van de doelstelling van de AVG. De doelstelling is individuen te beschermen inzake hun persoonlijke gegevens. Onderdeel van deze bescherming is dat individuen het recht hebben aan organisaties die hun gegevens verwerken te vragen om verantwoording af te leggen. Sterker nog, de verantwoordingsplicht is wettelijk geregeld in de AVG. Artikel 24 zegt:

‘Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.’

De AVG legt de verantwoordelijke een verantwoordingsplicht op. De verantwoordelijke organisatie moet kunnen aantonen dat de verwerking van persoonsgegevens:

• rechtmatig, behoorlijk en transparant is;
• zich houdt aan het doel waarmee de gegevens zijn verzameld (‘doelbinding’);
• beperkt blijft tot het doel (‘minimale gegevensverwerking’);
• juist is;
• niet langer duurt dan noodzakelijk (‘opslagbeperking’);
• adequaat is beveiligd (‘integriteit en vertrouwelijkheid’).

De AVG eist in artikel 24 dat de organisatie nadenkt over de risico’s, de bijpassende beheersmaatregelen en de evaluatie van de werking ervan (monitoring in COSO-terminologie). Dit is nu precies waar de controller een bijdrage kan leveren. Vanuit zijn deskundigheid kan de controller COSO en alle modellen van risicomanagement hier op los laten.

Belangrijk in artikel 24 is het woordje aantonen. De organisatie moet kunnen aantonen dat conform de eisen van de AVG wordt gehandeld. Dit is accountability in optima forma. Accountability gaat over verantwoordelijkheid en het afleggen van verantwoording over die verantwoordelijkheden. De organisatie moet dus verantwoording afleggen over de wijze waarop volgens de AVG wordt gehandeld en welke risico’s zijn onderkend, hoe deze zijn gewogen en welke mitigerende maatregelen zijn getroffen. Ook dient helder te worden gemaakt of deze beheersmaatregelen al dan niet hebben gewerkt. Kortom: wat is gedaan, waarom is dat gedaan en was het succesvol?

Accountability AVG ingevuld: een aanzet

Om handreikingen te vinden die behulpzaam kunnen zijn bij de invulling van de accountability hebben wij gekeken naar vormen waarop de traditionele verantwoording door organisaties plaats heeft. De meest voor de hand liggende is natuurlijk de financiële verantwoording. Luca Pacioli bedacht aan het einde van de 15de eeuw het systeem van dubbel boekhouden. Dit systeem is geëvolueerd tot een stelsel van verslaggeving over de financiën van de organisatie. De hoofdlijnen van de financiële verslaggeving zijn:

• waarderingsgrondslagen, dit is de bril waardoor je naar de werkelijkheid kijkt en deze grondslagen vormen de basis voor de waardering van gebeurtenissen en feiten;
• verslaggevingsvoorschriften, regels over de wijze waarop de gebeurtenissen en feiten moeten worden gewaardeerd, met als voordeel dat standaardisatie het mogelijk maakt te vergelijken en te benchmarken;
• balans en winst- en verliesrekening, waarbij de balans de momentopname is en de waarde op een bepaald moment weergeeft, terwijl de winst- en verliesrekening zichtbaar maakt wat in de verslagperiode is gebeurd;
• kasstroomoverzicht, dat inzicht geeft wat er daadwerkelijk op de bank is gebeurd, los van boekhoudkundige keuzen.

Naast deze vaste componenten onderkent het verslaggevingssysteem nog gebeurtenissen na balansdatum, niet uit balans blijkende verplichtingen en het bestuursverslag.

De vraag is of deze hoofdlijnen ook toepasbaar zijn op de accountability volgens de AVG. Wij denken van wel. Financiële gegevens zijn in termen van informatietechnologie data, net zoals persoonsgegevens data zijn. Data zijn het hart van elke organisatie anno 2018 en organisaties ontlenen hun waarde aan de data. De wijze waarop dat gebeurt en wat de waarde is, verschilt evenwel per organisatie. Onderstaand vullen wij de vraag naar accountability bij de AVG in aan de hand van bovenstaande elementen van het systeem van financiële verslaggeving. Daarbij wordt gebruikgemaakt van de hiervoor behandelde terminologie.

Performative accountability

Op de balans kunnen de databestanden en systemen worden gezet. Zowel aan de kant van de activa als aan die van de passiva. Onder de activa de bestanden en systemen die waarde hebben, onder passiva de systemen die worden gezien als legacy (verouderde systemen). Alleen al de inventarisatie van de bestanden en systemen en het nadenken over welke waarde, positief of negatief, deze vertegenwoordigen is heel waardevol. Immers, is een systeem verouderd (legacy) en kost het geld? Of kent het systeem veiligheidsrisico’s? Of creëert het systeem waarde voor de organisatie? En welke mogelijkheden zijn er dan voor de organisatie om die waarde te verzilveren? Is de waardeverzilvering wel een expliciet onderdeel van het bedrijfsbeleid?

In de winst- en verliesrekening kan de organisatie verantwoording afleggen over hetgeen is gebeurd in het verslagjaar. Denk bijvoorbeeld aan de aantallen mutaties per soort. Wat zijn de toegevoegde databestanden en systemen? En wellicht kan de organisatie dan ook een waardeontwikkeling gerelateerd aan de data toelichten. Bijvoorbeeld de autoverzekeraar die, in het voorgaande voorbeeld, de aantallen en waarde van de als cliënt verkregen automobilisten opneemt die hun verzekering sluiten tegen overlegging van de data van hun rijgedrag.

In het kasstroomoverzicht zouden bijvoorbeeld de kosten en opbrengsten inzake de data kunnen worden opgenomen. Hoeveel geld kost de beveiliging tegen cybercrime? Hoeveel aanvallen zijn afgeslagen en tegen welke kosten? Hoeveel en welk soort datalekken zijn er geweest? Maar ook: welke waarde is gegenereerd met de data? Alleen al het stellen van deze vraag dwingt elke organisatie na te denken over waardecreatie met haar data.

Decisional accountability

Een organisatie kan deze accountability invullen in het bestuursverslag, bij de waarderingsgrondslagen en bij niet uit de balans blijkende verplichtingen

In het bestuursverslag kan verantwoording worden afgelegd over het al dan niet aanstellen van een Functionaris Gegevensbescherming (FG), hoe de FG is ingebed in de governance van de organisatie, over het gegevensbeschermingsbeleid van de organisatie, en vooral over de visie op waardecreatie met de data. Data kunnen van de eigen organisatie zijn, maar wellicht ook van derden.

In de waarderingsgrondslagen kan worden uiteengezet hoe de organisatie aankijkt tegen data en de bescherming hiervan. Wat is de risk appetite ten aanzien van schendingen van de bepalingen uit de AVG? Hoe wil de organisatie omgaan met de natuurlijke personen waarvan de data worden verwerkt?

Onder de niet uit de balans blijkende verplichtingen kan aandacht worden besteed aan de risicoanalyse op mogelijke schade door datalekken. Hier kan ook het communicatiebeleid ter bescherming van de reputatie worden uitgewerkt.

Het 9-vlaksmodel van Rik Maes²

Het 9-vlaks model is van oorsprong gericht op de integratie tussen drie domeinen (kolommen) in een organisatie: (1) de bedrijfsvoering (de business), (2) de informatievoorziening en (3) de wijze waarop de informatie wordt verkregen, in casu de informatietechnologie. Binnen ieder domein wordt onderscheid gemaakt tussen:

• het richten, ofwel het formuleren van het beleid ten aanzien van het domein;
• het inrichten, ontwerpen van de desbetreffende organisatiestructuur inclusief de toedeling van taken, bevoegdheden en verantwoordelijkheden;
• het verrichten; dit betreft de operationele uitvoering van processen voor de realisatie van de in het beleid geformuleerde doelen.

Schematisch is het model hieronder weergegeven. Toepassing van het model op ons onderwerp ‘accountability van de AVG’ leidt tot het volgende.

Business

De kolom Business wordt in ons geval het domein dat gaat over het beschermen van de privacy en het gebruik van gegevens. Dit alles in relatie tot het bedrijfsmodel van de organisatie. In dit kader is de AVG een fantastische aanleiding om het eigen bedrijfs- of organisatiemodel nog eens goed te evalueren. Dit is in het model de fase van richten. Welke data spelen een cruciale rol en wat zijn de value drivers van de organisatie? Waar draait het om, of in goed jargon: waarmee wordt de toegevoegde waarde gecreëerd? Dit moet elke organisatie (willen) weten. Als dit goed gebeurt, is er een basis voor een goede accountability conform de AVG.

Bij het inrichten gaat het dan om het toedelen van taken, bevoegdheden en verantwoordelijkheden rond alle functies, bijvoorbeeld het aanstellen van een Functionaris Gegevensbescherming (FB). Ook het vormgeven van processen wordt hiertoe gerekend.

Het verrichten slaat in deze kolom op het uitvoeren van procedures, regels en werkwijzen inzake de omgang met gegevens die vallen onder de AVG.

Information

Pas als de eigen business goed is doorgrond kan de informatievoorziening worden opgezet. Dit is de fase van richten. Hier moeten de doelstellingen van de organisatie worden doorvertaald naar doelstellingen waarin de informatievoorziening moet voorzien. Dan is immers bekend waar het om gaat, wat de organisatiedoelstellingen zijn en welke risico’s worden onderkend. Op basis hiervan wordt bepaald welke informatie nodig is.

In het kader van de accountability van de AVG moet in deze fase van inrichten eerst helder worden hoe de verantwoording eruitziet. Daarna kan worden beoordeeld of de benodigde informatie wel of niet voorhanden is. Zo niet (en vaak is dat deels het geval), dan kan bijvoorbeeld (en in onze ogen met name) de controller hier de nodige werkzaamheden voor verrichten. Ook kan worden bepaald welke aanpassingen in de organisatiestructuur nodig zijn. Bijvoorbeeld het instellen van de functie Functionaris Gegevensbescherming en de positionering van die functie in de organisatie of deze outsourcen.

In die gevallen waarin de organisatie een verantwoordelijkheid heeft voor gegevens moet zij kunnen aantonen dat de verwerking van persoonsgegevens geschiedt conform de vereisten uit de AVG (zoals integriteit, vertrouwelijkheid, opslagbeperking enzovoort). Over de wijze waarop met de verantwoordelijkheden wordt omgegaan dient informatie te worden vastgelegd, zodat achteraf verantwoording kan worden afgelegd. Het afleggen van verantwoording is de concretisering van de fase van verrichten.

Ter illustratie een voorbeeld over kostendeclaraties. Deze worden op naam verwerkt in de financiële administratie, omdat de kosten controleerbaar moeten zijn, zowel intern als voor de accountant. Ook moeten de kosten intern naar de juiste kostenplaats worden doorbelast. Kortom, deze registratie voldoet aan het vereiste van doelbinding uit de AVG. De specificatie van de telefoonkosten en de kilometerregistraties van de door de organisatie ter beschikking gestelde auto’s zijn immers persoonsgegevens. De organisatie moet hier nadere afspraken over maken met betrokkenen.

Infrastructuur van de IT

In het kader van de AVG is IT een belangrijk onderwerp, zeker omdat veel privacygegevens geautomatiseerd worden verwerkt. Immers, de IT moet waarborgen dat aan de vereisten van de AVG in continuïteit wordt voldaan. Dit vraagt onder meer in de fase van richten om beleid rond toegang tot gegevens, beveiliging van bestanden, security rond datatransmissie en opslag van gegevens.

In de fase van inrichten volgt de doorvertaling van de in de voorgaande fase vastgestelde beleidsuitgangspunten naar de inrichting van de IT. Als voorbeeld noemen wij het aanmelden via een website. Het gaat er dan om voldoende zekerheid te verkrijgen dat de degene die zich online aanmeldt inderdaad degene is die hij/zij zegt te zijn. Ook het beveiligen, het voorkomen van onterechte toegang valt hieronder. Schending is immers een onbedoeld datalek.

Ook hier geldt dat in de fase van verrichten de organisatie accountable moet zijn en verantwoording moet afleggen. Dit vraagt om een goede logging van de daarvoor noodzakelijke gegevens, alsmede om het opstellen van verantwoordingsverslagen.

Conclusie

De AVG is dit voorjaar van kracht geworden. In de praktijk zien wij dat het naleven van de regels centraal staat (compliance). De AVG heeft echter ook een doel en juist dat doel moet centraal staan. Zeker bij organisaties in de publieke sector. De doelstelling van de AVG is individuele personen te beschermen inzake hun persoonsgegevens. De AVG heeft, om deze bescherming concreet te maken, het individu veel rechten gegeven. Een belangrijk recht hiervan is dat het individu (op basis van de AVG) aan organisaties mag vragen zich te verantwoorden over de wijze waarop met de persoonsgegevens wordt omgegaan: accountability.

In dit artikel is een op de controller gericht inzicht gegeven hoe vanuit de doelstellingen van de AVG een aantal aspecten rond de accountability kan worden ingevuld. Accountability heeft tot nu toe slechts weinig aandacht gekregen, maar is bij uitstek een onderwerp waar de controller een verantwoordelijkheid voor draagt. Wij zien hier een kans voor de controller om de organisatie te helpen bij een goede toepassing van de AVG en een mogelijkheid om zijn expertise in te zetten en te demonstreren. Dit artikel heeft hiervoor een parallel uitgewerkt met de financiële verslaggeving, gebaseerd op Pacioli.

P. Klop RA MGA is partner Public Values BV. Drs. E.H. Jansen RA CPC MCM is organisatie­adviseur, docent en onderzoeker bij de Universiteit van Amsterdam en de Erasmus Universiteit Rotterdam.

Noten

1. Zie bijvoorbeeld https://verdraaideorganisaties.nl/introductie/samenvatting/.
2. Maes, R. (2003), ‘Informatiemanagement in kaart gebracht’. Maandblad voor Accountancy en Bedrijfseconomie 2003 – 77^e jaargang, editie 11.