De AVG in Beeld: Toezicht

Auteur: Alfonso Okué

In de blogserie “De AVG in Beeld” zullen wij met het oog op onze PrivacyProof®-methodiek de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog beschrijven we aan de hand van een aantal praktijkvoorbeelden, de wettelijke vereisten en geven wij een aantal tips en tricks om de AVG op een praktische, pragmatische, hanteerbare, beheersbare en leuke manier te organiseren.

Deze blog heeft als doel om u over het toezicht van de accountant en functionaris voor gegevensbescherming (FG) te informeren. De afgelopen maanden hebben wij onze klanten van een FG-jaarverslag voorzien. Het FG-jaarverslag dient om u – als bestuurder, manager of overige stakeholder – een goed beeld van de privacybeleidsvoering te geven. Maar wat is de verdere toegevoegde waarde van het FG-jaarverslag? In deze blog leest u hier meer over.

 

Het juridisch kader: FG en Accountant

De FG en accountant zijn beide toezichthouders binnen elkaars vakgebied. Waar het voor u inmiddels duidelijk is dat de FG toezichthouder voor privacy is, is de accountant een toezichthouder in kader van de financiële boekhouding en de corporate governance code. In de komende alinea lichten wij beiden toe.

FG en verslaglegging
Voor de FG-verslaglegging zijn de artikelen 37 t/m 39 AVG van belang. Deze artikelen beschrijven dat de FG toeziet en adviseert over de naleving van de AVG en het beleid over de verwerking van persoonsgegevens. Binnen zijn taakomschrijving houdt hij rekening met:

  1. de verwerking van persoonsgegevens;
  2. de risico’s voor de rechten en vrijheden van betrokkene(n);[1]
  3. de getroffen passende technische en organisatorische maatregelen;
  4. de aantoonbaarheid daarvan.

Die maatregelen dient hij nader te evalueren, zodat de organisatie, waar nodig, kan bijsturen. Dat kan door de hoogste managementlaag van een organisatie rechtstreeks te adviseren, maar ook door periodieke verslaglegging.

Het FG-verslag schept dus een toezichtbeeld op de naleving van de AVG, de genomen passende maatregelen en de evaluatie op de genomen maatregelen. Bij het laatste punt kunt u denken aan de toepassing van Privacy by design of uitgevoerde PIA’s, dan wel de naleving van de rechten van betrokkene(n).

De accountant en verslaglegging

De accountant kent wat betreft zijn verslaglegging de beroepscode Accountants en Burgerlijk Wetboek boek 2 (2 BW) als zijn juridisch kader. 2 BW[2] beschrijft het jaarrekeningenrecht en de verslaglegging daarvan. In het kader van de AVG doet de accountant onderzoek naar het ontstaan van risico’s die mogelijk de organisatie kunnen bedreigen. Denk hierbij aan een niet-gemeld datalek, incompetente FG of structuurwijziging van de organisatie. Hierbij kunt u ook denken aan de financiële bedreigingen uit de AVG, Wwft of andere relevante wet- en regelgeving.

In tegenstelling tot de verslaglegging van de FG, is de verslaglegging van de accountant uitdrukkelijk in de wet beschreven. De verslaglegging van een accountant moet een jaarlijks overzicht van de financiële situatie van een bedrijf of organisatie beschrijven. De opbouw van het accountantsverslag is een jaarverslag van het bestuur, financiële balans, winst-en-verliesrekening over het afgelopen jaar of een resultatenrekening, toelichting over financiën, het kasstroomoverzicht en (in bepaalde gevallen) een accountantsverklaring.

Concluderend, beide beroepen lijken op elkaar en bekleden binnen hun eigen vakgebied dezelfde maatschappelijke functies. Je kan dus spreken van een ‘functionaris voor de jaarcijfers’ en de ‘gegevensbeschermingsaccountant’.

Maar wat nu als de accountant op bezoek komt en de accountant zich inhoudelijk over de AVG begint te buigen? Hier volgen dan drie tips:

  1. Zorg er dan voor dat uw AVG-managementaanpak (DPMS) op orde is. Stelt u zichzelf daarbij de volgende vragen:
  • Heeft u een FG, privacy officer, privacyprogramma-manager of -coördinator en een portefeuillehouder?
  • Zijn die rollen beschreven en nader vastgelegd?
  • Is er sprake van een missie, visie en ambitie op privacy?

Als dit het geval is, wijs de accountant dan op dit framework. De FG kan met zijn FG-jaarverslag de accountant informeren over de voortgang van uw privacyprogramma.

  1. Zorg ervoor dat de FG aansluit bij de planning en control-cyclus van uw organisatie. Is dat per kwartaal, halfjaar of jaar? Per tijdstip dient er dan een (voorlopig) FG-jaarverslag te liggen. Het voordeel daarvan is dat een accountant niet alleen op de verklaringen van werknemers hoeft te vertrouwen, maar ook op de FG-verslagen van de organisatie.
  2. Wees kritisch. Als een accountant een eigen oordeel over privacy vormt, dan is dat prima. Sterker nog, dat moet hij doen! Een accountant is echter geen privacyprofessional. Bij één van onze klanten stelde de accountant vragen over een niet-gemeld datalek, maar wel een geregistreerd datalek.

Daarnaast stelde de accountant ook vragen over de afhandeling daarvan en legde een FG-oordeel en jaarverslag (deels) naast zich neer. Dat kan natuurlijk niet zomaar en daar mag je de accountant ook best op aanspreken. Hij dient zich in overeenstemming met de gedrag- en beroepsregels[3] professioneel, vakbekwaam en objectief op te stellen. Het neerleggen van een FG-verslag is mogelijk, maar wel met de juiste argumenten.

Voor accountants, andere externe toezichthouders of derden – zoals de AP of gemeentelijke rekenkamer – is er ook één tip: werk bij vragen over de naleving van de AVG samen met de FG. De FG kan ervoor kiezen om zelf onderzoek te doen en u van het nodige voorwerk te voorzien. Dat levert u dan twee voordelen op:

  1. Het voorwerk kunt u gebruiken om uw eigen zienswijze nog beter te onderbouwen.
  2. Het scheelt u aan mankracht, tijd en geld. Kortom: gedoe. U voorkomt daarmee de ‘dubbele’ uitvraag.  

Hoe kan PMP u helpen?

Sinds afgelopen maand bieden wij een aantal nieuwe diensten om het samenspel tussen organisatie, FG, toezichthouder soepeler te maken. Sinds kort bieden wij ook diensten voor FG’s. Hierbij kunt u denken aan een PMP FG-coachingtraject, waarbij uw (onervaren) FG door onze ervaren FG’s in een persoonlijk traject wordt begeleid. Ook bieden wij ondersteuning bij het opstellen van uw FG-verslagen of -jaarplan met het verrichten van een AVG-audit. Als u vragen over onze FG-diensten of overige diensten heeft, dan kunt u gebruik maken van het contactformulier.

 

Vragen?

Heeft u naar aanleiding van deze blog nog vragen? Dan kunt u in het onderstaande formulier uw reactie achterlaten of met ons contact opnemen. Wilt u nog meer over andere AVG-vereisten te weten komen en geen blog meer missen? U kunt zich dan aanmelden op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter of LinkedIn.

 

[1] De Catalogus van Rampspoed, zie overwegingen 74 – 76

[2] Artikel 2:360 BW en verder.

[3] Art. 2 en verder van de Verordening gedrags- en beroepsregels Accountants.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *