Digitaal
Arnout van Kempen over digitale zaken.
Dit artikel is verschenen in Accountant Q3, 2019
Bekijk alle artikelen uit dit nummer
De AVG introduceert de rol van ‘functionaris voor de gegevensbescherming’ (FG). In een aantal gevallen verplicht, altijd vrijwillig mogelijk. Of een FG bij accountantskantoren verplicht is lijkt een kwestie van interpretatie. Ik ben zelf FG voor twee grote mkb-kantoren, maar ik ken ook vergelijkbare kantoren zonder.
Een echte FG wordt aangemeld bij de toezichthouder en geniet bescherming die hem of haar voldoende onafhankelijk moet maken. Het moet iemand zijn met kennis van de AVG, van ICT en van organisatiekundige concepten die voor zijn of haar rol relevant zijn. De taak van de FG is primair het toezien op en het bevorderen van de compliance van de organisatie met de AVG.
U ziet ongetwijfeld al de parallel met de compliance officer. En inderdaad, een FG is feitelijk niets anders dan een compliance officer met als specifieke aandachtsgebied de AVG. Als uw organisatie al een CO heeft, dan is het niet geheel onlogisch om de taken van de FG bij deze CO te leggen.
Wat doet die FG de hele dag? Twee dingen: toezicht houden en bevorderen van compliance. Eventueel het invullen van specifieke AVG gerelateerde taken, zoals melden datalekken.
Toezicht houden betekent heel concreet vaststellen dat de organisatie in opzet en bestaan voldoet aan de AVG. Dat wil zeggen dat alle verplichtingen uit de AVG organisatorisch zijn ingebed. Is een beveiligingsbeleid ontwikkeld en geïmplementeerd? Zijn verwerkingingsovereenkomsten opgesteld en is geregeld dat deze daadwerkelijk worden ondertekend en nagekomen? Hebben we een verwerkingsregister en weten we bijvoorbeeld dat gegevens tijdig worden vernietigd? En hebben we procedures voor de naleving van de rechten van betrokkenen, zoals bijvoorbeeld het recht vergeten te worden?
Minstens zo belangrijk is het toezicht op de werking van al dat moois. Van een FG, of CO als u geen FG hebt, wilt u niet alleen horen dat u mooie handboeken hebt. U wil vooral weten dat de organisatie daadwerkelijk werkt binnen de wet. En dat betekent review van procedures, van dossiers. Het betekent ook het feitelijk testen van de beveiliging waarbij al snel inhuur van specialisten nodig zal zijn.
En dan het bevorderen van compliance. Hier valt te denken aan interne opleidingen, een regelmatig optreden bij vaktechnische
overleggen, summercourses en wat niet al. Maar ook het mede ontwerpen van bewustwordingscampagnes. Denk aan de muismat, het startscherm of de posters in de gang. Klinkt misschien oudbakken, maar het werkt wel als u het goed doet.
Gerelateerd

Recordboete voor fiscus wegens illegale zwarte lijst
De Autoriteit Persoonsgegevens heeft de Belastingdienst een boete van 3,7 miljoen euro opgelegd omdat de fiscus jarenlang een illegale zwarte lijst hanteerde om...

KVK in beroep om doorspelen gegevens aan banden te leggen
De Kamer van Koophandel (KVK) gaat in beroep tegen een vonnis dat de instantie verplicht onbeperkt gegevens te delen. De beheerder van het Handelsregister wilde...

Ierland legt Facebook-eigenaar boete van 17 miljoen euro op
Meta, het moederbedrijf van Facebook, moet van de Ierse toezichthouder voor privacy een boete van 17 miljoen euro betalen wegens twaalf datalekken bij het socialmediaconcern.

Toezichthouders willen betere voorlichting over online gebruik gegevens van internetgebruikers
Bedrijven, instellingen en overheden moeten mensen beter voorlichten hoe zij hun gegevens online gebruiken.

DPG Media krijgt forse boete van Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) heeft DPG Media een boete opgelegd van 525 duizend euro.