Menu

Opinie: Verantwoordelijkheid bij de AVG

Mijn favoriete bepaling in de Algemene Verordening Gegevensbescherming (AVG) gaat over ‘verantwoordelijkheid’. Er valt veel te zeggen over de vereisten voor rechtmatige verwerking, de voorwaarden voor geldige toestemming, en de rechten van de betrokkenen – maar zonder ‘verantwoordelijkheid’ stelt het allemaal weinig voor.

12-07-2019 -

Zon­der duidelijke omschrijving van wie verantwoordelijk is voor de nakoming van al dat moois, en van wat het feitelijk inhoudt om verantwoordelijk te zijn, blijft het allemaal luchtfietserij. Want vergis u niet: het is niet de betrokkene – en ook niet de toezichthouder – die voor een effectieve bescherming kan zorgen, maar uitsluitend een verantwoor­delijke die zijn taak begrijpt en op een juiste wijze hande­lend optreedt, zodat de bescherming van persoonsgegevens in de praktijk zijn werk kan doen.

De AVG heeft op dit punt belangrijke stappen in de juiste richting gezet. In het oude recht was ‘verantwoor­delijkheid’ niet geheel afwezig, maar de bepalingen daar­over waren grotendeels onzichtbaar of kwamen in de praktijk pas aan de orde bij de vraag wie aansprakelijk moest worden gesteld als er iets was misgegaan.

In het nieuwe recht is ‘verantwoordelijkheid’ vanaf het aller­eerste begin prominent aanwezig: een verantwoordelijke moet alle technische en organisatorische maatregelen treffen om te waarborgen dat aan de wettelijke eisen wordt voldaan, hij moet die maatregelen periodiek toet­sen en zo nodig aanpassen, en steeds kunnen aantonen dat aan deze verplichtingen is voldaan (zie artikel 24). Deze drievoudige opdracht is weliswaar afhankelijk van de omstandigheden en de risico’s van het geval, maar dat dwingt de verantwoordelijke nu juist om vanaf het eerste begin op zijn tellen te passen, teneinde onaange­name ontwikkelingen te voorkomen.

In deze benadering is ‘ver­antwoordelijkheid’ niet lan­ger een formaliteit, maar een onderwerp dat om per­manente zorg en aandacht vraagt. Binnen organisaties moet dit op een goede wijze worden georganiseerd om te verzekeren dat het daaraan niet ontbreekt. Vandaar dat er inmiddels een duidelijke trend is naar professionalise­ring van de gegevensbescherming: er is ook een groeiende beroepsgroep die de juiste expertise bezit om ‘verant­woordelijkheid’ in de praktijk inhoud te geven.

Toezichthouders hebben verder de wapens in handen gekregen om verantwoordelijken bij de les te houden. Dat behoeft niet zo ingewikkeld te zijn: zij kunnen er­voor kiezen om met eenvoudige acties te controleren of relevante organisaties op de goede weg zijn. Er is op dit gebied nog veel ‘laaghangend fruit’: een organisatie die geen helder overzicht heeft van de verwerkingen waar­voor men verantwoordelijk is, lijkt immers per definitie in gebreke.

Een toezichthouder kan in dergelijke geval­len een boete opleggen, maar ook besluiten om een termijn te stellen waarbinnen de nodige maatregelen getroffen dienen te worden. Passende publiciteit rond zulke acties kan achterblijvers prikkelen om beter hun best te doen.

Zowel verantwoordelijken als toezichthou­ders wens ik daarbij van harte veel succes toe.

Auteur: Peter Hustinx, Oud Europees Toezichthouder voor Gegevensbescherming

Bron: Tijdschrift Privacy & Persoonsgegevens

Ook interessant

Administration & organisation

5x Smart Cities. Guide des villes intelligentes (Belfius)

Pieter Ballon

Bestel uw printeditie

Administration & organisation

Draaiboek installatie politieke organen

Tom De Schepper
Pieter Vanderstappen
Marian Verbeek

Bestel uw printeditie

Administration & organisation

Digitaal handtekenen

V-ICT-OR

Bestel uw printeditie