Digitaal
Arnout van Kempen over digitale zaken.
Dit artikel is verschenen in Accountant Q3, 2019
Bekijk alle artikelen uit dit nummer
De AVG introduceert de rol van ‘functionaris voor de gegevensbescherming’ (FG). In een aantal gevallen verplicht, altijd vrijwillig mogelijk. Of een FG bij accountantskantoren verplicht is lijkt een kwestie van interpretatie. Ik ben zelf FG voor twee grote mkb-kantoren, maar ik ken ook vergelijkbare kantoren zonder.
Een echte FG wordt aangemeld bij de toezichthouder en geniet bescherming die hem of haar voldoende onafhankelijk moet maken. Het moet iemand zijn met kennis van de AVG, van ICT en van organisatiekundige concepten die voor zijn of haar rol relevant zijn. De taak van de FG is primair het toezien op en het bevorderen van de compliance van de organisatie met de AVG.
U ziet ongetwijfeld al de parallel met de compliance officer. En inderdaad, een FG is feitelijk niets anders dan een compliance officer met als specifieke aandachtsgebied de AVG. Als uw organisatie al een CO heeft, dan is het niet geheel onlogisch om de taken van de FG bij deze CO te leggen.
Wat doet die FG de hele dag? Twee dingen: toezicht houden en bevorderen van compliance. Eventueel het invullen van specifieke AVG gerelateerde taken, zoals melden datalekken.
Toezicht houden betekent heel concreet vaststellen dat de organisatie in opzet en bestaan voldoet aan de AVG. Dat wil zeggen dat alle verplichtingen uit de AVG organisatorisch zijn ingebed. Is een beveiligingsbeleid ontwikkeld en geïmplementeerd? Zijn verwerkingingsovereenkomsten opgesteld en is geregeld dat deze daadwerkelijk worden ondertekend en nagekomen? Hebben we een verwerkingsregister en weten we bijvoorbeeld dat gegevens tijdig worden vernietigd? En hebben we procedures voor de naleving van de rechten van betrokkenen, zoals bijvoorbeeld het recht vergeten te worden?
Minstens zo belangrijk is het toezicht op de werking van al dat moois. Van een FG, of CO als u geen FG hebt, wilt u niet alleen horen dat u mooie handboeken hebt. U wil vooral weten dat de organisatie daadwerkelijk werkt binnen de wet. En dat betekent review van procedures, van dossiers. Het betekent ook het feitelijk testen van de beveiliging waarbij al snel inhuur van specialisten nodig zal zijn.
En dan het bevorderen van compliance. Hier valt te denken aan interne opleidingen, een regelmatig optreden bij vaktechnische
overleggen, summercourses en wat niet al. Maar ook het mede ontwerpen van bewustwordingscampagnes. Denk aan de muismat, het startscherm of de posters in de gang. Klinkt misschien oudbakken, maar het werkt wel als u het goed doet.
Gerelateerd
Nemen we al afscheid van de oude kopie ID?
De witwas- en privacywetgeving zitten elkaar soms in de weg, aldus John Weerdenburg. Daardoor belanden accountants in de praktijk mogelijk in een spagaat.
LinkedIn krijgt Ierse boete van 310 miljoen euro
LinkedIn krijgt een boete van 310 miljoen euro van de Ierse toezichthouder DPC (Data Protection Commission). Het netwerkplatform zou de persoonlijke gegevens van...
KVK schermt nummers ondernemers af om misbruik tegen te gaan
Om onder andere misbruik tegen te gaan worden telefoonnummers van ondernemers vanaf woensdag afgeschermd in het Handelsregister. De Kamer van Koophandel (KVK) heeft...
Corporate privacy?
De data van privépersonen wordt gretig verhandeld. Maar hoe zit dat met de data van bedrijven, vraagt Joris Joppe zich af.
Toegang UBO-register blijft beperkt
De toegang tot het UBO-register blijft beperkt tot instanties met een wettelijke taak bij het voorkomen en tegengaan van fraude, witwassen en terrorismefinanciering....