Magazine 20 september 2019

Digitaal

Arnout van Kempen over digitale zaken.

Dit artikel is verschenen in Accountant Q3, 2019

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

De AVG introduceert de rol van ‘functionaris voor de gegevensbescherming’ (FG). In een aantal gevallen verplicht, altijd vrijwillig mogelijk. Of een FG bij accountantskantoren verplicht is lijkt een kwestie van interpretatie. Ik ben zelf FG voor twee grote mkb-kantoren, maar ik ken ook vergelijkbare kantoren zonder.

Een echte FG wordt aangemeld bij de toezichthouder en geniet bescherming die hem of haar voldoende onafhankelijk moet maken. Het moet iemand zijn met kennis van de AVG, van ICT en van organisatiekundige concepten die voor zijn of haar rol relevant zijn. De taak van de FG is primair het toezien op en het bevorderen van de compliance van de organisatie met de AVG.

U ziet ongetwijfeld al de parallel met de compliance officer. En inderdaad, een FG is feitelijk niets anders dan een compliance officer met als specifieke aandachtsgebied de AVG. Als uw organisatie al een CO heeft, dan is het niet geheel onlogisch om de taken van de FG bij deze CO te leggen.

Wat doet die FG de hele dag? Twee dingen: toezicht houden en bevorderen van compliance. Eventueel het invullen van specifieke AVG gerelateerde taken, zoals melden datalekken.

Toezicht houden betekent heel concreet vaststellen dat de organisatie in opzet en bestaan voldoet aan de AVG. Dat wil zeggen dat alle verplichtingen uit de AVG organisatorisch zijn ingebed. Is een beveiligingsbeleid ontwikkeld en geïmplementeerd? Zijn verwerkingingsovereenkomsten opgesteld en is geregeld dat deze daadwerkelijk worden ondertekend en nagekomen? Hebben we een verwerkingsregister en weten we bijvoorbeeld dat gegevens tijdig worden vernietigd? En hebben we procedures voor de naleving van de rechten van betrokkenen, zoals bijvoorbeeld het recht vergeten te worden?

Minstens zo belangrijk is het toezicht op de werking van al dat moois. Van een FG, of CO als u geen FG hebt, wilt u niet alleen horen dat u mooie handboeken hebt. U wil vooral weten dat de organisatie daadwerkelijk werkt binnen de wet. En dat betekent review van procedures, van dossiers. Het betekent ook het feitelijk testen van de beveiliging waarbij al snel inhuur van specialisten nodig zal zijn.

En dan het bevorderen van compliance. Hier valt te denken aan interne opleidingen, een regelmatig optreden bij vaktechnische
overleggen, summercourses en wat niet al. Maar ook het mede ontwerpen van bewustwordingscampagnes. Denk aan de muismat, het startscherm of de posters in de gang. Klinkt misschien oudbakken, maar het werkt wel als u het goed doet.