Vaktechniek door Nathanja de Kruijff 24 oktober 2017

Accountability in GDPR: van verwerker tot verantwoordelijke

Zijn jij en je medewerkers al bezig om het GDPR-proces op jouw kantoor te implementeren? Accountability is hierbij een kernbegrip, maar om dat begrip goed te kunnen interpreteren, moet je weten welke rol je pakt: verantwoordelijke of bewerker?  

In mijn vorige blog schreef ik over hoe je met een goed GDPR-proces op jouw kantoor boetes kunt voorkomen. Om even je geheugen op te frissen: General Data Protection Regulation (GDPR) is in het Nederlands de Algemene Verordening Gegevensbescherming (AVG).

Accountability in GDPR

In deze blog ga ik in op het onderwerp 'accountability'. Wat houdt dat eigenlijk in? Het nederlandse woord 'verantwoording' klinkt misschien soft en dekt wellicht niet helemaal de lading. Maar uiteindelijk is het wel waar het om gaat. Het afleggen van verantwoording in het bewerken van gegevens van jouw klanten.

Het is meer dan je verantwoordelijk vóélen, je moet ook laten zíén dat je verantwoord met persoonsgegevens omgaat! Om dat te kunnen laten zien, voorziet de GDPR in bepaalde verplichte maatregelen die ondernemingen moeten nemen om aan het accountability vereiste te voldoen. Onderstaand op een rijtje:

  • het bijhouden van een register van verwerkingsactiviteiten; 
  • het uitvoeren van een data protection impact assessment (DPIA);
  • het bijhouden van een register van datalekken die zijn opgetreden;
  • het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor gegevensverwerking wanneer jij voor een verwerking toestemming nodig hebt.
  • wanneer onduidelijk is of je verplicht bent om een functionaris voor gegevensbescherming aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor gekozen hebt om al dan niet een functionaris voor gegevensbescherming aan te stellen.

Bovenstaande onderwerpen zal ik in mijn volgende blogs uitvoeriger bespreken.

Rol verantwoordelijke of bewerker

Alvorens te bekijken wat je zou moeten doen om te voldoen aan GDPR accountability, moet je eerst weten welke rol je als bedrijf neemt. De verplichtingen verschillen namelijk wanneer je ‘verantwoordelijke’ of ‘bewerker’ bent. Voor accountants is dit redelijk diffuus, want accountants kunnen van rol wisselen. Voor een bepaalde opdracht bepaalt de inhoud van de opdracht welke rol de accountant heeft.

Bepaal je zelf het doel en de middelen van de verwerking of bepaalt de klant dat? Dit is lastig te bepalen. Het doel kan zijn ‘boekhouding doen van verschillende bedrijven’ en het middel kan zijn ‘bepaalde boekhoudsoftware’. Als jij als accountant aanbieder van de boekhoudsofware bent, bepaal jij dan het doel en de middelen van de gegevensverwerking of ben je nog slechts uitvoerend in opdracht van de klant? Gelukkig heeft de Nederlandse Beroepsorganisatie van Accountants (NBA) ons wat handreiking gegeven op dit gebied.

Tabel GDPR.jpg

Voer je een assurance-opdracht uit of stel je een jaarrekening samen? Dan is de kans groot dat je de rol van verantwoordelijke neemt. Doe je slechts salarisadministratie, dan ben je waarschijnlijk bewerker. Het is altijd van belang dat je per opdracht de omstandigheden van het geval in overweging neemt.

Gegevensverwerking bepalen

Kortom, voordat je gaat kijken hoe je aan het accountability vereiste van de GDPR kunt voldoen, moet je eerst weten welke rol je pakt. Voor accountants is dit wisselend, daarom moet per opdracht bekeken worden welke taken opgepakt worden en of deze rijmen met de rol van verantwoordelijke of van bewerker. Pas als dat duidelijk is, kun je per gegevensverwerking bepalen, waar je aan moet voldoen.

In mijn volgende blog vertel ik je graag meer over deze verplichtingen.

Wil je niets missen?

Blijf op de hoogte van nieuwe ontwikkelingen in bijvoorbeeld wet- en regelgeving en lees over interessante vakrelateerde onderwerpen. Meld je aan voor de blog 'De online accountant':  

Aanmelden blog.png 

Onze meest recente blogs:

Vaktechniek

Accountability in GDPR: register van verwerkingsactiviteiten

Vaktechniek

Is de accountant klaar voor PSD2, blockchain, AI en VR?

Vaktechniek

Optimaal online: overstappen van kas- naar factuurstelsel

Vaktechniek

De toekomst van accounting? Terug aan de keukentafel!

Vaktechniek

Accountability in GDPR: van verwerker tot verantwoordelijke