In Engeland heeft de Information Commissioner’s Office (ICO, de Engelse Autoriteit Persoonsgegevens) haar accountability framework bekend gemaakt. Dit framework is heel handig omdat het duidelijk maakt wat het in het kader van de verantwoordingsplicht bedoeld wordt met “aan de AVG te voldoen” op een manier die door de autoriteit als “voldoende” wordt beschreven.
Aan de hand van een korte uitleg en een aantal vragen kan de lezer zelf scoren in hoeverre voldaan wordt aan de eisen vanuit het perspectief van een audit door de autoriteit. Dit kan dus ook gaan dienen als een leidraad voor audits door onafhankelijke bedrijven zoals bijvoorbeeld classificatiebureaus en accountantskantoren.
Bijvoorbeeld op het gebied van 'use of management information' geeft de ICO heldere expectations om duidelijk te maken hoe er afdoende aan de vraag van de Engelse AP voldaan kan worden:
All relevant management information and the outcomes of monitoring and review activity are communicated to relevant internal stakeholders, including senior management as appropriate. This information informs discussions and actions.
Ways to meet our expectations:
You have a dashboard giving a high-level summary of all key data protection and information governance KPIs.
The group(s) providing oversight of data protection and information governance regularly discuss KPIs and the outcomes of monitoring and reviews.
Data protection and information governance KPIs and the outcomes of monitoring and reviews are discussed regularly by groups at operational level, for example in team meetings.
Can you answer yes to the following questions?
Could you give examples of information flowing between operational levels and senior management?
Are staff given appropriate information?
Do they understand it and are the actions taken clear?
Voor meer informatie over het accountability framework van de Engelse AP klik hier