De verantwoordingsplicht in de Algemene verordening gegevensbescherming (AVG) is vandaag de dag relevanter dan ooit, zeker nu organisaties steeds intensiever gebruikmaken van persoonsgegevens binnen digitale transformaties. Het vraagt om een structurele verankering van privacybescherming in de bedrijfsvoering, gesteund door een solide Privacy Management Systeem. Zonder zo’n systeem neemt het risico toe dat essentiële beheersmaatregelen worden vergeten, waardoor de organisatie niet ‘privacy compliant’ is en blootstaat aan forse boetes en reputatieschade.
Het principe van verantwoordingsplicht is geen nieuwe uitvinding: het werd al benoemd in de OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data (1980) en later in de Europese Data Protection Directive en de Nederlandse Wet bescherming persoonsgegevens (Wbp). De afgelopen decennia is het concept echter aanzienlijk aangescherpt, mede door toenemende maatschappelijke zorgen over datamisbruik, AI-toepassingen en grensoverschrijdende data-uitwisselingen. De uitkomst is vastgelegd in de AVG, waarin niet alleen naleving, maar ook actieve aantoonbaarheid centraal staat.
Volgens art. 5 lid 1 AVG moet elke verwerking voldoen aan kernbeginselen zoals rechtmatigheid, doelbinding, juistheid, opslagbeperking en vertrouwelijkheid. Art. 5 lid 2 bepaalt dat de verwerkingsverantwoordelijke deze beginselen moet naleven én kunnen aantonen. Dit vereist:
Een passend gegevensbeschermingsbeleid (art. 24 AVG) met technische en organisatorische maatregelen, gebaseerd op risico’s en proportioneel aan de aard van de gegevens.
Contractuele borging van privacyverplichtingen bij inschakeling van verwerkers (art. 28 AVG).
Regelmatige evaluatie en actualisering via een PDCA-cyclus (Plan-Do-Check-Act).
Heldere interne taakverdeling en verankering van verantwoordelijkheden, inclusief bewustwordings- en opleidingsprogramma’s.
Toezicht door een Functionaris Gegevensbescherming (FG).
Een volledig register van verwerkingsactiviteiten (art. 30 AVG) dat op verzoek aan de Autoriteit Persoonsgegevens (AP) beschikbaar wordt gesteld.
Niet-naleving van de AVG kan leiden tot sancties tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Dit maakt privacy compliance een materieel belang binnen financiële verslaggeving en interne audits. Accountants moeten inzicht krijgen in hoe organisaties persoonsgegevens verwerken, welke maatregelen zijn getroffen, en waar mogelijke tekortkomingen zitten. Bij ernstige overtredingen kan dit leiden tot verplichtingen of voorzieningen in de jaarrekening, of forse investeringen om alsnog compliant te worden.
Privacy Management Software kan helpen om een ‘data protection framework’ in te richten dat privacy borgt als een continu verbeteringsproces. In moderne organisaties wordt dit vaak geïntegreerd met bredere risico- en complianceplatformen, waarbij privacybescherming onderdeel wordt van enterprise risk management. Zo kan naleving proactief worden gemonitord en aangepast aan nieuwe dreigingen, zoals deepfake-technologie of innovatieve datakoppelingspraktijken.
EDPB maakt het organisaties makkelijker aan de AVG te voldoen
Nieuws-persberichtRuimte om AI-modellen te trainen en gebruiken met persoonsgegevens zonder toestemming onder de AVG
BlogGuidelines doorgifte derde landen definitief en nieuw trainingsmateriaal AI & AVG
BeleidsnotaWaarom je als General Counsel nú werk moet maken van een Fundamental Rights Impact Assessment (FRIA)
BlogWat is de verhouding tussen een DPIA en de verantwoordingsplicht?
NaslagFranchisegevers: maak afspraken over persoonsgegevens
ArtikelBelgische privacytoezichthouder over de verantwoordingsplicht: wat betekent deze uitleg voor beveiligingsincidenten?
ArtikelHandreiking Risicoregister en Risico Acceptatie Overeenkomst (RAO) gepubliceerd
Nieuws
