Aantoonbaarheid en verantwoording

In het kader van het principes van aantoonbaarheid en verantwoording (‘accountability’) door de CSP kunnen de volgende verplichtingen voor de CSP uit de AVG daaraan worden gerelateerd:

• Een register van de verwerkingsactiviteiten bijhouden in het kader van de documentatieplicht (zie hoofdstuk 3.3.10). Daarmee kan worden aangetoond voor welke verantwoordelijken welke verwerkingen, de categorieën van verwerkingen, eventuele doorgifte aan derde landen en een algemene beschrijving van de organisatorische en technische beveiligingsmaatregelen. Ook eventuele subverwerker(s) kunnen daarin worden geregistreerd met de locatie waar de gegevens zich (in de cloud) bevinden.

• Het bijhouden en registreren van de locatie (land en jurisdictie) waar de persoonsgegevens zijn opgeslagen (zie hoofdstuk 3.3.16). Beleid en procedures dienen te waarborgen dat de locatie ten alle tijde bekend is en dat wordt voldaan aan de AVG eisen, zoals bij doorgifte aan derde landen. • Het sluiten van een schriftelijke overeenkomst met de verantwoordelijke (zie hoofdstuk 3.3.1) en eventuele subverwerker (zie hoofdstuk 3.3..3). Dit om aan te tonen dat inzicht bestaat in onderwerp, aard en doel van de verwerking, en het soort persoonsgegevens en de categorieën van betrokkenen, alsmede voor het documenteren van de instructies van de verantwoordelijke en het doorzetten daarvan aan de eventuele subverwerker.

• Het waarborgen van een op het risico afgestemd beveiligingsniveau voor de bescherming van persoonsgegevens, waarbij de CSP moet kunnen aantonen dat de daarbij onderkende risico’s

45

inzichtelijk zijn en voldoende afgedekt met passende maatregelen. Een data protection impact

assessment (DPIA) is een instrument om dit aantoonbaar te maken (zie hoofdstuk 3.3.13). Een

DPIA is niet verplicht voor CSPs onder de AVG, maar mijn aanbeveling is deze wel toe te passen. Dit geldt ook voor de principes van het beschermen van gegevens door ontwerp (privacy by design) en door standaardinstellingen (privacy by default). Dit is niet verplicht voor CSPs onder de AVG, maar mijn aanbeveling is om deze principes wel zoveel mogelijk te hanteren.

• Het beschrijven en implementeren van passende organisatorische en technische maatregelen, alsmede het inrichten van een procedure voor het regelmatig testen, beoordelen en evalueren

van de doeltreffendheid ervan. Er moet aantoonbaar worden bijgestuurd en om dit te

bewerkstelligen is mijn aanbeveling voor CSP’s om een kwaliteitssysteem in te richten, zoals een PDCA-cyclus (zie hoofdstuk 3.3.5) op basis van een internationale standaard zoals ISO 27000 (ISMS) of SOC2 (COSO-model).

• Het melden van datalekken aan de verantwoordelijke conform hun schriftelijke instructie, om de schade voor betrokkenen zoveel mogelijk te beperken (zie hoofdstuk 3.3.12). Er zullen processen en procedures omtrent incident respons moeten zijn ingericht om aantoonbaar te maken dat er voldoende is gedaan om de schade zoveel mogelijk te beperken.

• Het aanstellen van een functionaris voor gegevensbescherming (FG) als onafhankelijke interne toezichthouder, met taken zoals het analyseren en controleren in hoeverre verwerkingsactiviteiten voldoen aan de AVG en optreden als contactpersoon voor de Autoriteit Persoonsgegevens (zie hoofdstuk 3.3.14).

• Het aansluiten bij een goedgekeurde gedragscode of goedgekeurd certificeringsmechanisme om aan te kunnen tonen dat toereikende beveiligingsmaatregelen zijn geïmplementeerd, waaronder door een eventuele subverwerker (zie hoofdstuk 3.3.15). Mijn aanbeveling is om in de schriftelijke overeenkomst met de verantwoordelijke op te nemen de te hanteren gedragscode, certificeringsmechanisme of internationale standaard voor beveiliging van informatie en bescherming van persoonsgegevens (zoals SOC2, ISO27001 en 27018).

• Het laten uitvoeren van audits of inspecties op verzoek van de verantwoordelijke (‘right to audit’), door een onafhankelijke externe auditor of de verantwoordelijke zelf, om aan te tonen dat de instructies van de verantwoordelijke worden nageleefd (zie hoofdstuk 3.3.8). Een audit op de naleving van de AVG vereist een eenduidig en duidelijk normenkader waaraan alle betrokken partijen zich willen verbinden. Mijn aanbeveling is om een Cloud Privacy Control Framework te ontwikkelen die toepasbaar is onder de AVG. De Autoriteit Persoonsgegevens als toezichthouder en de overheid kunnen hierin een belangrijke voortrekkersrol vervullen, samen met beroepsorganisaties van IT auditors (NOREA) en certificeringpartijen.

In de literatuur is beperkt onderzoek beschikbaar over welke processen en procedures organisaties dienen in te richten om te kunnen waarborgen dat blijvend en aantoonbaar aan de verantwoordingsplicht kan worden voldaan. Het Centre for Information Policy Leadership (CIPL) heeft gedefinieerd wat een organisatie ten minste zal moeten doen om in het kader van bescherming van gegevens verantwoording te kunnen afleggen, en heeft de volgende vijf essentiële elementen van accountability gedefinieerd: (bron: CIPL, 2010)

• Commitment van de organisatie aan het afleggen van verantwoording en opzetten van intern privacy beleid die consistent is met privacy wetgeving en andere externe criteria;

• Processen en procedures inrichten om het privacy beleid te implementeren, inclusief benodigde hulpmiddelen, training en educatie;

46

• Kwaliteitssysteem inrichten voor continue management toezicht, interne reviews en externe assurance van onafhankelijke auditor;

• Transparantie en processen om betrokkenheid van het individu te waarborgen; • Herstel van ontdekte omissies en handhaving mogelijk maken.

Om verantwoording en het naleven van deze fundamentele elementen aantoonbaar te maken dienen in een verantwoordingsprogramma de volgende negen componenten te zijn opgenomen:

• Beleid – gedocumenteerde bindende en afdwingbare privacy beleid en procedures in

overeenstemming met privacy wet- en regelgeving en industrie standaarden;

• Management toezicht – toezicht en verantwoordelijkheid nemen door management voor

bescherming van persoonsgegevens (privacy);

• Personeel en bevoegdheden – toewijzing van middelen om ervoor te zorgen dat het privacy

programma van de organisatie adequaat wordt bemand door voldoende opgeleid personeel;

• Opleiding en bewustwording – actuele opleiding- en bewustwordingsprogramma’s om

medewerkers en leveranciers (on-site) bewust te maken en houden van het belang van privacy;

• Risicobeoordeling en –beheersing (continue proces) – implementatie van een risicomanagement

proces om de organisatie te ondersteunen bij het onderkennen en begrijpen van privacy risico’s bij toepassing van nieuwe producten, diensten of technologie en de beheersing daarvan;

• Monitoring en validatie – periodieke beoordeling van het volledige verantwoordingsprogramma

om te bepalen of aanpassing noodzakelijk is;

• Incidenten en klachten afhandeling – procedures voor het reageren op klachten, incidenten en

inbreuken op de bescherming van persoonsgegevens;

• Interne handhaving – handhaving van het beleid en disciplinaire maatregelen bij het niet naleven van het privacy beleid en procedures;

• Herstelacties – methode waarmee een organisatie oplossingen biedt voor klachten, incidenten en

inbreuken.

CIPL geeft aan dat de invulling hiervan met concrete maatregelen afhankelijk zal zijn van onder andere de omvang, structuur en typologie van de organisatie, het soort en de gevoeligheid van de gegevens die worden verwerkt en de onderkende risico’s daarbij. De maatregelen kunnen binnen één organisatie zelfs verschillen tussen afdelingen, diensten en applicaties.