Accountability

Behalve aan het thema transparantie refereert de Europese Commissie in het debat over herziening van de Privacyrichtlijn aan het belang van accountabilty.De Commissie stelt in de eerder besproken mededeling uit 2010 dat moet worden nagegaan hoe het best kan worden verzekerd dat de verantwoordelijke de facto beleid voert en mechanismen instelt ter naleving van de regels inzake gegevensbescherming.⁵⁵¹ De Commissie overweegt derhalve de invoering van het accountability beginsel in de herziene Richtlijn. In het voorstel inzake herziening van de Privacyrichtlijn uit 2012 wordt dit concreet tot uitdrukking gebracht. “Article 22 takes account of the debate on a ‘principle of accountability’ and describes in detail the obligation of responsibility of the controller to comply with this Regulation and to demonstrate this compliance, including by way of adoption of internal policies and mechanisms for ensuring such compliance”.⁵⁵²

Article 22 Responsibility of the controller

1. The controller shall adopt policies and implement appropriate measures to ensure and be able to demonstrate that the processing of personal data is performed in compliance with this Regulation.

Het voornemen van de Commissie om accountability te introduceren lijkt op brede steun te kunnen rekenen. Zo stelt de Groep Gegevensbescherming Artikel 29 dat door het

549 Jensen & Potts 2003, p. 5.

550

Jensen & Potts 2003, p. 6.

551

COM (2010) 609 definitief, p. 13.

552

173

accountability beginsel een plaats te geven in de herziene Privacyrichtlijn, de verantwoordelijke ertoe wordt aangezet om maatregelen in te voeren die in de praktijk leiden tot een daadwerkelijke bescherming van de persoonsgegevens.⁵⁵³ Cavoukian stelt in dit kader: “In today’s world of ubiquitous data availability, trust is increasingly a function of how well organizations manage personal information in their care transparently and responsibly, and are able to demonstrate their diligence to customers, partners, shareholders, and regulators. Putting into place effective policies and mechanisms to ensure compliance with data protection laws is essential”.⁵⁵⁴ Het Nederlands Genootschap Functionarissen Gegevensbescherming merkt in een reactie over het voornemen van de Europese Commissie het volgende op: “The NGFG supports the accountability principle. Based on proven positive effect of the appointment of DPOs on data protection, the NGFG believes that this principle can lead to establishing safeguards and mechanisms which make data protection compliance more effective while reducing and simplifying certain administrative formalities, such as notifications”.⁵⁵⁵ Ook het kabinet onderschrijft het belang van het accountability beginsel. Het eerder aangekondigde voornemen om dit beginsel nader uit te willen werken in de Wbp heeft het kabinet echter op een lager plan gezet. “Het kabinet ziet in de mededeling van de Commissie overigens aanleiding om een aantal voornemens die zijn neergelegd in het meergenoemde kabinetsstandpunt naar aanleiding van de evaluatie van de Wbp en het rapport van de Adviescommissie veiligheid en de persoonlijke levenssfeer vooralsnog niet in de vorm van Nederlandse wetgeving ten uitvoer te leggen. Het betreft hier met name de uitwerking van het accountability beginsel in de Wbp (daaronder verstaat het kabinet het stimuleren van het opzetten of uitbreiden van een eigen intern privacybeleid door ondernemingen bij wijze van zelfregulering, in ruil voor het verlichten van administratieve lasten; het bedrijfsleven zou daarbij in de visie van het kabinet optimale keuzevrijheid moeten hebben met betrekking tot de wijze waarop dit beleid wordt ingericht; wellicht is dit ook voor de overheid denkbaar),…”.⁵⁵⁶ Ook breder – dat wil zeggen buiten de specifieke situatie van de bescherming van persoonsgegevens – wordt het belang van accountability in de huidige samenleving onderstreept. Zo stelt de WRR in het rapport

iOverheid dat het belang van accountability in deze tijd moeilijk overschat kan worden.

“Waar eenvoudige en eenduidige sturingsfilosofieën in de ogen van velen onvermijdelijk stuklopen op maatschappelijke complexiteit, biedt een procesbeginsel als accountability uitkomst. Het eist slechts een controlerelatie tussen een forum en een actor. Zo kunnen degenen wiens belangen in het forum behartigd worden, vat krijgen op het opereren van de actor in kwestie”.⁵⁵⁷

553

Groep Gegevensbescherming Artikel 29-2010 (II), p. 6. Zie in dit kader ook het persbericht van het Cbp d.d. 19 juli 2010 “Vice-president Europese Commissie Reding bepleit versterking

privacytoezichthouders”. 554 Cavoukian 2011, p. 1. 555 NGFG, p. 3. 556 Kamerstukken II 2010-2011, 32761, nr. 1, p. 15. 557 WRR rapport iOverheid, p. 85.

174

Het accountability beginsel werd overigens al in 1980 door de OESO gedefinieerd als een van de acht principes in relatie tot de bescherming van privacy en individuele vrijheden: “A data controller should be accountable for complying with measures which give effect to the principles stated above”.⁵⁵⁸ Bijna 30 jaar later, in 2009, werd het beginsel weer nieuw leven ingeblazen en wel in de Madrid Resolution.⁵⁵⁹ Recentelijk heeft de Raad van Europa consultatieronden afgerond over een mogelijke herziening van de Conventie 108⁵⁶⁰, hetgeen heeft geresulteerd in een voorstel om accountability mechanismen te introduceren in de Conventie 108.⁵⁶¹

Als we kijken naar de definiërende elementen van accountability, dan lezen we dat de Canadese toezichthouder Cavoukian de navolgende opsomt:⁵⁶²

1. An organization’s commitment to accountability and adoption of internal policies consistent with external criteria;

2. Mechanisms to put privacy policies into effect, including tools, training, and education; 3. Systems for internal ongoing oversight and assurance reviews and external verification; 4. Transparency and mechanisms for individual participation;

5. The means for remediation and external enforcement.

Bij accountability ligt de nadruk op het inzichtelijk maken van de manier waarop verantwoordelijken invulling geven aan hun verantwoordelijkheden, alsmede het controleerbaar maken daarvan.⁵⁶³ “Accountability is the obligation and/or willingness to demonstrate and take responsibility for performance in light of agreed-upon expectations. Accountability goes beyond responsibility by obligating an organization to be answerable for its actions”.⁵⁶⁴ “Accountability does not redefine privacy, nor does it replace existing law or regulation; accountable organisations must comply with existing applicable law. But

558

OECD, Principle 14.

559 Joint Proposal for a Draft of International Standards on the Protection of Privacy with regard to the processing of Personal Data, which was welcomed by the International Conference of Data Protection and Privacy Commissioners, held in Madrid on 5 November 2009. Zie in dit kader ook Moerel, p. 384.

560

De Raad van Europa heeft het recht op gegevensbescherming uitgewerkt in Conventie 108 (naast de artikelen 8 en 10 EVRM en, door het EHRM, in de jurisprudentie ter zake) die in 1981 tot stand kwam. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, ETS 108 – Automatic processing of Personal Data, 28.I.1981.

561

Raad van Europa, p. 11.

562

Cavoukian 2009, p. 5. Zie in dit kader ook The Center for Information Policy Leadership 2009, p. 11 e.v.

563

Groep Gegevensbescherming Artikel 29-2010 (II), p. 9.

564 Cavoukian 2009, p. 5. De door haar aangehaalde definitie is de werkdefinitie van accountability die werd gehanteerd door een groep van experts in het kader van het Galway Accountability Project.

175

accountability shifts the focus of privacy governance to an organisation’s ability to demonstrate its capacity to achieve specified privacy objectives”.⁵⁶⁵

Concreet wordt met accountability het effect beoogd, aldus de Groep Gegevensbescherming Artikel 29, dat er interne maatregelen en procedures ten uitvoer worden gelegd om gevolg te geven aan bestaande beginselen voor gegevensbescherming en de doeltreffendheid van die beginselen te waarborgen. Bovendien geldt de verplichting om de tenuitvoerlegging op verzoek van de gegevensbeschermingsautoriteiten aan te tonen.⁵⁶⁶ Ook Bigo et al. zitten op deze lijn. “In broad terms, the principle of accountability places upon data controllers the burden of implementing within their organisation’s specific measures to ensure that data protection requirements are met while executing their processing of personal data. Such measures could include anything from the introduction of a data protection officer to implementing Data-Protection Impact Assessments or employing privacy-by-design system architecture”.⁵⁶⁷

The Center for Information Policy Leadership heeft 9 beginselen geïdentificeerd die de verantwoordelijke in het kader van accountability in zijn organisatie zou moeten implementeren. Een beginsel betreft het opstellen en implementeren van een privacy policy. “An organisation should develop, implement and communicate to individuals data privacy policies informed by appropriate external criteria found in law, regulation, or industry best practices, and designed to provide the individual with effective privacy protections”.⁵⁶⁸ Het Internet kan een duidelijke rol spelen bij het invulling geven aan accountability. Zo stelt de Groep Gegevensbescherming Artikel 29 dat een hoger verantwoordingsniveau wordt bereikt indien de verantwoordelijke zijn privacybeleid via het Internet kenbaar maakt.⁵⁶⁹ Met andere woorden, een maatregel die de verantwoordelijke vanuit het accountability oogpunt kan nemen is het plaatsen van een privacyverklaring op zijn website. In dit kader is relevant de opmerkingen van Bennet. “Many current accountability mechanisms simply focus on the first, the stated privacy policies, and compare what is said on a website, or in a code of practice, to a stated norm. Claims of compliance are based on an analysis of words, rather than processes or practices”.⁵⁷⁰ Het in een privacyverklaring verklaren op welke wijze de verantwoordelijke voldoet aan de normen en verplichtingen uit de Wbp alleen is derhalve niet voldoende. Accountability houdt volgens Bennet tevens in dat wordt gecontroleerd of de verantwoordelijke ook daadwerkelijk hetgeen hij in de privacyverklaring heeft verklaard naleeft. “Few organizations, however, subject themselves to a verification of practices. Do

565

The Center for Information Policy Leadership 2009, p. 3.

566

Groep Gegevensbescherming Artikel 29-2010 (II), p. 6.

567 Bigo et al., p. 111.

568

The Center for Information Policy Leadership 2010, p. 6.

569

Groep Gegevensbescherming Artikel 29-2010 (II), p. 16.

570

176

the policies work?”⁵⁷¹ Dit betekent tevens dat de verantwoordelijke organisatorische en technische maatregelen in zijn organisatie moet implementeren die waarborgen dat conform de inhoud van de privacyverklaring wordt gehandeld. “The organisation must establish performance mechanisms to implement the stated privacy policies”.⁵⁷² “The accountable organization deploys and monitors mechanisms and internal programs that ensure its privacy policies are carried out”.⁵⁷³ Illustratief is de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, waarin is bepaald dat belang wordt gehecht aan een correcte naleving van de regels van de Wbp en de gedragscode. De financiële instellingen hebben daartoe een systeem van zelfevaluatie geïmplementeerd op basis waarvan risicoanalyses worden gemaakt. Tevens is een financiële instelling gehouden om interne instructies op te stellen en te implementeren waarin nader wordt aangegeven op welke wijze persoonsgegevens worden verwerkt.

Artikel 10 Gedragscode Verwerking Persoonsgegevens Financiële Instellingen

10.1 Financiële instellingen hechten belang aan een correcte naleving van de regels van de WBP en Gedragscode. In dat kader hebben Financiële instellingen een stelsel van zelfevaluaties geïmplementeerd door middel waarvan periodiek risicoanalyses worden gemaakt met betrekking tot de naleving van de WBP en deze Gedragscode. Onderdeel hiervan is dat door een Financiële instelling wordt vastgesteld op welke wijze en hoe frequent de diverse onderdelen van de Financiële Instelling worden gecontroleerd op correcte naleving van de WBP en de Gedragscode, alsmede het opstellen van rapportages.

10.2 Ter bevordering van de naleving van de regels van de WBP en Gedragscode is een Financiële instelling gehouden interne instructies op te stellen en te geven waarin nader wordt aangegeven op welke wijze Persoonsgegevens door de Financiële instelling worden verwerkt. De interne instructies betreffen in ieder geval die onderwerpen waarvan de Financiële instelling van oordeel is dat nadere uitleg wenselijk is.

Bennet vraagt zich af of de controlerol wel voor de verantwoordelijke is weggelegd, of dat de controle beter kan worden gedaan door een onafhankelijke partij. “At this level, it is difficult to see how accountability of practice can be satisfactorily claimed without external and independent auditing”.⁵⁷⁴ Naar de mening van de Groep Gegevensbescherming Artikel 29 zou de controle op de naleving van de accountability plicht moeten worden uitgevoerd door de privacytoezichthouder. “Op verzoek van de privacytoezichthouders zouden verantwoordelijken moeten kunnen aantonen dat hun programma voldoet aan de eisen van

571 Bennet 2010, p. 7.

572

The Center for Information Policy Leadership 2009, p. 12.

573

Bruening, p. 3.

574

177

accountability”.⁵⁷⁵ In paragraaf 2.4 is echter de conclusie getrokken dat het Cbp niet snel tot handhaving op individueel niveau zal overgaan. Het is derhalve de vraag of het Cbp een actieve rol wil of kan gaan vervullen bij het toezicht houden op en handhaven van de accountability plicht. Interessant zou daarom zijn te bezien in hoeverre voor brancheorganisaties een rol kan zijn weggelegd bij het operationaliseren en (indirect) handhaven van de accountability plicht.⁵⁷⁶

Behalve de constatering dat de verantwoordelijke op grond van zijn accountability plicht adequate interne maatregelen moet treffen om gevolg te geven aan de bestaande beginselen voor gegevensbescherming en de doeltreffendheid van de waarborgen die hij daartoe implementeert, speelt accountability een relevante rol bij ondubbelzinnige toestemming. Zoals blijkt uit paragraaf 3.3 kan de betrokkene aan de hand van een privacyovereenkomst zijn ondubbelzinnige toestemming geven voor bepaalde verwerkingen. Met behulp van de geïmplementeerde maatregelen kan de verantwoordelijke aantonen (bewijzen) dat de betrokkene inderdaad daartoe zijn ondubbelzinnige toestemming heeft gegeven. “Second, in the context of a general accountability obligation, the controllers should be in a position to demonstrate that consent has been obtained. Indeed, if the burden of proof is reinforced so that data controllers are required to demonstrate that they have effectively obtained the consent of the data subject, they will be compelled to put in place standard practices and mechanisms to seek and prove unambiguous consent. The type of mechanisms will depend on the context and should take into account the facts and circumstances of the processing, more particularly its risks”.⁵⁷⁷

De verhouding tussen transparantie enerzijds en accountability anderzijds is bij meerdere gelegenheden aan de orde gesteld. Naar de mening van de Groep Gegevensbescherming Artikel 29 versterkt transparantie de verantwoordingsplicht van de verantwoordelijke ten opzichte van de betrokkene.⁵⁷⁸ De WRR stelt dat accountability aansluit bij de toetsbaarheid die door transparantie mogelijk wordt gemaakt, echter met toevoeging van bindende consequenties (‘afrekening’).⁵⁷⁹ “In veel opzichten gaat transparantie dan ook vooraf aan accountability”.⁵⁸⁰ Ook in de kabinetsreactie op het WRR-rapport iOverheid wordt gerefereerd aan de verhouding tussen transparantie en accountability. “In de hieronder geschetste nieuwe beleidslijn trekt het kabinet deze transparantie door naar het op een geleidelijke en beheersbare wijze delen van gegevens met degene die het aangaat. Dit versterkt de aanspreekbaarheid (accountability) van diegenen die voor de

575

Groep Gegevensbescherming Artikel 29, Persbericht, 19 juli 2010.

576

In hoofdstuk 6 zal dit nader aan de orde komen.

577 Groep Gegevensbescherming Artikel 29-2011, p. 37.

578

Groep Gegevensbescherming Artikel 29-2010 (II), p. 16.

579

WRR rapport iOverheid, p. 84.

580

178

informatiehuishouding verantwoordelijk zijn”.⁵⁸¹ Ook in de (buitenlandse) literatuur treffen we opvattingen aan over de verhouding tussen beide. Zo stellen Peng et al. dat accountability vereist dat de informatie transparant is. “Information accountability requires that the use of information should be transparent”.⁵⁸² In ons land is ook Bovens deze mening toegedaan. “Organisational transparency and freedom of information will often be very important prerequisites for accountability, because they made provide forums with the necessary information”.⁵⁸³ In dat licht benadrukt Purtova dat een gebrek aan transparantie tot gevolg heeft dat verantwoording met betrekking tot inbreuken op gegevensverwerkingen een onbereikbaar doel wordt. “The lack of transparency in the data flow makes accountability for data protection violations a virtually unattainable goal. Firstly, the paths that personal data may take within the web of the data processing relationships are extremely entangled and difficult to trace or predict”. “Secondly, within the multiplicity of the intertwined information chains, it is unclear how the burden of accountability for data protection is distributed among all of the involved actors, since their identity, as well as their exact contribution to the entire process, are not clear”.⁵⁸⁴ Kortom, transparantie is instrumenteel in het afleggen van verantwoording, en geeft daarmee handen en voeten aan accountability.⁵⁸⁵

In document Recht doen aan privacyverklaringen: Een juridische analyse van privacyverklaringen op internet (pagina 187-193)