Een audit doet au….. Hoe valt het voldoen aan de AVG te verbeteren?

In mei bestond de AVG 5 jaar, en het kan niemand zijn ontgaan dat de media en privacy-experts daar uitgebreid aandacht aan hebben besteed. Het viel mij op dat het daarbij met name ging over de mate waarin door organisaties aan de AVG wordt voldaan. Helaas is het geschetste beeld niet gunstig, en worden daar onder andere de volgende oorzaken voor genoemd:

– Het management hecht onvoldoende belang aan het zorgvuldig omgaan met persoonsgegevens, resulterend in:

– Onvoldoende budget voor het aantrekken van privacy-experts, resulterend in:

– Onvoldoende kennis van de AVG.

Deze oorzaken wekken geen verbazing, al sinds het van kracht worden van de AVG doen deze de ronde.

Ik heb gedurende de afgelopen maanden mijn hoofd gebroken over de vraag op welke wijze deze tendens kan worden doorbroken. Zeker, een actieve AP die boetes uitdeelt of een gedreven en competente FG helpen, maar dergelijke middelen lijken slechts een druppel op de gloeiende plaat te zijn.

Er is iets nieuws nodig, en ik nodig de lezer uit om na te denken over middelen die het voldoen aan de AVG een boostgeven.

Zelf dacht ik aan het volgende:

De Wet politiegegevens, die is gebaseerd op de EU Richtlijn (kortweg) ‘gegevensbescherming opsporing en vervolging’ (EU 2016/680), regelt de bescherming van persoonsgegevens als deze verwerkt worden voor, kort gezegd, de politietaak. Die persoonsgegevens worden dan ‘politiegegevens’ genoemd. De AVG is dan niet van toepassing. De Wpg is sinds 9 maart 2019 ook van overeenkomstige toepassing op de verwerking van persoonsgegevens door buitengewoon opsporingsambtenaren (boa’s). Een boa is een ambtenaar met een specifieke opsporingsbevoegdheid. Boa’s zijn in dienst van allerlei instanties, zoals de Douane, openbaarvervoerbedrijven, Natuurmonumenten, sportvisserijfederaties, gemeenten en de politie. Het gaat in Nederland in totaal om ruim 600 organisaties die boa’s in dienst hebben.

Vanwege de gevoeligheid van persoonsgegevens die verwerkt worden in het kader van de opsporing, vereist de Wpg van werkgevers die boa’s in dienst hebben specifieke waarborgen. Een van die waarborgen betreft verplichte periodieke audits. De Wpg vereist dat werkgevers van boa’s jaarlijks een interne audit uitvoeren. Voorts moesten werkgevers voor het einde van 2022 en moeten daarna iedere vier jaar een externe privacy audit laten uitvoeren. Een afschrift van het rapport van de externe audit moet aan de toezichthouder, de Autoriteit Persoonsgegevens (AP), worden gestuurd. Bij geconstateerde tekortkomingen moet er een verbeterplan worden opgesteld en een hercontrole worden uitgevoerd, waarvan de rapportage wederom aan de AP moet worden gestuurd[1].

Volgens een persbericht van de AP van 12 januari 2023[2] hadden van de ruim 600 organisaties met boa’s een derde het verplichte externe audit-rapport voor de deadline ingediend bij de AP. De AP kondigt in hetzelfde persbericht aan in gesprek te zullen gaan met de nalatige boa-werkgevers en handhavende acties niet uit te sluiten. Met betrekking tot de wel aangeleverde rapporten meldt de AP dat ‘veel organisaties hun zaken niet op orde hebben’. Zij scoren slecht, ‘maar brengen met een rapport op zijn minst in beeld waar verbetering nodig is’.

Uit eigen ervaring weet ik dat de audit-plicht de Wpg-organisaties tot op managementniveau hebben aangezet tot het serieus nadenken over het zorgvuldig omgaan met persoonsgegevens in het algemeen. Een aantal organisaties maakt nu zelfs op het gebied van de Wpg harder stappen om de naleving op orde te krijgen dan op het gebied van de AVG.

Zou het (eventueel eenmalig) verplicht stellen van een externe AVG-audit overeenkomstig de Wpg een middel kunnen zijn om de hierboven genoemde oorzaken van het niet voldoen aan de AVG uit de weg te kunnen ruimen? Ik sluit het niet uit.

Natuurlijk kleven aan die oplossing ook veel nadelen. Immers het kost veel tijd en is kostbaar. In dat verband valt te overwegen dat een AVG-auditplicht alleen geldt voor organisaties met een minimaal aantal werknemers èn die verplicht zijn een Functionaris Gegevensbescherming (FG) te hebben (dat is, kort gezegd, het geval bij overheidsorganisaties, organisaties die vanuit hun kernactiviteit op grote schaal individuen volgen of hun activiteiten in kaart brengen of die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken[3]). Nadeel is natuurlijk ook de last die de controle van al die externe audits met zich meebrengt!

Voor al die nadelen heb ik nog geen oplossingen, maar ik roep de lezer graag op om met creatieve ideeën en alternatieven te komen om het voldoen aan de AVG te verbeteren!

Lex Digitalis is een full service bureau op het gebied van privacy, data en cybersecurity en kan u helpen met het realiseren van bovenstaande aanbevelingen en tips! U kunt daarover contact met mij opnemen (06 – 28610416, sippe.vandertas@lexdigitalis.nl) of met een van mijn collega’s.

[1] artikel 33 van de Wpg, artikel 6:5 van het Besluit politiegegevens en de Regeling periodieke audit politiegegevens.

[2] https://www.autoriteitpersoonsgegevens.nl/actueel/ap-treedt-op-tegen-boa-werkgevers-die-verplichte-wpg-audit-niet-toesturen

[3] Artikel 37 AVG