Accountability. Artikel tbv uitgave Nationaal Privacy event (mei 2017)

In dit artikel wordt gekeken naar het begrip Accountability, zoals dit in de AVG wordt benoemd. Wat betekent het? Hoe worden organisaties verwacht aan het begrip invulling te geven?

Om hier een enigszins zinvol gesprek over te hebben is het nodig om hetzelfde te verstaan onder het te bespreken onderwerp.
Dus dat betekent het opstellen van een definitie. Zo creeer je een gezamenlijke grond en kun je een standpunt innemen. Er ontstaat begrip over en weer.

In een voorzichtige poging een definitie te gebruiken betekent accountability de staat van zijn waarin het mogelijk is dat, vaak een andere partij, komt kijken of je verantwoording kunt afleggen over hetgeen je gedaan hebt.
Je bent accountable als je begrijpt welke zaken afgezet gaan worden tegen welke maatstaven én als die zaken voldoen aan bepaalde normen.

Neem het voorbeeld van een helpdesk. Het is goed denkbaar dat een helpdesk gewogen gaat worden op het aspect “afsluiten clientvraag”.
En dat daarbij bijvoorbeeld als norm is gesteld 2 werkdagen.
Accountable wil dan zeggen dat clientvragen meetbaar zijn. Meer in het bijzonder, hoe lang het duurt voordat een clientvraag als afgesloten beschouwd wordt.
Is het dan belangrijk dat dit gemiddeld genomen, of in 100% van de gevallen, slechts 2 dagen duurt?
Strikt genomen ben je in dit voorbeeld al accountable als de afhandeling van je clientvragen meetbaar is. De norm die je erop toepast is eigenlijk niet eens van belang.

Toepassen van een norm hierop is eigenlijk geen accountability, maar eerder een voorwaarde voor quality management of performance managent.
Vinden we het goed dat de afhandeling van een clientvraag 15 dagen op zich laat wachten?
Kunnen we als Helpdesk beloven dat we clientvragen altijd binnen 3 werkdagen kunnen afhandelen?
Voor het antwoord op dat soort vragen dient de helpdesk wel accountable zijn. Maar die aantallen zijn het gevolg van de volgende stap, het toepassen van normen.

Dus het begrip Accountability bestaat uit:
• een object
• de activiteit verantwoording afleggen/inzichtelijk kunnen maken
• criteria
In het voorbeeld van zojuist: Het onderwerp is hierin de door de helpdesk afgehandelde clientvragen.
De activiteit is het verantwoording afleggen.
Het criterium is hoe lang het duurt vooraleer een clientvraag is afgehandeld.

Als bovenstaande duidelijk is, kan men spreken van accountability.

Hoe vertaalt dit zich nu naar accountability binnen de AVG?
Uit overweging 78 AVG: ‘Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.’
Het object is hier: interne beleidsmaatregelen nemen en maatregelen
De activiteit: Het kunnen aantonen van de naleving van deze verordening
De criteria: met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.

Hiervoor geldt dat deze criteria intrinsiek niet kwantitatief zijn, maar kwalitatief.
Je zou kunnen denken dat het beginsel van privacy by design een ja/nee kwestie is en dus kwantitatief.
Echter, als meetlat is een dergelijk beginsel vooral subjectief. Want wie definieert precies waaruit dat beginsel bestaat?

De wetgeving legt een aantal principes neer met een dringend verzoek om daaraan te voldoen.
Diezelfde wetgeving kan ook moeilijk gevraagd worden om voor elke situatie kwantificeerbaar te maken wanneer iets voldoende is.
Enerzijds omdat elke organisatie anders is, dus zullen de maatregelen ook moeten verschillen per organisatie.
Anderzijds omdat de stand der techniek zich blijft ontwikkelen.
Software wordt complexer, hackers worden slimmer, virussen worden agressiever, big data, blockchain, quantum cryptografie.

Daarom: de wetgeving kan niet haar toevlucht nemen tot alleen regels. Wat passend is kan niet voor iedereen in cijfers uitgedrukt worden.
Dus anders gezegd, het eindresultaat van het organiseren van accountability, of je dat nu zelf doet, risico analyses en Privacy Impact Analyses uitvoert of dat je het laat uitvoeren door een blik dure consultants, het eindresultaat is altijd kwalitatief van aard en niet perse kwantitatief.

Is de privacy van clienten nu gewaarborgd? Niet perse.
In plaats daarvan heb je een hoop tijd gestoken in het optuigen van een verhaal. Je hebt een overtuiging. ‘we hebben maatregel x, y, z genomen.’ We hebben een risico analyse uitgevoerd.
Je bent daarmee accountable geworden, zonder dat duidelijk wordt welk concreet resultaat maatregel x,y,z heeft opgeleverd.
Ook het feit dat een risico analyse is uitgevoerd zegt wat dat betreft niet zoveel; de risico’s zijn gekend, maar moeten ze ook allemaal zijn gemitigeerd?

Wat is nu precies waar we vanuit de Wet Bescherming Persoonsgegevens en de Europese Privacy Verordening mee bezig zijn?
Hoe dien je oprecht en integer de privacy bescherming van natuurlijke personen?
De letter van de wet schrijft niet precies voor wat we moeten doen.
De letter van de wet schrijft wel precies voor wat we moeten doen, alleen moet men zelf bedenken wat passend is en een verhaal klaar hebben waarin naar eer en geweten het begrip ‘passend’ van toepassing verklaard wordt op de organisatie.

Weer even terug naar de praktijk: hoe pakt een organisatie privacy nu het beste aan?
Een paar suggesties: Identificeer als organisatie in welke processen privacy aspecten naar voren komen en beschrijf dat.
Zorg dat die processen meetbaar zijn. Dus als een proces persoonsgegevens behandelt, hoe vaak is dat dan, welke rol doet dat dan, wie is de eigenaar van dat proces, wat gebeurt er met die gegevens?
En in het kader van het nemen van “passende technische en organisatorische maatregelen”, beschrijf wat je op dat vlak doet en waarom.
Voer risico analyses uit op gegevensverwerkingen die gevoelige gegevens verwerken.
Voer Privacy Impact Analyses uit. Documenteer.

Je loopt met bovenstaande aanpak desondanks nog steeds het risico dat iemand beschrijft dat ze elke dag verse knoflook bij de deuropening ophangen omdat zij dat beschouwen als passende beveiligings maatregelen. Uiteraard zijn er dan voldoende adviseurs te vinden die een dergelijke maatregel als inadequaat beschouwen.
Maar let wel: datzelfde geldt voor een organisatie die haar datacenters volledig redundant heeft uitgevoerd, aparte stroomvoorzieningen, biometrische toegangscontrole, alle ISO certificaten prijken aan de muur. Ook hier zijn er voldoende adviseurs te vinden die de invoering van een IDS of een SIEM, of applicance x, een minimale vereiste vinden, want anders is het beveiligingsniveau onacceptabel.
Wanneer is het nu genoeg?

Uiteindelijk is het de verwerkingsverantwoordelijke die de ultieme afweging maakt.
‘Gezien de aard van de verwerking, het belang van de betrokkene, bezien in het licht van de hierop uitgevoerde risico- en privacy impact analyses, en gezien de impact op het beschikbare budget, worden de beschreven technische en organisatorische maatregelen passend geacht.’
Hiermee verklaart de verantwoordelijke zich accountable.
Dan nog kan de Autoriteit Persoonsgegevens een andere mening toegedaan zijn.

Een aantal zaken is niet besproken, en dat is vooral de cultuur en het type van een organisatie.
Een jonge dynamische organisatie of een gevestigd familiebedrijf van anderhalve eeuw oud.
Maar ook, een productiebedrijf of een denktank.
Het zijn voorbeelden van uitersten in diverse spectra. Het zou interessant zijn om te peinzen over hoe accountability kan worden opgepakt in dergelijke bedrijven. Zit daar nou veel verschil tussen?
Misschien voer voor een volgende editie.

Getagd , , . Bladwijzer de permalink.

Geef een reactie