De European Data Protection Supervisor (EDPS), Giovanni Buttarelli, lanceerde in juni 2016 het “Accountability Initiative”. In een speech voor het Europese Hof van Justitie legde hij uit wat accountability inhoudt:
- zorg dragen voor transparante interne gegevensbescherming en privacybeleid. Deze moeten worden goedgekeurd en actief onderschreven door het hoogste niveau van het management van de organisatie.
- zorg dragen voor passende en effectieve interne processen en instrumenten om deze beleidsmaatregelen te implementeren. Dit zorgt ervoor dat de principes en verplichtingen van gegevensbescherming worden nageleefd en dat betrokkenen voldoende beschermd zijn tegen risico’s die voortvloeien uit de verwerking van hun persoonsgegevens.
- het informeren en opleiden van alle mensen in de organisatie over hoe deze beleidsmaatregelen kunnen worden uitgevoerd.
- op het hoogste niveau ligt de verantwoordelijkheid om de effectiviteit van deze implementatie te controleren en te beoordelen. Uit deze monitoring en meting moet de organisatie aan de externe belanghebbenden en toezichthouders de kwaliteit van de implementatie kunnen aantonen.
- de organisatie moet procedures vastleggen voor het herstel van slechte naleving en datalekken.
Buttarelli gebruikt de “notion of accountability” ook om de relatie te leggen met de ethische aspecten van gegevensbescherming.
De leiding is accountable voor de effectiviteit van het interne gegevensbescherming en privacybeleid en verantwoordt zich hierover aan het maatschappelijk verkeer. Hiermee sluit accountability aan bij good governance zoals dat wordt bedoeld in artikel 391.5 BW2.
De leiding van een organisatie kan zich alleen uitspreken over de effectieve werking van getroffen beheersmaatregelen als het bewijs hiervan systematisch is vastgelegd in een administratie en compliance werkzaamheden op de administratie uitgevoerd kunnen worden.
Accountability is evidence based en faciliteert compliance gericht op het nakomen van de AVG en het beleid.
Auditability is risk based en faciliteert assurance gericht op het vaststellen van de accountability van de effectieve werking van gegevensbescherming- en privacybeleid.
