Met het van kracht worden van de AVG (en voorgangers) voorziet de wetgever betrokkenen met rechten en legt zij verwerkingsverantwoordelijken en verwerkers van persoonsgegevens verplichtingen waaronder de verantwoordingsplicht dat de persoonsgegevens effectief zijn beschermd (artikel 5.2 AVG). Deze verantwoordingsplicht maakt het beschermen van persoonsgegevens een governance vraagstuk; de wetgever vraagt aan de bedrijfsleiding – risicogericht – aandacht voor het beschermen van persoonsgegevens in goede banen te leiden en over de effectieve werking van de beheers- en beveiligingsmaatregelen verantwoording af te leggen (zoals ook over ander vraagstukken verantwoording wordt afgelegd). De bedrijfsleiding kan slechts verantwoording over het beschermen van persoonsgegevens afleggen als er sprake is van aantoonbare compliance met wettelijke en contractuele verplichtingen zoals bedoeld in de AVG.

De wetgever gaat een stap verder. De verwerkingsverantwoordelijke kan slechts gebruik maken van de dienstverlening van verwerkers van persoonsgegevens als deze verwerker aantoonbaar compliant is met wettelijke en contractuele verplichtingen zoals bedoeld in de AVG (artikel 28 AVG). Wij zouden dit kunnen opvatten als een vorm van ketenaansprakelijkheid. Vanuit het perspectief van de verwerker van persoonsgegevens zouden wij kunnen zeggen dat de verwerker aantoonbaar accountable moet zijn voor het effectief beschermen van persoonsgegevens. Deze accountability voor privacybescherming is een “license to operate”.

De wetgever biedt een wettelijk kader en de toezichthouders, verenigd in de European Data Protection Board (EDPB), verzorgen het toezicht op de naleving van de verplichtingen uit de AVG. De mate waarin de toezichthouders gebruikmaken van hun bevoegdheden bepaalt de aandacht die verwerkingsverantwoordelijken en verwerkers geven aan governance en compliance vraagstukken op het vlak van het beschermen van persoonsgegevens.

Wettelijke governance & compliance verplichtingen in het algemeen

Europese en nationale wetgevers wentelen de toezichtlasten zoveel mogelijk af op bedrijven en instellingen. De wetgevers en toezichthouders verwachten dat bedrijven de beheers-, beveiligings- en compliance-maatregelen met wettelijke verplichtingen risicogericht en “by design” opnemen in de bedrijfsprocessen waardoor bedrijven “by default” voldoen aan wettelijke verplichtingen. Voor de bedrijfsleiding bestaat een noodzaak de wettelijke compliance verplichtingen integraal (dus voor alle relevante wettelijke verplichtingen) te organiseren.

Contractuele verplichtingen en bedrijfsdoelen

Een bedrijf of een instelling organiseert ook de governance & compliance met contractuele verplichtingen. Het is kostenefficiënt als dit plaatsvindt in overeenkomst met het organiseren van compliance met wettelijke verplichtingen.

Het is mogelijk een deel van de bedrijfsdoelen “te vertalen” in compliance-vereisten.

De categorie Governance & Compliance

In deze categorie van cursussen staat het organiseren van governance en compliance met wettelijke en contractuele verplichtingen en (een expliciete set) bedrijfsdoelen centraal. De inhoud van de cursussen is dynamisch omdat er een groeiend maatschappelijk belang is governance en compliance met wettelijke en contractuele verplichtingen adequaat te organiseren.

Wij zorgen dat de cursussen aansluiten op het maatschappelijk debat.