Europese Privacy Verordening Effect op de jaarrekeningcontrole?
Naam
: D. (Daniëlle) Louwerens
Studentnummer
: 403295
Universiteit
: Erasmus Universiteit Rotterdam Postmaster opleiding IT-Auditing & Advisory Erasmus School of Accounting & Assurance (ESAA)
Datum verdediging
: -1-
Europese Privacy Verordening Effect op de jaarrekeningcontrole?
Naam
: D. (Daniëlle) Louwerens
Studentnummer
: 403295
Plaats en datum
: Papendrecht, 18-01-2015
Universiteit
: Erasmus Universiteit Rotterdam Postmaster opleiding IT-Auditing & Advisory Erasmus School of Accounting & Assurance (ESAA)
Begeleider
: J. Pasmooij RE RA RO
Openbaarmaking
: Gebruik met bronvermelding toegestaan -2-
Voorwoord Deze scriptie is geschreven tijdens de Postmaster opleiding IT-Auditing & Advisory bij Erasmus School of Accounting & Assurance (ESAA). Bij het schrijven van de scriptie heb ik als doel gehad om meer kennis te verkrijgen van de Europese Privacy Verordening en wat een accountant die belast is met de jaarrekeningcontrole met betrekking tot deze verordening moet doen. De opgedane kennis en het beschreven werkprogramma hoop ik tijdens mijn werkzame carrière in te kunnen zetten. Via deze weg wil ik graag mijn scriptiebegeleider dhr. Pasmooij bedanken. Daarnaast wil ik graag de mensen, die hebben meegewerkt aan mijn onderzoek, bedanken. Zonder hen had ik mijn onderzoek niet kunnen uitvoeren. Ook wil ik mijn werkgever BDO bedanken voor de tijd, die zij beschikbaar hebben gesteld om deze scriptie te schrijven. Als laatste wil ik mijn vriend en familie bedanken voor hun steun en hulp!
-3-
Samenvatting In deze scriptie staat de volgende onderzoeksdoelstelling centraal: Het onderzoek is gericht op het verkrijgen van kennis en inzicht met betrekking tot de vraag wat het effect is van de EPV voor de jaarrekeningcontrole en welke controlewerkzaamheden de accountant moet uitvoeren om het risico te mitigeren. Middels een literatuuronderzoek heb ik inzicht gekregen in de vraag wat de Europese Privacy Verordening (hierna: EPV) inhoudt en wat de verschillen zijn met de huidige wet- en regelgeving. De verplichtingen en rechten onder de EPV zijn uitgebreider omschreven en toegelicht in vergelijking met de Wbp. Bovendien is de sanctie vele malen hoger dan de huidige sancties onder de Wbp. In het voorstel van de EPV wordt momenteel gesproken over een geldboete tot € 100 miljoen of 5% van de jaarlijkse wereldwijde omzet. Vervolgens is inzicht verkregen in de eisen die aan een organisatie worden gesteld en welke acties zij kunnen ondernemen. Aan een verantwoordelijke worden onder andere de volgende eisen gesteld: documentatieplicht, passende technische en organisatorische maatregelen treffen om een passend beveiligingsniveau te waarborgen, instellen van een functionaris voor gegevensbescherming en uitvoeren van een privacyeffectbeoordeling. Hierbij is het ook van belang dat de organisatie in staat moet zijn om verantwoording af te kunnen leggen (accountable), maar ook gecontroleerd moet kunnen worden (auditable). Daarna is ingegaan op de vraag welke werkzaamheden de accountant moet uitvoeren die belast is met de jaarrekeningcontrole met betrekking tot de naleving van de EPV. De accountant is verantwoordelijk voor het verkrijgen van een redelijke mate van zekerheid dat de financiële overzichten als geheel geen afwijking van materieel belang bevatten die het gevolg zijn van fraude of fouten, waarbij de accountant ook rekening dient te houden met de van toepassing zijnde wet- en regelgeving en dus ook de EPV. De werkzaamheden die de accountant moet uitvoeren zijn afhankelijk van de vraag of er wel of geen vermoeden is van niet-naleving van de EPV. Het niet-naleven van de EPV kan leiden tot het opnemen van een voorziening, een schuld of het vermelden in de toelichting. Aan de hand van dit literatuuronderzoek heb ik een werkprogramma geschreven, die ik aan een aantal experts heb voorgelegd. Dit heeft uiteindelijk geleid tot het een werkprogramma die een accountant die belast is met de jaarrekeningcontrole kan gebruiken. Voor het werkprogramma verwijs ik naar hoofdstuk 6 van mijn scriptie.
-4-
Inhoudsopgave 1
2
3
Inleiding ............................................................................................... - 7 1.1
Onderwerp en aanleiding .................................................................... - 7 -
1.2
Onderzoeksdoelstelling ....................................................................... - 8 -
1.3
Onderzoeksopzet .............................................................................. - 9 -
1.4
Afbakening en beperking van het onderzoek ............................................. - 9 -
Wet en regelgeving met betrekking tot privacy...............................................- 11 2.1
Inleiding ........................................................................................- 11 -
2.2
De huidige wet- en regelgeving. ...........................................................- 11 -
2.2.1
De Grondwet ............................................................................................... - 11 -
2.2.2
Europese privacyrichtlijn en de Wet bescherming persoonsgegevens .......... - 11 -
2.3
Meldplicht datalekken .......................................................................- 17 -
2.4
Europese privacy verordening ..............................................................- 19 -
2.5
Samenvatting ..................................................................................- 30 -
Welke eisen worden er aan een organisatie gesteld en welke acties kunnen zij
ondernemen? ..............................................................................................- 34 -
4
5
6
3.1
Inleiding ........................................................................................- 34 -
3.2
Welke eisen? ...................................................................................- 34 -
3.3
Welke acties? ..................................................................................- 37 -
3.4
Samenvatting ..................................................................................- 42 -
Wat is het effect van de EPV voor de jaarrekening-controle? ..............................- 44 4.1
Inleiding ........................................................................................- 44 -
4.2
NV COS 250 Wet- en regelgeving bij controle financiële overzichten...............- 45 -
4.3
Richtlijnen voor de Jaarverslaggeving ....................................................- 50 -
4.4
Samenvatting ..................................................................................- 53 -
Conceptueel model en onderzoeksopzet .......................................................- 55 5.1
Conceptueel model...........................................................................- 55 -
5.2
Onderzoeksopzet .............................................................................- 57 -
Toetsing van het conceptueel model ...........................................................- 60 6.1
Inleiding ........................................................................................- 60 -5-
6.2
Onderzoeksresultaten........................................................................- 60 -
6.3
Verwerking in het werkprogramma........................................................- 69 -
7
Conclusie en aanbevelingen ......................................................................- 74 -
8
Literatuurlijst .......................................................................................- 78 -
-6-
1
Inleiding
1.1
Onderwerp en aanleiding
Het Europees Parlement heeft op 12 maart 2014 ingestemd met een nieuwe privacy verordening. Met deze nieuwe verordening wil het Europees Parlement enerzijds meer control over de persoonsgegevens geven aan de mensen zelf en anderzijds wil het bedrijven makkelijker maken om samen te werken met andere bedrijven over de grenzen heen door de zelfde regels in alle EU-lidstaten te laten gelden.1 Op dit moment geldt nog de Europese privacyrichtlijn, die in Nederland is geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp).2 Organisaties ‘wachten’ met de huidige wetgeving op een incident, omdat de gevolgen voor het niet naleven van de wet- en regelgeving beperkt is. Echter de nieuwe Europese Privacy Verordening (EPV) creëert materiële risico’s voor organisaties, waardoor deze ook van belang zijn voor de externe accountants.3 De EPV zorgt er voor dat individuen meer control krijgen over hun eigen persoonsgegevens, zoals duidelijker recht op inzage en recht op vernietiging. Daarnaast is onder de EPV het bestuur van een organisatie zelf verantwoordelijk voor het naleven van de EPV. Zij moeten op ieder moment kunnen aantonen dat ze voldoen aan de privacyregels. Om hieraan te kunnen voldoen, zullen organisaties hun interne organisatie en informatiesystemen moeten aanpassen. De maatregelen om de privacyrisico’s af te dekken, moeten zijn ingebed in de standaard processen. Als een organisatie dit niet regelt, kan dit leiden tot een boete van maximaal 5% van de wereldwijde jaaromzet of maximaal € 100 miljoen. De toezichthouder kan zo’n boete opleggen als er geen intern privacybeleid is vastgelegd, de organisatie niet voldoet aan de meldplicht datalekken of de plicht een privacy impact assessment (PIA) te houden. Omdat deze boetes van materieel belang zijn, is het voor openbare accountants van belang om bij de jaarrekeningcontrole van een organisatie in te schatten in hoeverre zij wel of niet voldoen aan de EPV en of een voorziening gevormd moet worden. Naar verwachting zullen vanaf 2016 de bepalingen van de EPV gehandhaafd worden.4 In de huidige jaarrekeningcontrole is dit nog een onderbelicht onderwerp omdat de financiële risico’s veel kleiner zijn vanwege de veel lagere boetes. Vanwege de toenemende aandacht voor privacy en vanwege de grotere financiële risico’s onder de EPV is het belangrijk om na te gaan wat het effect van de EPV is voor de accountants die belast zijn met de jaarrekeningcontrole.
1 2
3 4
Persbericht Europees Parlement en accountants.nl, 12 maart 2014 Biesheuvel e.a., blz. 1 accountant.nl, 15 november 2013 accountant.nl, 15 november 2013 en 12 maart 2014; Duthler Associates en SC Online
-7-
In 1991 heeft het NIVRA geschrift nr. 58 geschreven: Automatisering en controle – Deel VIII. Privacybescherming; de gevolgen voor organisaties en de rol van de accountant. Het doel van dit geschrift was onder andere aan de leden van het NIVRA duidelijk te maken welke gevolgen de Wet persoonsregistraties (voorganger van de Wbp) heeft voor organisaties en welke rol de accountant kan vervullen in het kader van deze wet en dan met name ter zake van de bescherming van de privacy.5
1.2
Onderzoeksdoelstelling
Naar aanleiding van bovenstaande heb ik mij afgevraagd wat het effect van de EPV is op de jaarrekeningcontrole en welke controlewerkzaamheden wij als accountants dan moeten uitvoeren om dit risico te mitigeren. Met dit onderzoek wil ik in feite een update van het NIVRA geschrift nr. 58 bewerkstelligen. Waar het NIVRA geschrift nr. 58 eigenlijk alleen in gaat op de rol van de accountant bij privacy-onderzoeken, wil ik in deze scriptie het effect van de EPV op de
jaarrekeningcontrole
in
kaart
brengen.
Dit
heeft
geleid
tot
de
volgende
onderzoeksdoelstelling, welke in deze scriptie zal worden behandeld: Het onderzoek is gericht op het verkrijgen van kennis en inzicht met betrekking tot de vraag wat het effect is van de EPV voor de jaarrekeningcontrole en welke controlewerkzaamheden de accountant moet uitvoeren om het risico te mitigeren. Om de bovenstaande onderzoeksdoelstelling te behalen, zal ik in eerste instantie moeten weten wat de EPV precies inhoudt en welke eisen aan een organisatie worden gesteld. Hierbij zal ik ook een vergelijking maken met de huidige eisen onder de Wbp. Deze eisen kunnen als basis dienen voor de beoordeling door de accountant bij de jaarrekeningcontrole. Vervolgens dien ik inzicht te verkrijgen in de vraag wat dan het effect is van de EPV voor de jaarrekeningcontrole en welke controlewerkzaamheden de accountant moet uitvoeren om de risico’s te mitigeren. Mijn aanpak zal ik laten beoordelen door deskundige en onafhankelijke experts. Hun reactie zal ik analyseren en waar nodig verwerken in mijn werkprogramma. Resumerend kom ik op de volgende onderzoeksvragen: 1. Wat houdt de EPV in en wat zijn de verschillen met de huidige wet- en regelgeving? 2. Welke eisen worden er aan een organisatie gesteld en welke acties kunnen zij ondernemen? 3. Welke werkzaamheden moet de accountant uitvoeren die belast is met de jaarrekeningcontrole met betrekking tot de naleving van de EPV?
5
NIVRA, blz. 9
-8-
Ik hoop na dit onderzoek meer inzicht te hebben in de EPV en wat het effect daarvan is op de jaarrekeningcontrole. Momenteel ben ik werkzaam bij een accountantskantoor op de Audit & Assurance afdeling, waarbij mijn klantenpakket met name bestaat uit middelgrote- en grote organisaties. Door mijn onderzoek hoop ik mijn klanten beter te kunnen adviseren met betrekking tot de EPV en hoop ik een werkprogramma te hebben, die mijn collega’s kunnen gebruiken bij de jaarrekeningcontrole.
1.3
Onderzoeksopzet
Om antwoord te kunnen geven op mijn onderzoeksvragen zal ik een kwalitatief onderzoek uitvoeren. De eerste twee deelvragen zal ik beantwoorden aan de hand van een literatuurstudie. Vervolgens zal ik voor deelvraag drie eerst een kwalitatief onderzoek uitvoeren om het werkprogramma te ontwikkelen, waarna ik deze zal laten beoordelen door onafhankelijke en deskundige experts.
1.4
Afbakening en beperking van het onderzoek
Op 25 januari 2012 heeft de Europese Commissie een voorstel van de EPV ingediend bij het Europees Parlement. De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (Commissie LIBE) van het Europees Parlement hebben diverse wijzigingen voorgesteld. Dit gewijzigde voorstel is door het Europees Parlement aangenomen op 12 maart 2014. De Europese Raad van Ministers, waarin de nationale vakministers zijn vertegenwoordigd (Justitie) zullen een gezamenlijk standpunt moeten innemen over het voorstel van de EPV. Vervolgens zal het dan in stemming gaan bij het Europees Parlement. Als zij akkoord zijn, dan is de EPV onmiddellijk wet. Dit onderzoek heb ik uitgevoerd op basis van het voorstel van de EPV waar op 12 maart 2014 het Europees Parlement mee heeft ingestemd. Het is mogelijk dat de uiteindelijke verordening zal afwijken van dit voorstel. Het door mij opgestelde werkprogramma zal hierop moeten worden aangepast. Omdat de meldplicht datalekken uiteindelijk zal worden vervangen door de EPV zal mijn werkprogramma alleen ingaan op de uit te voeren werkzaamheden met betrekking tot de EPV. In de privacywetgeving wordt onderscheid gemaakt tussen de verantwoordelijke en de bewerker. Mijn werkprogramma zal alleen betrekking hebben op de jaarrekening van de verantwoordelijke.
-9-
In deze scriptie zullen alleen de voor deze scriptie relevante artikelen worden behandeld. Voor de volledige wetteksten en wetsvoorstellen verwijs ik u naar de verwijzingen in de literatuurlijst. Deelvraag 3 zal ik beantwoorden aan de hand van de Nederlandse controlestandaarden, Titel 9 Boek 2 van het Burgerlijk Wetboek en de Richtlijnen voor de Jaarverslaggeving voor grote en middelgrote rechtspersonen (hierna: RJ). Derhalve is het door mij opgestelde werkprogramma alleen geschikt voor ondernemingen die rapporteren op basis van deze RJ. In deze scriptie zal ik ook niet ingaan op het effect van de EPV voor accountants die belast zijn met het samenstellen van een jaarrekening.
- 10 -
2
Wet en regelgeving met betrekking tot privacy
2.1
Inleiding
In dit hoofdstuk zal worden ingegaan op mijn eerste onderzoeksvraag: Wat houdt de EPV in en wat zijn de verschillen met de huidige wet- en regelgeving? Om antwoord te kunnen geven op deze onderzoeksvraag zal eerst worden ingegaan op de huidige wet- en regelgeving, namelijk de Grondwet, de Europese privacyrichtlijn en de hierop gebaseerde Wet bescherming persoonsgegevens (Wbp). In Nederland is er tevens een wetsvoorstel in behandeling bij de Tweede Kamer met betrekking tot de meldplicht datalekken. Hier zal in paragraaf 3 van dit hoofdstuk verder op worden ingegaan. Vervolgens zal worden ingegaan op het voorstel van de Europese Privacy Verordening (EPV) en de verschillen met de Wbp en de meldplicht datalekken. In paragraaf 5 zal een samenvatting worden opgenomen.
2.2
De huidige wet- en regelgeving.
2.2.1 De Grondwet Artikel 10 van de Grondwet gaat in op privacy. Hierin staat onder andere dat iedereen het recht heeft op eerbiediging van de persoonlijke levenssfeer. Dit houdt in dat iedereen, behoudens bij of krachtens de wet te stellen beperkingen, het recht heeft om met rust te worden gelaten. De persoonlijke levenssfeer omvat onder meer je huis, je briefwisseling, je communicatie via de telefoon en het recht om niet te worden afgeluisterd. Daarnaast is opgenomen dat de wet regels stelt ter bescherming van de hiervoor genoemde persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Als laatste is in dit artikel van de Grondwet geregeld dat de wet regels stelt inzake aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens. In feite betekent dit dat privacy het recht is van individuen en groepen om zelf te bepalen wanneer, hoe en in welke mate informatie over hen wordt vastgelegd en wordt doorgegeven aan anderen.6
2.2.2 Europese privacyrichtlijn en de Wet bescherming persoonsgegevens Op 24 oktober 1995 is de Richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens in werking getreden. De Europese privacyrichtlijn is in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). 7 Derhalve zal hierna worden ingegaan op de Wbp. 6 7
Artikel 10, De Grondwet en collegemateriaal IT & Recht Biesheuvel e.a., blz. 1
- 11 -
Definities In de Wbp zijn een aantal definities van belang. Zo wordt onder ‘persoonsgegevens’ verstaan: ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’.8 In de richtlijn is meer toegelicht over wat men dan onder identificeerbaar beschouwt: ‘als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit’.9 Onder ‘verwerking van persoonsgegevens’ wordt verstaan elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.10 Samengevat gaat de Wbp over het hele proces vanaf de verzameling tot de vernietiging van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon. In de Wbp is het onderscheid tussen de verantwoordelijke en de bewerker van belang. De ‘verantwoordelijke’ is de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.11 De ‘bewerker’ is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.12 Kortom: de verantwoordelijke hoeft niet dezelfde te zijn als de bewerker. Toepassingsgebied De Wbp is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. De bepalingen in de richtlijn zijn bijvoorbeeld niet van toepassing als de verwerking door of ten behoeve van de inlichtingen- en veiligheidsdiensten en ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden worden uitgevoerd. 13 De Wbp is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. Deze wet is ook van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen
8 9 10 11 12 13
artikel artikel artikel artikel artikel artikel
1a, Wbp 2a, Europese privacyrichtlijn 1b, Wbp 1d, Wbp 1e, Wbp 2, Wbp
- 12 -
vestiging heeft in de Europese Unie, waarbij gebruikt wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens. Een verantwoordelijke die geen vestiging heeft in de Europese Unie mag geen persoonsgegevens verwerken, tenzij hij in Nederland een persoon of instantie aanwijst die namens hem handelt.14 Met betrekking tot de kwaliteit van de gegevens is bepaald dat de persoonsgegevens: a. op behoorlijke en zorgvuldige wijze moeten worden verwerkt; b. voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden; c. toereikend, ter zake dienend en niet bovenmatig moeten zijn; d. nauwkeurig en juist dienen te zijn; e. niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of volgens worden verwerkt.15 De verwerking van de persoonsgegevens mag dan slechts plaatvinden indien: a. de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend; b. de verwerking noodzakelijk is voor de uitvoering van een overeenkomst; c. de verwerking noodzakelijk is om een wettelijke verplichting na te komen; d. de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; e. de verwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt; of f.
de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.16
Verplichtingen verantwoordelijke Een verantwoordelijke heeft een drietal verplichtingen in de Wbp:
14 15 16 17
-
beveiligingsplicht;
-
meldingsplicht; en
-
informatieverstrekking.17 artikel 4, Wbp artikel 6, 7, 9, 10 en 11, Wbp artikel 8, Wbp collegemateriaal IT & Recht
- 13 -
Beveiligingsplicht: Artikel 13 van de Wbp stelt dat de verantwoordelijke passende technische en organisatorische maatregelen moet nemen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Rekening houdend met de stand van de techniek en de kosten, moeten deze maatregelen garanderen dat een passend beveiligingsniveau is behaald gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen hebben tevens tot doel onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. We zien steeds vaker dat gegevens door een andere partij dan de verantwoordelijke worden verwerkt, ook wel de bewerker genoemd. In zo’n geval dient de verantwoordelijke er voor te zorgen dat de bewerker voldoende technische en organisatorische beveiligingsmaatregelen heeft genomen. De verantwoordelijke gaat na of de bewerker de maatregelen naleeft. Kortom de verantwoordelijke draagt zorg dat de bewerker de persoonsgegevens verwerkt in overeenstemming met de wet en de verplichtingen nakomt die op de verantwoordelijke rusten.18 In een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke wordt de uitvoering van verwerkingen door een bewerker vastgelegd. De onderdelen van de overeenkomst of de rechtshandeling die betrekking
hebben
op
de
bescherming
van
persoonsgegevens,
alsmede
de
beveiligingsmaatregelen als in de vorige paragraaf bedoeld worden schriftelijk of in een andere, gelijkwaardige vorm vastgelegd met het oog op het bewaren van het bewijs.19 Het is verboden persoonsgegevens te verwerken met betrekking tot iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en het lidmaatschap van
een
vakvereniging.
Dit
geldt
ook
voor
strafrechtelijke
persoonsgegevens
en
persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.20 Op voorgaande worden wel uitzonderingen genoemd in de wet. Meldingsplicht Als een verantwoordelijke persoonsgegevens wilt verwerken, dient hij dit voorafgaand te melden bij het College bescherming persoonsgegevens (CBP) of de functionaris voor de gegevensbescherming (FG).21 Het CBP ziet er op toe dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd en dat de privacy ook in de toekomst gewaarborgd blijft. 22 Een FG kan
18 19 20 21 22
artikel 13 en 14, Wbp artikel 14, Wbp artikel 16, Wbp artikel 27, Wbp http://www.cbpweb.nl/Pages/home.aspx
- 14 -
worden benoemd door een verantwoordelijke of een organisatie waarbij verantwoordelijken zijn aangesloten. Een FG ziet toe op de verwerking van persoonsgegevens door de verantwoordelijke of door de verantwoordelijken die zijn aangesloten bij de organisatie die hem heeft benoemd overeenkomstig het bij of krachtens de wet bepaalde. De FG dient te worden aangemeld bij het CBP. De FG dient onafhankelijk te handelen.23 Een melding bevat een opgave van: a. de naam en adres van de verantwoordelijke; b. het doel of de doeleinden van de verwerking; c. een beschrijving van de categorieën van betrokkenen en van de gegevens of categorieën van gegevens die daarop betrekking hebben; d. de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt; e. de voorgenomen doorgiften van gegevens naar landen buiten de Europese Unie; f.
een algemene beschrijving om een voorlopig oordeel te kunnen geven over de gepastheid van de voorgenomen maatregelen om de beveiliging van de verwerking te waarborgen.24
Zowel het CBP als de FG dienen een register bij te houden van de bij hen aangemelde gegevensverwerkingen.25 Bovenstaande
meldingen
zijn
niet
verplicht
voor
een
aantal
verwerkingen
van
persoonsgegevens. Deze uitzonderingen zijn vermeld in het vrijstellingsbesluit Wbp. Een uitzondering
is
bijvoorbeeld
verwerkingen
in
het
kader
van
de
personeels-
en
salarisadministratie betreffende personen in dienst van of werkzaam ten behoeve van de verantwoordelijke26 en verwerkingen betreffende debiteuren en crediteuren van de verantwoordelijke27. Hierbij is wel van belang dat de verwerking geschiedt volgens het vrijstellingsbesluit Wbp en voldoet aan de eisen die hierin zijn genoemd. Informatieverstrekking: Als persoonsgegevens worden verkregen bij een betrokkene, dient de verantwoordelijke vóór het moment van verkrijgen de betrokkene te informeren, tenzij de betrokkene reeds op de hoogte is. De informatie, die moet worden verstrekt, bestaat uit: a. zijn identiteit; b. de doeleinden van de verwerking; en
23 24 25 26 27
artikel artikel artikel artikel artikel
62, 63 en 64, Wbp 28 Wbp 30, Wbp 7 en 8, vrijstellingsbesluit Wbp 12, vrijstellingsbesluit Wbp
- 15 -
c. nadere informatie als dat nodig is om zorgvuldig met de persoonsgegevens om te gaan en de rechten van de betrokkene te waarborgen. Als de persoonsgegevens niet worden verkregen van de betrokkene zelf, dient bovenstaande informatie te worden verstrekt aan de betrokkene op het moment van vastlegging van de persoonsgegevens of uiterlijk op het moment van eerste verstrekking aan een derde. 28 Rechten van de betrokkene In de Wbp wordt ook aandacht besteed aan verschillende rechten van de betrokkene, zoals: -
recht op toegang tot de gegevens; het zogenaamde inzagerecht29;
-
correctie,
verwijdering,
aanvulling
en
afscherming
van
de
verwerkte
persoonsgegevens30; -
doorgeven van correcties aan derden31; en
-
recht van verzet32.
Als iemand schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens de wet gegeven voorschriften heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding, indien het nadeel niet ziet op vermogensschade. De verantwoordelijke is aansprakelijk voor de schade of het nadeel. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover ontstaan door zijn werkzaamheden. Als de verantwoordelijke of de bewerker bewijst dat de schade hem niet kan worden toegerekend, kan hij geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid.33 Indien de verantwoordelijke of de bewerker handelt in strijd met het bij of krachtens deze wet bepaalde en een ander daardoor schade lijdt of dreigt te leiden, kan de rechter hem zodanig gedrag verbieden en hem bevelen maatregelen te treffen tot herstel van de gevolgen van dat gedrag.34 Sancties Het CBP is bevoegd een last onder bestuursdwang op te leggen ter handhaving van de bij of krachtens de Wbp gestelde verplichtingen. Het CBP kan ook aan de verantwoordelijke een bestuurlijke boete opleggen van ten hoogste € 4.500 met betrekking tot de meldingsplicht, zoals genoemd in artikel 27 en 28.35
28 29 30 31 32 33 34 35
artikel artikel artikel artikel artikel artikel artikel artikel
33 en 34, Wbp en collegemateriaal IT & Recht 35, Wbp 36, Wbp 38, Wbp 40, Wbp 49, Wbp 50, Wbp 65 en 66, Wbp
- 16 -
De verantwoordelijke kan ook worden gestraft met een geldboete: -
geldboete van de derde categorie (maximaal € 8.100) indien hij in strijd heeft gehandeld met betrekking tot: o
het verwerken van persoonsgegevens, terwijl de verantwoordelijke niet in de Europese Unie is gevestigd36;
-
o
de meldingsplicht37; en
o
een verbod tot doorgifte naar een land buiten de Europese Unie38
een gevangenisstraf van ten hoogste zes maanden of een geldboete van de vierde categorie (maximaal € 20.250) als een verantwoordelijke een feit, zoals hiervoor genoemd, opzettelijk begaat.39
2.3
Meldplicht datalekken
Op 17 juni 2013 is een wetsvoorstel ingediend bij de Tweede Kamer met betrekking tot een wijziging van de Wbp en de Telecommunicatiewet. Dit wetsvoorstel is ingediend naar aanleiding van een groot aantal incidenten waarbij door een inbreuk op de beveiliging van, onder meer, websites persoonsgegevens vrijkwamen met nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkenen. Dit wetsvoorstel gaat over de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens; ook wel meldplicht datalekken genoemd. De regering wil met deze meldplicht de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Als dit voorstel tot wetswijziging wordt aangenomen, moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij het CBP, maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken in zowel de private als publieke sector voor de verwerking van persoonsgegevens. Als er geen melding of niet op tijd melding wordt gemaakt van een datalek, kan dit bestraft worden door het CBP met een bestuurlijke boete.40 Bovenstaande zal hieronder verder worden toegelicht. Toepassingsgebied De verplichting van de verantwoordelijke tot informatieverstrekking wordt uitgebreid. De verantwoordelijke dient het CBP onverwijld in kennis te stellen van een inbreuk op de beveiliging, die ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens. De verantwoordelijke dient ook de betrokkene onverwijld in kennis te
36
artikel 4, Wbp artikel 27 en 28, Wbp 38 artikel 78, Wbp 39 artikel 75, Wbp en http://www.rijksoverheid.nl/onderwerpen/straffen-en-maatregelen/vraag-enantwoord/hoe-hoog-zijn-de-boetes-in-nederland.html 40 http://www.eerstekamer.nl/wetsvoorstel/33662_meldplicht_datalekken en Memorie van Toelichting bij wetsvoorstel wijziging Wbp, hoofdstuk 1 en 2 37
- 17 -
stellen indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens levenssfeer. Deze kennisgeving aan het CBP en de betrokkene bevat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen te beperken. Aan het CBP wordt tevens een beschrijving van de gevolgen van de inbreuk voor de verwerkte persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen verstuurd. Het CBP en de betrokkene hoeft niet op de hoogte van de inbreuk te worden gebracht als de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.41 Zoals in de voorgaande paragraaf is aangegeven, is pas sprake van een onder de meldplicht vallend datalek als de technische en organisatorische beveiligingsmaatregelen niet hebben gefunctioneerd en de inbreuk op de beveiliging ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens. In de memorie van toelichting42 wordt aangegeven dat dan niet noodzakelijkerwijs sprake hoeft te zijn van tekortschietende beveiligingsmaatregelen. Als de beveiliging van voldoende niveau is, kan sprake zijn van een inbreuk op de beveiliging als bijvoorbeeld beveiligingsmaatregelen teniet worden gedaan of worden omzeild. Voorbeelden hiervan zijn een hack van een ICT-systeem of de diefstal van een laptop of mobiele telefoon. Daarnaast is het ook mogelijk dat er sprake is van inbreuk op de beveiligingsmaatregelen bij een tekortschietende beveiliging, die de verantwoordelijke zelf kan worden aangerekend. Hierbij kunnen we bijvoorbeeld denken aan het slordig omgaan met het beheer van wachtwoorden die toegang geven tot informatiebestanden of aan situaties van het per ongeluk verkeerd adresseren van een brief of e-mail die persoonsgegevens bevat, het als oud papier aanbieden van gevoelige stukken, of het zoekraken van een mobiele telefoon of geheugenstick. De meldplicht geldt in feite dan alleen niet wanneer voorzieningen van algemene aard die niet specifiek zijn gericht op de beveiliging van persoonsgegevens worden aangetast. Dit is bijvoorbeeld van toepassing als door een blikseminslag het gebouw afbrandt en hierdoor persoonsgegevens verloren gaan. De wetswijziging heeft ook effect op de taken van de verantwoordelijke in relatie tot de bewerker. In de Wbp dient de verantwoordelijke zorg te dragen dat de bewerker voldoende beveiligingsmaatregelen heeft ingericht met betrekking tot de te verrichten verwerkingen. In het wetsvoorstel wordt dit uitgebreid met waarborgen ten aanzien van de melding van een inbreuk op de beveiliging, die ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens die door hem worden bewerkt. Met het oog op het bewaren van het bewijs zal, naast de beveiligingsmaatregelen, de hiervoor genoemde verplichting tot melding van een
41 42
artikel 1B, wetsvoorstel wijziging Wbp en de nota van wijziging hoofdstuk 3.1
- 18 -
inbreuk op de beveiliging ook schriftelijk of in een andere, gelijkwaardige vorm worden vastgelegd.43 Sancties De boetes die het CBP kan opleggen worden verder uitgebreid. Het CBP kan aan de verantwoordelijke een bestuurlijke boete opleggen van maximaal € 810.000 ter zake van een overtreding met betrekking tot het in kennis stellen van het CBP van een inbreuk op de beveiliging.44 Daarnaast kan bij veroordeling van een rechtspersoon, indien die boete geen passende bestraffing toelaat, een geldboete worden opgelegd tot ten hoogste tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan de uitspraak of strafbeschikking.45 In verhouding tot de huidige boetemaxima in de Wbp is dit een hoog bedrag. Volgens de memorie van toelichting bij het wetsvoorstel wijziging Wbp46 staat vermeld dat dit hoge maximum het belang moet weerspiegelen dat wordt gehecht aan het geven van transparantie bij de doorbreking van beveiligingsmaatregelen en het verlies aan vertrouwen dat het gevolg kan zijn van het nalaten van het treffen van de nodige maatregelen. Uit het wetsvoorstel tot wijziging van de Wbp en de bijbehorende memorie van toelichting blijkt dat deze hoge boete niet kan worden opgelegd als aan de beveiligingsverplichting wordt voldaan. Wel is het zo dat in het regeerakkoord van kabinet-Rutte II is opgenomen dat bij wet zal worden voorzien in een algehele uitbreiding van de bevoegdheid van het CBP om overtredingen van de Wbp met bestuurlijke boetes te sanctioneren.47
2.4
Europese privacy verordening
Zoals in hoofdstuk 1 aangegeven heeft het Europees Parlement op 12 maart 2014 ingestemd met een nieuwe privacy verordening.48 Deze verordening heeft betrekking op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), hierna ook wel de EPV genoemd. De EPV dient de Europese privacyrichtlijn te vervangen. Met deze verordening wil de Europese Commissie een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie (hierna: EU) waarborgen. Het is van belang dat een krachtiger en samenhangend kader voor gegevensbescherming in de EU tot stand wordt gebracht en bovendien scherp wordt toegezien op de handhaving daarvan. Dit is noodzakelijk, omdat het voor de economische ontwikkeling cruciaal is om vertrouwen in de onlineomgeving tot stand te brengen. De laatste
43 44 45 46 47 48
artikel 1A, wetsvoorstel wijziging Wbp en de nota van wijziging artikel 1D, wetsvoorstel wijziging Wbp Artikel IVb, nota van wijziging Wbp van 25 november 2014 en artikel 23 lid 7 van het Wetboek van Strafrecht. hoofdstuk 5 Nota n.a.v. het verslag voorstel wijziging Wbp, 16 april 2014, blz. 25 persbericht Europees Parlement en accountants.nl, 12 maart 2014
- 19 -
jaren zijn door snelle technologische ontwikkelingen nieuwe uitdagingen ontstaan voor de bescherming van persoonsgegevens. Steeds meer gegevens worden verzameld en gedeeld. Bedrijven en overheid kunnen door technologie bij het uitvoeren van hun activiteiten gebruik maken van persoonsgegevens. Bij een gebrek aan vertrouwen zullen consumenten aarzelen om online te kopen en nieuwe vormen van dienstverlening te accepteren. Dit zou tot gevolg kunnen hebben dat de ontwikkeling van innovatieve toepassingen van nieuwe technologieën vertraging kan oplopen. Het is noodzakelijk het vrije verkeer van gegevens binnen de Europese Unie en de doorgifte naar derde landen en internationale organisaties verder te vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens te garanderen.49 Definities Een deel van de definities van de EPV komen overeen met de Wbp. Zo is de definitie van ‘persoonsgegevens’ nagenoeg gelijk aan de definitie onder de Wbp. Onder de EPV is met name de manier van het identificeren van een natuurlijk persoon aan de hand van een onlineidentificatiemiddel toegevoegd. De definitie van ‘het verwerken van persoonsgegevens’ is onder de EPV identiek aan de definitie onder de Wbp. Onder de Wbp stelde de verantwoordelijke het doel van en de middelen voor de verwerking van persoonsgegevens vast. Onder de EPV stel de verantwoordelijke ook de voorwaarden voor de verwerking vast. De bewerker wordt onder de EPV verwerker genoemd; verder is de definitie gelijk. Onder de EPV zijn ook een aantal definities bijgekomen, waaronder de ‘inbreuk in verband met persoonsgegevens’. Hieronder wordt verstaan: ‘een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, tot gevolg’.50 Om te waarborgen dat de betrokkene zich bewust ervan is dat en waarvoor hij toestemming geeft, is in de definitie van ‘toestemming’ het criterium ‘uitdrukkelijk’ toegevoegd om verwarring met ‘ondubbelzinnige’ toestemming te voorkomen en tot één enkele en consistente definitie te komen. Toestemming houdt onder de EPV in: ‘elke vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.’51
49 50 51
voorstel EPV, blz. 1, 2, 20 en 44 artikel 4, voorstel EPV blz. 8 en artikel 4, voorstel EPV
- 20 -
Toepassingsgebied Net zoals de Wpb is de EPV van toepassing op de geheel of gedeeltelijke geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen.52 Waarbij de Wbp nog met name van toepassing was op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland, is de EPV van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerking in de EU. Daarnaast is de EPV ook van toepassing als de betrokkene in de EU woont, zijn of haar persoonsgegevens worden verwerkt door een buiten de EU gevestigde verantwoordelijke en de verwerking betrekking heeft op: a. het aanbieden van goederen of diensten aan deze betrokkenen in de EU; of b. het observeren van hun gedrag. De EPV is ook van toepassing op de verwerking van persoonsgegevens door een verantwoordelijke die niet in de EU is gevestigd, maar in een plaats waar krachtens het internationaal publieksrecht het nationale recht van een lidstaat van toepassing is.53 De EPV is van toepassing na twee jaar van in werking treden.54 De beginselen inzake de verwerking van persoonsgegevens, onder de Wbp de kwaliteit genoemd, zijn iets anders geformuleerd onder de EPV. Met name het transparantiebeginsel, de verduidelijking van het beginsel van minimale gegevensverwerking en aansprakelijkheid van de voor de verwerking verantwoordelijke zijn nieuw. De persoonsgegevens moeten: -
worden verwerkt op een wijze die rechtmatig, eerlijk en transparant is;
-
voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt;
-
adequaat en ter zake dienend zijn en beperkt blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt;
-
juist zijn en worden bijgewerkt;
-
niet langer in een vorm die het mogelijk maakt de betrokkene te identificeren, worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt, noodzakelijk is;
52 53 54
artikel 2, voorstel EPV artikel 3, EPV artikel 91, voorstel EPV
- 21 -
-
worden verwerkt onder de verantwoordelijkheid van de voor de verwerking verantwoordelijke, die ervoor zorgt en aantoont dat elke verwerking voldoet aan de bepalingen van deze verordening.55
Wanneer persoonsgegevens mogen worden verwerkt, ook wel de rechtmatigheid van de verwerking genoemd, is onder de EPV niet gewijzigd ten opzichte van de Wbp. Wel zijn er duidelijke
voorwaarden
voor
toestemming
toegevoegd.
Zo
moet
bijvoorbeeld
de
verantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor welbepaalde doeleinden. 56 Het algemene verbod op de verwerking van speciale categorieën persoonsgegevens en de uitzonderingen hierop zijn nagenoeg gelijk aan dat wat in de Wbp is vermeld. 57 Rechten van de betrokkene Rechten van de betrokkene zijn onder de EPV uitgebreider dan onder de Wbp en zijn er meer procedures en mechanismen vermeld. De betrokkene heeft onder de EPV namelijk de volgende rechten: -
transparantie en modaliteiten;
-
informatie en toegang tot gegevens;
-
rectificatie en het wissen van gegevens; en
-
recht van bezwaar en profilering.58
Transparantie en modaliteiten: Het beleid van de verantwoordelijke met betrekking tot de verwerking van persoonsgegevens en de uitoefening van de rechten van de betrokkene dient transparant en eenvoudig toegankelijk te zijn. Zo verschaft de verantwoordelijke in begrijpelijke vorm alle informatie en mededelingen over de verwerking aan de betrokkene.59 De verantwoordelijke dient procedures vast te stellen en zorgt voor mechanismen voor de uitoefening van de rechten van de betrokkene. Wanneer persoonsgegevens geautomatiseerd worden verwerkt, zorgt de verantwoordelijke voor middelen om verzoeken elektronisch in te dienen. Binnen een maand na ontvangst van het verzoek dient de verantwoordelijke de betrokkene te informeren of er al dan niet actie is ondernomen en verstrekt de gevraagde informatie. De verantwoordelijke kan ook weigeren actie te ondernemen. In zo’n geval deelt
55 56 57 58 59
blz. 8 en artikel 5, voorstel EPV artikel 6 en 7, voorstel EPV blz.9 en artikel 9, voorstel EPV hoofdstuk III, voorstel EPV artikel 11, voorstel EPV
- 22 -
de verantwoordelijke de betrokkene de redenen voor de weigering mee en informeert hij hem over de mogelijkheden een klacht in te dienen bij de toezichthoudende autoriteit.60 Tevens dient de verantwoordelijke iedere ontvanger op de hoogte te stellen van een uitgevoerde rectificatie of elk wissen van gegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.61 Informatie en toegang tot gegevens: Dit recht van de betrokkene komt veelal overeen met de plicht tot informatieverstrekking uit de Wbp, maar bevat wel aanvullende informatie die aan de betrokkene moet worden meegedeeld over onder andere de opslagtermijn, het recht een klacht in te dienen en het voornemen tot doorgifte van persoonsgegevens naar een derde land of internationale organisatie.62 Artikel 15 van het voorstel EPV gaat over recht van toegang van de betrokkene. Dit recht was ook al opgenomen onder Wbp. Net zoals bij artikel 14 van het voorstel EPV is het recht uitgebreid met aanvullende informatie die moet worden verstrekt.63 Rectificatie en het wissen van gegevens: Dit recht van de betrokkene is onder te verdelen in de volgende rechten: -
recht van rectificatie: dit houdt in dat de betrokkene het recht heeft om onjuiste persoonsgegevens te laten rectificeren of onvolledige persoonsgegevens te laten completeren64
-
recht om te worden vergeten en om gegevens te laten wissen: de betrokkene heeft het recht dat de betreffende gegevens worden gewist en dat deze niet verder worden verspreid. Als de verantwoordelijke persoonsgegevens openbaar heeft gemaakt, dient hij derden op de hoogte te stellen van het verzoek van de betrokkene of iedere koppeling naar en kopie of reproductie van die persoonsgegevens te wissen. Daarnaast is het recht opgenomen om de verwerking te laten beperken bijvoorbeeld als de betrokkene twijfels heeft bij de juistheid van de verwerkte persoonsgegevens.65
-
recht van gegevensoverdraagbaarheid: dit recht houdt in dat de betrokkene het recht heeft om gegevens van het ene elektronische verwerkingssysteem naar het andere over te dragen.66
60 61 62 63 64 65 66
artikel 12, voorstel EPV artikel 13, voorstel EPV blz. 9 en artikel 14, voorstel EPV blz. 9 en artikel 15, voorstel EPV artikel 16, voorstel EPV blz. 10 en artikel 17, voorstel EPV blz. 10 en artikel 18, voorstel EPV
- 23 -
Recht van bezwaar en profilering: Het recht van bezwaar komt overeen met het recht van verzet uit de Wbp. In dit artikel zitten met name een tweetal wijzigingen: -
bewijslast ligt meer bij de verantwoordelijke; en
-
een betrokkene heeft het recht om kosteloos bezwaar te maken wanneer zijn of haar persoonsgegevens ten behoeve van direct marketing worden verwerkt.67
Artikel 20 van het voorstel EPV bevat het recht om niet op basis van profilering aan een maatregel te worden onderworpen. Profilering is een geautomatiseerde verwerking van persoonsgegevens met als doel bepaalde aspecten van zijn persoonlijkheid te evalueren of om bijvoorbeeld zijn gedrag te analyseren of te voorspellen. 68 Op de hiervoor genoemde rechten kunnen door de Europese Unie en de lidstaten worden beperkt, bijvoorbeeld als dit ter waarborging is van de openbare veiligheid. 69 Verplichtingen van de verantwoordelijke en de verwerker Hoofdstuk IV van het voorstel EPV gaat over de verplichtingen van de voor de verwerking verantwoordelijke en de verwerker. De verplichtingen zijn: -
verantwoordingsbeginsel;
-
privacy by design en by default;
-
documentatieplicht;
-
gegevensbeveiliging en melding van een inbreuk;
-
privacyeffectbeoordeling en voorafgaande toestemming; en
-
functionaris voor gegevensbescherming.
Verantwoordingsbeginsel: De verantwoordelijke dient een beleid vast te stellen en passende maatregelen uit te voeren om ervoor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd. De maatregelen betreffen met name: -
het
bewaren
van
documentatie
over
alle
verwerkingen
die
onder
hun
verantwoordelijkheid hebben plaatsgevonden; -
het voldoen aan de vastgestelde vereisten inzake gegevensbeveiliging;
-
het uitvoeren van een privacyeffectbeoordeling;
-
het voldoen aan de eisen inzake voorafgaande toestemming of voorafgaande raadpleging van de toezichthoudende autoriteit; en
-
67 68 69
het aanwijzen van een functionaris voor de gegevensbescherming.
blz. 10 en artikel 19, voorstel EPV blz. 10 en artikel 20, EPV blz. 10 en artikel 21, voorstel EPV
- 24 -
De verantwoordelijke dient tevens mechanismen in te stellen om ervoor te zorgen dat de doeltreffendheid van de voorgaande maatregelen wordt getoetst.70 Privacy by design en by default: Deze verplichting komt overeen met de beveiligingsplicht uit de Wbp. Naast het treffen van passende technische en organisatorische maatregelen dienen onder de EPV ook procedures te zijn ingesteld om te waarborgen dat de verwerking aan de voorwaarden van deze verordening voldoet en de rechten van de betrokkene zijn beschermd. Bij het treffen van passende technische en organisatorische maatregelen dien de verantwoordelijke de stand van de techniek, het actuele technische kennisniveau, internationale optimale praktijken en de met de gegevensverwerking verbonden risico’s, zowel ten tijde van de vaststelling van de doeleinden en de middelen van de verwerking als ten tijde van de eigenlijke verwerking in acht te nemen. Privacy by design is met name gericht op het beheer van de hele levenscyclus van persoonsgegevens, vanaf het verzamelen tot het verwerken en verwijderen, waarbij stelselmatig aandacht wordt besteed aan allesomvattende procedurele waarborgen met betrekking tot de nauwkeurigheid, de vertrouwelijkheid, de integriteit, de fysieke veiligheid en de verwijdering van persoonsgegevens. Daarnaast dient de verantwoordelijke mechanismen in te stellen om met name ervoor te zorgen dat persoonsgegevens in beginsel niet voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt en dat de betrokkenen controle hebben over de verspreiding van hun persoonsgegevens.71 Wanneer een verantwoordelijke de verwerking van de persoonsgegevens niet zelf uitvoert, is het van belang dat de verantwoordelijke een verwerker kiest die voldoende waarborgen biedt om aan voorgaande beveiligingsplicht te kunnen voldoen. De uitvoering van de verwerkingen door de verwerker wordt geregeld in een overeenkomst of iets dergelijks. Hetgeen dat moet worden bepaald in deze overeenkomst is uitgebreid ten opzichte van de vereiste elementen in de Wbp. Zo is bijvoorbeeld bepaald dat de verwerker alleen personeel in dienst neemt dat zich ertoe
heeft
verplicht
vertrouwelijkheid
in
acht
te
nemen
of
een
wettelijke
vertrouwelijkheidsplicht heeft en dat de verwerker slechts handelt in opdracht van de verantwoordelijke en dan met name wanneer de doorgifte van de persoonsgegevens verboden is.72 Documentatieplicht: Onder de EPV is het voor alle verantwoordelijken, verwerkers alsmede vertegenwoordigers van de verantwoordelijke verplicht de documenten inzake alle verwerkingen die onder hun
70 71 72
artikel 22, voorstel EPV artikel 23, voorstel EPV en aangenomen teksten van 12 maart 2014 door het Europees Parlement artikel 26, voorstel EPV
- 25 -
verantwoordelijkheid hebben plaatsgevonden te bewaren. Onder de Wbp was er alleen nog sprake van een meldingsplicht. De documenten bevatten minimaal de volgende gegevens: a. naam en contactgegevens van de verantwoordelijke, verwerker of vertegenwoordiger; b. naam en contactgegevens van de functionaris voor de gegevensbescherming; c. doeleinden van de verwerking; d. een beschrijving van de categorieën van betrokkenen en van de categorieën van gegevens die daarop betrekking hebben; e. de ontvangers of categorieën van ontvangers; f.
de voorgenomen doorgiften van gegevens naar een derde land of een internationale organisatie;
g. een algemene aanwijzing met betrekking tot de termijnen waarbinnen de verschillende categorieën moeten worden gewist; en h. een beschrijving van de mechanismen zoals genoemd in het verantwoordingsbeginsel. Bovenstaande documenten dienen op verzoek ter beschikking te worden gesteld aan de toezichthoudende autoriteit. Voorgaande documentatieplicht geldt niet voor een natuurlijk persoon die zonder commerciële belangen persoonsgegevens verwerkt of voor een onderneming of organisatie met minder dan 250 werknemers die persoonsgegevens slechts als nevenactiviteit verwerkt.73 Gegevensbeveiliging en melding van een inbreuk: De verantwoordelijke en de verwerker dienen passende technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te waarborgen. Hierbij zullen zij rekening moeten houden met de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens
met
zich
meebrengt.
Na
evaluatie
van
de
risico’s
nemen
de
verantwoordelijke en de verwerker maatregelen ter bescherming van persoonsgegevens tegen vernietiging of tegen verlies en om andere vormen van onrechtmatige verwerking te voorkomen, met name ongeoorloofde verstrekking of verspreiding van, toegang tot, of wijziging van persoonsgegevens.74 Net zoals onder de meldplicht datalekken dient in geval van een inbreuk in verband met persoonsgegevens de verantwoordelijke een melding te maken bij de toezichthoudende autoriteit zonder onnodige vertraging en zo mogelijk niet later dan 24 uur nadat hij ervan kennis heeft gekregen. De verwerker waarschuwt en informeert de verantwoordelijke onmiddellijk na vaststelling van een inbreuk in verband met persoonsgegevens. In tegenstelling tot de meldplicht datalekken dient elke inbreuk in verband met persoonsgegevens te worden gemeld en wordt er geen verband gelegd met de gevolgen van de inbreuk. De verantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens met inbegrip van de feiten
73 74
artikel 28, voorstel EPV artikel 30, voorstel EPV
- 26 -
omtrent de inbreuk, de gevolgen van de inbreuk en de corrigerende maatregelen die zijn genomen.75 De betrokkene dient pas op de hoogte te worden gesteld van de inbreuk als deze waarschijnlijk negatieve gevolgen voor de bescherming van de persoonsgegevens of de privacy van de betrokkene heeft. De betrokkene hoeft, net zoals onder de meldplicht datalekken, niet op de hoogte te worden gebracht als de verantwoordelijke kan aantonen dat zij passende technische beschermingsmaatregelen heeft genomen, zoals het onbegrijpelijk maken van de gegeven voor eenieder die geen recht op toegang tot de gegevens heeft.76 Privacyeffectbeoordeling en voorafgaande toestemming: De verantwoordelijke of de verwerker voeren een beoordeling uit van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten en vrijheden van de betrokkenen. Met verwerkingen met bijzondere risico’s worden bedoeld: a. een systematische en uitgebreide beoordeling van aspecten van de persoonlijkheid van een natuurlijk persoon; b. de verwerking van gegevens over het seksuele leven, de gezondheid, het ras of de etnische afkomst, voor het bieden van gezondheidszorg, voor epidemiologische onderzoek, of voor onderzoek naar geestes- of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen; c. de bewaking van openbaar toegankelijke ruimten, met name wanneer op grote schaal videobewaking wordt gebruikt; d. de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens; en e. andere verwerkingen waarvoor de toezichthoudende autoriteit moet worden geraadpleegd.77 In een aantal gevallen dient, net zoals onder de Wbp, voorafgaande toestemming voor de verwerking te worden verkregen van de toezichthoudende autoriteit.78 Functionaris voor gegevensbescherming: De verantwoordelijke en de verwerker dienen een functionaris voor gegevensbescherming aan te wijzen in minimaal de volgende gevallen: -
75 76 77 78
de verwerking wordt uitgevoerd door een overheidsinstantie of –orgaan; of
artikel artikel artikel artikel
31, 32, 33, 34,
voorstel voorstel voorstel voorstel
EPV EPV EPV EPV
- 27 -
-
de verwerking wordt uitgevoerd door een rechtspersoon en betrekking heeft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden; of
-
de verantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen; of
-
de kernactiviteiten van de verantwoordelijke of de verwerker bestaan uit de verwerking van bijzondere categorieën gegevens, gegevens over de verblijfplaats of gegeven over kinderen of werknemers in grote bestanden.
In het hiervoor genoemde tweede geval kan een groep van ondernemingen één functionaris voor gegevensbescherming benoemen.79 De functionaris voor gegevensbescherming heeft ten minste de volgende taken: -
het bewust maken, informeren en adviseren van de verantwoordelijke en de verwerker over hun verplichtingen met name wat betreft technische en organisatorische maatregelen en procedures;
-
het toezien op de uitvoering en toepassing van het beleid met betrekking tot de bescherming van de persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, de opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
-
het toezien op de uitvoering en toepassing van deze verordening, met name met betrekking tot de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren van betrokkenen en hun verzoeken in het kader van de uitoefening van hun rechten;
-
ervoor zorgen dat aan de documentatieplicht wordt voldaan;
-
het toezien op het documenteren, melden en meedelen van inbreuken;
-
het toezien op de uitvoering van de privacyeffectbeoordeling;
-
het toezien op het gevolg dat aan verzoeken van de toezichthoudende autoriteit is gegeven en het verlenen van medewerking;
-
het optreden als contactpunt voor de toezichthoudende autoriteit;
-
het
controleren
van
de
naleving
van
deze
verordening
van
het
raadplegingsmechanisme; en -
het informeren van de werknemersvertegenwoordigers over de verwerking van gegevens van de werknemers.80
79 80
artikel 35, voorstel EPV en aangenomen teksten van 12 maart 2014 door het Europees Parlement artikel 37, voorstel EPV en aangenomen teksten van 12 maart 2014 door het Europees Parlement
- 28 -
Sancties Ongeacht andere mogelijkheden van administratief beroep of beroep in rechte en de conformiteitstoetsing heeft iedere betrokkene het recht om een klacht in te dienen bij de toezichthoudende autoriteit als hij van mening is dat de verwerking van hem betreffende persoonsgegevens niet aan deze verordening voldoet.81 Tevens heeft ieder natuurlijke persoon het recht een beroep in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn.82 Daarnaast heeft iedere natuurlijke of rechtspersoon het recht tegen hem betreffende besluiten van een toezichthoudende autoriteit een beroep in rechte in te stellen.83 Iedere persoon heeft recht op een schadevergoeding van de verantwoordelijke of de verwerker als die persoon schade heeft geleden als gevolg van een onrechtmatige verwerking of een handeling die met deze verordening strijdig is. Als er sprake is van meerdere voor de verwerking verantwoordelijken en verwerkers, dan zijn zij alle hoofdelijk aansprakelijk voor de volledige vergoeding van de schade. De verantwoordelijke of verwerker kan wel geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid als hij kan bewijzen dat de schade hem niet kan worden aangerekend.84 Administratieve sancties kunnen door elke toezichthoudende autoriteit worden opgelegd. De sanctie moet in elke zaak doeltreffend, evenredig en afschrikkend zijn. De toezichthoudende autoriteit legt eenieder die de verplichtingen krachtens deze verordening niet naleeft, ten minste een van de volgende sancties op: -
een schriftelijke waarschuwing in het geval van een eerste en niet-opzettelijke nietnaleving;
-
regelmatige, periodieke gegevensbeschermingsaudits;
-
een boete tot € 100 miljoen of tot 5% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, afhankelijk van welk bedrag hoger is.85
Bij de administratieve sanctie wordt rekening gehouden met de volgende factoren: a. de aard, de ernst en de duur van de niet-naleving, b. het feit of de inbreuk opzettelijk of uit nalatigheid is gepleegd, c. de mate waarin de natuurlijke of de rechtspersoon aansprakelijk is en eerdere inbreuken heeft gepleegd, d. het herhaaldelijke karakter van de inbreuk,
81 82 83 84 85
artikel artikel artikel artikel artikel
73, voorstel EPV en aangenomen teksten van 12 maart 2014 door het Europees Parlement 75, voorstel EPV 74, voorstel EPV 77, voorstel EPV 79 lid 1 en 2, voorstel EPV en aangenomen teksten van 12 maart 2014 door het Europees Parlement
- 29 -
e. de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen ervan te beperken, f.
de specifieke door de inbreuk getroffen categorieën persoonsgegevens,
g. de hoeveelheid door de betrokkenen geleden schade, waaronder immateriële schade, h. de door de voor de verwerking verantwoordelijke of door de verwerker genomen maatregelen om de door de betrokkenen geleden schade te beperken, i.
alle nagestreefde of gerealiseerde financiële voordelen, of vermeden verliezen, die direct of indirect uit de inbreuk voortvloeien,
j.
de technische en organisatorische maatregelen en procedures die ten uitvoer zijn gelegd overeenkomstig: a. Artikel 23 - Privacy by design en by default b. Artikel 30 - Beveiliging van de verwerking c. Artikel 33 – Privacyeffectbeoordeling d. Artikel 33 - Beoordeling van de naleving van de gegevensbescherming e. Artikel 35 - Aanwijzing van de functionaris voor gegevensbescherming f.
de weigering tot samenwerking of tegenwerking bij inspecties, audits en controles van de toezichthoudende autoriteit,
g. andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factoren.86 Uit voorgaande blijkt dat de sancties veel hoger zijn dan onder de meldplicht datalekken en dat in veel meer gevallen een sanctie kan worden opgelegd.
2.5
Samenvatting
In dit hoofdstuk is middels een literatuuronderzoek antwoord gegeven op mijn eerste onderzoeksvraag: Wat houdt de EPV in en wat zijn de verschillen met de huidige wet- en regelgeving? In Nederland geldt op dit moment de Wet bescherming persoonsgegevens (Wbp), wat een implementatie is van de Europese privacyrichtlijn uit 1995. In juni 2013 is een wetsvoorstel ingediend bij de Tweede Kamer met betrekking tot een wijziging van de Wbp, ook wel meldplicht datalekken genoemd. Op 12 maart 2014 heeft het Europees Parlement ingestemd met een nieuwe privacy verordening. Deze verordening heeft betrekking op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije
86
artikel 79 lid 1 en 2, voorstel EPV en aangenomen teksten van 12 maart 2014 door het Europees Parlement
- 30 -
verkeer van die gegevens, hierna ook wel de EPV genoemd. De EPV dient de Europese privacyrichtlijn te vervangen en hiermee dus ook de Wbp en de meldplicht datalekken. 87 Samengevat gaan bovenstaande richtlijnen, verordeningen en wetten over het hele proces vanaf de verzameling tot de vernietiging van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon. In de EPV zijn de rechten van de betrokkenen en de verplichtingen van de voor de verwerking verantwoordelijke en de verwerker uitgebreider omschreven en toegelicht in vergelijking met de Wbp. Ook moeten veel vaker procedures en mechanismen worden ingericht. Op de volgende bladzijde zijn schematisch de verschillen tussen de Wbp en de EPV weergegeven. In het overzicht zijn de rechten en verplichtingen, die met elkaar (deels) overeenstemmen naast elkaar weergegeven. Zoals hierboven al aangegeven zijn de rechten en de verplichtingen onder de EPV uitgebreider omschreven en toegelicht in vergelijking met de Wbp, maar het is niet mogelijk dit schematisch goed weer te geven.
87
persbericht Europees Parlement en accountants.nl, 12 maart 2014 en voorstel EPV
- 31 -
De rechten van de betrokkene onder de EPV zijn: -
transparantie en modaliteiten: het beleid van de verantwoordelijke en de uitoefening van de rechten van de betrokkene dient transparant en toegankelijk te zijn. De verantwoordelijke dient procedures vast te stellen en zorgt voor mechanismen voor de uitoefening van de rechten van de betrokkene.
-
informatie en toegang tot gegevens.
-
rectificatie en het wissen van gegevens: hieronder valt onder andere ook het recht om te worden vergeten en om gegevens te laten wissen.
-
recht van bezwaar en profilering.88
De verantwoordelijke en de verwerker hebben onder de EPV de volgende verplichtingen: -
verantwoordingsbeginsel: de verantwoordelijke dient een beleid vast te stellen en passende maatregelen uit te voeren om ervoor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met de verordening wordt uitgevoerd. De toereikendheid en doeltreffendheid van deze maatregelen dient ook te worden getoetst.
-
privacy by design en by default: naast het treffen van passende technische en organisatorische maatregelen dienen onder de EPV ook procedures te zijn ingesteld en mechanismen te zijn ingericht om te waarborgen dat de verwerking aan de voorwaarden van deze vordering voldoet en de rechten van de betrokkenen zijn beschermd.
-
documentatieplicht: alle verantwoordelijken, verwerkers alsmede vertegenwoordigers zijn verplicht documenten van alle verwerkingen die onder hun verantwoordelijkheid hebben plaatsgevonden te bewaren. Deze plicht geldt onder andere niet als een onderneming minder dan 250 werknemers heeft.
-
gegevensbeveiliging en melding van een inbreuk: de verantwoordelijke en de verwerker dienen passende technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te waarborgen. In geval van een inbreuk in verband met persoonsgegevens dient in principe binnen 24 uur een melding te worden gemaakt bij de toezichthoudende autoriteit en eventueel bij de betrokkene.
-
privacyeffectbeoordeling en voorafgaande raadpleging: de verantwoordelijke of de verwerker dienen een beoordeling uit te voeren van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten en vrijheden van betrokkenen.
88
hoofdstuk III, voorstel EPV
- 32 -
-
functionaris voor gegevensbescherming: een organisatie dient bijvoorbeeld deze functionaris in te stellen als de verwerking betrekking heft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden.89
Organisaties ‘wachten’ met de huidige wetgeving op een incident, omdat de gevolgen voor het niet naleven van de wet- en regelgeving beperkt is. Zo bedragen de sancties onder de Wbp tussen de € 4.500 en € 20.250 of een gevangenisstraf van maximaal 6 maanden. Onder de meldplicht datalekken is de sanctie al veel hoger, namelijk maximaal € 810.000 als de onderneming een overtreding begaat met betrekking tot het in kennis stellen van het CBP van een inbreuk op de beveiliging.90 De sancties onder de EPV gaan nog veel verder. Voor veel meer overtredingen kan een boete worden opgelegd en de boetes zijn ook vele malen hoger. Het voorstel van de EPV bevat op dit moment een maximale boete van € 100 miljoen of 5% van de jaarlijkse wereldwijde omzet voorstelt.91
89 90 91
hoofdstuk IV, voorstel EPV en aangenomen teksten van 12 maart 2014 door het Europees Parlement artikel 65, 66 en 75, Wpb en artikel 1D, wetsvoorstel wijziging Wbp artikel 79, voorstel EPV en aangenomen teksten van 12 maart 2014 door het Europees Parlement
- 33 -
3
Welke eisen worden er aan een organisatie gesteld en welke acties kunnen zij ondernemen?
3.1
Inleiding
In dit hoofdstuk zal worden ingegaan op mijn tweede onderzoeksvraag: Welke eisen worden er aan een organisatie gesteld en welke acties kunnen zij ondernemen? Om antwoord te kunnen geven op deze onderzoeksvraag is het van belang om de eisen die aan een organisatie worden gesteld uit het voorstel van de EPV te filteren. Vervolgens dient aan de hand van toelichtingen op de Wbp en de EPV, handreikingen en andere van toepassing zijnde standaarden inzicht te worden verkregen in de acties die een onderneming moet nemen om te kunnen voldoen aan de eisen van de EPV.
3.2
Welke eisen?
In hoofdstuk 2 is ingegaan op de het voorstel van de EPV. Hieruit komen de volgende eisen waaraan een verantwoordelijke moet voldoen of wat een verantwoordelijke minimaal moet regelen: 1. Hij dient een beleid vast te stellen en passende maatregelen uit te voeren om ervoor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming is met deze vordering. Dit beleid dient transparant en eenvoudig toegankelijk te zijn voor de betrokkene. 2. Hij moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. 3. Hij dient procedures vast te stellen en zorgt voor mechanismen voor de uitoefening van de rechten van de betrokkene. Binnen één maand na ontvangst van het verzoek dient de verantwoordelijke de betrokkene te informeren over diens verzoek. 4. Hij dient te voldoen aan de documentatieplicht. 5. Hij dient passende technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te waarborgen. In geval van een inbreuk in verband met persoonsgegevens dient in principe binnen 24 uur een melding te worden gemaakt bij de toezichthoudende autoriteit en eventueel bij de betrokkene. 6. Hij dient afhankelijk van de risico’s voor de rechten en vrijheden van de betrokkenen een privacyeffectbeoordeling uit te voeren. 7. Hij dient een functionaris voor gegevensbescherming in te stellen. 8. De verantwoordelijke dient mechanismen in te stellen om ervoor te zorgen dat de toereikendheid en doeltreffendheid van de voorgaande maatregelen wordt getoetst.
- 34 -
De verplichting onder punt 4 geldt onder andere niet als een onderneming minder dan 250 werknemers heeft. De verplichting onder punt 7 geldt bijvoorbeeld niet als de verwerking betrekking heeft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden. Verantwoordelijkheden en verantwoordingsplicht De verantwoordelijke dient een passend beleid vast te stellen en passende en aantoonbare technische en organisatorische maatregelen uit te voeren met als doel ervoor te zorgen en op transparante manier te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met de EPV wordt uitgevoerd. Hierbij dient rekening gehouden te worden met de stand van de techniek, het soort verwerking van persoonsgegevens, de context, de omvang en het doel van de verwerking, de risico’s voor de rechten en vrijheden van betrokkenen en het type organisatie, zowel bij de vaststelling van de middelen voor de verwerking als bij de verwerking zelf. De verantwoordelijke neemt met inachtneming van de stand van de techniek en de uitvoeringskosten alle redelijke maatregelen om het nalevingsbeleid en de –procedures uit te voeren die de autonome keuze van de betrokkenen permanent respecteren. De hiervoor genoemde maatregelen betreffen met name: a. Het bewaren van documentatie; b. Het voldoen aan de vastgestelde vereisten inzake gegevensbeveiliging; c. Het uitvoeren van een privacyeffectbeoordeling; d. Het voldoen aan de eisen inzake voorafgaande toestemming of voorafgaande raadpleging van de toezichthoudende autoriteit; en e. Het aanwijzen van een functionaris voor gegevensbescherming.92 Ingeval van een datalek dient in principe binnen 24 uur een melding te worden gemaakt bij de toezichthoudende autoriteit en eventueel bij de betrokkene. Dit houdt dan dus in dat de verantwoordelijke alle inbreuken in verband met persoonsgegevens met inbegrip van de feiten omtrent de inbreuk, de gevolgen van de inbreuk en de corrigerende maatregelen die zijn genomen documenteert.93 De verantwoordelijke moet tevens in staat zijn de toereikendheid en doeltreffendheid van de hiervoor genoemde maatregelen aan te tonen. De maatregelen dienen bovendien te worden getoetst door een onafhankelijke interne of externe controleur.94 Bovenstaande houdt in dat de organisatie verantwoording af moet leggen (accountable), maar ook gecontroleerd moet kunnen worden (auditable).
92 93 94
artikel 22 lid 1 en 2, voorstel EPV en aangenomen teksten van 12 maart 2014 door het Europees Parlement artikel 31, voorstel EPV artikel 22 lid 3, voorstel EPV en aangenomen teksten van 12 maart 2014 door het Europees Parlement
- 35 -
Passende technische en organisatorische maatregelen Bij met name de eis om passende technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te waarborgen, kan de vraag naar voren komen wat dan wordt verstaan onder passende technische en organisatorische maatregelen. Vanuit de Europese Commissie is hier, voor zover bij mij bekend, nog geen verdere uitleg bij gegeven. Voor de naleving van de vereisten in de Wbp is hier al wel op ingegaan. Met het begrip ‘passend’ wordt bedoeld dat de beveiliging in overeenstemming is met de stand van de techniek en voorts dat de beveiligingsmaatregelen in verhouding staan met de te beschermen persoonsgegevens. Zo worden er zwaardere eisen gesteld aan de beveiliging van de gegevens naarmate de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen. Er is dus geen verplichting om altijd de allerzwaarste beveiliging te nemen.95 Op 19 februari 2013 heeft het CBP richtsnoeren gepubliceerd voor de beveiliging van persoonsgegevens. In deze richtsnoeren wordt toegelicht hoe het CBP bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. De richtsnoeren worden ook wel gezien als de verbindende schakel tussen enerzijds het juridische domein, met daarbinnen de eisen uit de Wbp, en anderzijds het domein van informatiebeveiliging, waarin de noodzakelijke kennis en kunde aanwezig is om daadwerkelijk aan die eisen te voldoen. Dit houdt in dat de richtsnoeren in samenhang moeten worden gebruikt met algemeen geaccepteerde beveiligingsstandaarden, zoals ISO 27002 en de ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie.96 In hoofdstuk 3.3 zal verder worden ingegaan op deze richtsnoeren en ISO 27002. Op de ICT-beveiligingsrichtlijnen voor webapplicaties zal verder niet worden ingegaan omdat deze specifiek gelden voor webapplicaties en dus niet gelden voor elke onderneming. Daarnaast staat in het voorgestelde artikel 34a lid 6 van de Wbp dat het CBP en de betrokkene niet op de hoogte van de inbreuk hoeven te worden gebracht als de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. De vraag kan worden gesteld wat onder dit laatste wordt verstaan. In de nota naar aanleiding van het verslag d.d. 16 april 2014 wordt hier op ingegaan: Als passende technische beschermingsmaatregelen kan worden gezien het versleutelen van gegevens. Hierbij dient met name aandacht te zijn voor de veiligheid en de sterkte van de versleuteling. In de Europese uitvoeringsverordening voor de telecomsector is nader uitgewerkt wanneer
95 96
Nota n.a.v. het verslag voorstel wijziging Wbp, 16 april 2014, blz. 10 en CBP, Richtsnoeren, 2013, blz. 10 Memorie van toelichting bij wetsvoorstel wijziging Wbp, hoofdstuk 3 en CBP, Samenvatting richtsnoeren,
blz. 2
- 36 -
persoonsgegevens door technologische maatregelen als onbegrijpelijk worden beschouwd. Volgens de verordening is dit het geval wanneer de persoonsgegevens: a. op veilige wijze zijn versleuteld met een standaardalgoritme, de sleutel voor decryptie door geen enkele inbreuk gevaar heeft gelopen en de sleutel voor decryptie zodanig werd gegenereerd dat personen zonder geautoriseerde toegang de sleutel met de beschikbare technologische middelen niet kunnen vinden; of b. zijn
vervangen door
een cryptografisch versleutelde hashfunctie berekende
hashwaarde, de sleutel die hiervoor werd gebruikt door geen enkele inbreuk gevaar heeft gelopen en deze voor datahashing gebruikte sleutel zodanig is gegenereerd dat personen zonder geautoriseerde toegang de sleutel niet kunnen vinden met de beschikbare technologische middelen.97
3.3
Welke acties?
Naast de hierboven genoemde versleuteling van gegevens als passend technische maatregel zal in deze paragraaf aan de hand van de Richtsnoeren beveiliging van persoonsgegevens en ISO 27002 een overzicht worden verkregen van passende technische en organisatorische maatregelen om tot een passend beveiligingsniveau te komen. In de richtsnoeren98 wordt als uitgangspunt voor een passende beveiliging genoemd dat in een organisatie de bestuurders en de mensen die verantwoordelijk zijn voor de informatiesystemen en –beveiliging gezamenlijk nadenken over de wijze van beveiliging, al voordat ze persoonsgegevens gaan verwerken tot aan het onomkeerbaar wissen van het laatste back-upbestand na afloop van de bewaartermijn. Het genoemde beveiligingsniveau komt overeen met het begrip betrouwbaarheid uit het vakgebied informatiebeveiliging. Betrouwbaarheid kan worden omschreven als de mate waarin een organisatie voor de informatievoorziening kan rekenen op een informatiesysteem en is een verzamelterm voor de aspecten: -
Beschikbaarheid: betreft het waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en aanverwante bedrijfsmiddelen.
-
Integriteit: betreft het waarborgen van de juistheid, tijdigheid en volledigheid van informatie en de verwerking ervan.
-
Vertrouwelijkheid: betreft het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd.
Samen met deze drie aspecten wordt vaak nog een vierde aspect onderkend, namelijk controleerbaarheid: betreft de mogelijkheid om met voldoende zekerheid vast te kunnen
97 98
Nota n.a.v. het verslag voorstel wijziging Wbp, 16 april 2014, blz. 31 en 32 CBP, Samenvatting richtsnoeren, blz. 2
- 37 -
stellen of voldaan is aan de eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid.99 Voor een blijvend passend beveiligingsniveau is het noodzakelijk de zogeheten plan-do-checkact-cyclus in te bedden in de dagelijkse praktijk van de organisatie.100 De plan-do-check-actcyclus kan als volgt schematisch worden weergegeven:
De verantwoordelijke treft na het vaststellen van de betrouwbaarheidseisen maatregelen waarmee hij waarborgt dat aan de betrouwbaarheidseisen wordt voldaan. Bij het bepalen van het beveiligingsniveau dient hij rekening te houden met de risico’s die de aard van de te beschermen gegevens met zich meebrengt, de risico’s die de verwerking met zich meebrengt en de risico’s voor de betrokkene. Vervolgens controleert de verantwoordelijke of de maatregelen daadwerkelijk getroffen zijn en of het gewenste effect wordt behaald. Om een passend
beveiligingsniveau
te
bereiken,
wordt
regelmatig
het
totaal
betrouwbaarheidseisen, maatregelen en controle geëvalueerd en waar nodig aangepast.
aan 101
Het CBP beschouwt twee elementen als noodzakelijke randvoorwaarden om tot passende maatregelen te komen: 1. Het treffen van maatregelen op basis van risicoanalyse; en 2. Het toepassen van beveiligingsstandaarden. De verantwoordelijk wordt door het treffen van maatregelen op basis van risicoanalyse in staat gesteld om passende maatregelen te treffen die een passend beveiligingsniveau garanderen. Dit houdt in dat naar mate het vereiste betrouwbaarheid respectievelijk het vereiste beveiligingsniveau
hoger
beveiligingsmaatregelen om
is,
100 101 102
de
verantwoordelijke
de aanwezige risico’s af
beveiligingsniveau te garanderen.
99
treft 102
CBP, Richtsnoeren, blz. 13 CBP, Samenvatting richtsnoeren, blz. 2 CBP, Richtsnoeren, blz. 14 en 18 CBP, Richtsnoeren, blz. 14 en 21
- 38 -
te
meer
en
zwaardere
dekken en het vereiste
De belangrijkste elementen uit de risicoanalyse en de verschillende typen maatregelen die de verantwoordelijke kan treffen om de risico’s af te dekken, worden in onderstaand schema weergegeven:
De verantwoordelijke voert een inventarisatie uit van de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die dit incident kan hebben en de kans dat deze gevolgen zich voordoen. Vervolgens dient hij op basis van deze uitgevoerde risicoanalyse maatregelen te treffen zodanig dat wordt voldaan aan de betrouwbaarheidseisen. Beveiligingsstandaarden kunnen hierbij houvast bieden. Een privacy impact assessment (PIA) kan een verantwoordelijke hierbij helpen.103 Het CBP hanteert bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens een
aantal
beveiligingsmaatregelen
als
uitgangspunt
die
binnen
het
vakgebied
informatiebeveiliging gebruikelijk zijn en die in veel situaties in een of andere vorm noodzakelijk zijn. Het gaat dan om de volgende maatregelen: -
Beleidsdocument voor informatiebeveiliging: dit document gaat expliciet in op het beveiligingsbeleid en is goedgekeurd door het management en kenbaar gemaakt aan alle werknemers en relevante externe partijen. Dit beleidsdocument dient o.a. in te gaan op de doelstellingen, de verantwoordelijkheden en processen met betrekking tot tekortkomingen en uitzonderingen.104
103
104
CBP, Richtsnoeren, blz. 15 t/m 17
ISO 27002, 5.1.1 - 39 -
-
Toewijzen
van
verantwoordelijkheden
voor
informatiebeveiliging:
alle
verantwoordelijkheden, zowel op sturend als uitvoerend niveau, zijn duidelijk gedefinieerd en belegd.105 -
Beveiligingsbewustzijn: Alle werknemers van de organisatie, ingehuurd personeel en externe
gebruikers
krijgen
informatiebeveiligingsbeleid
training en
de
en
regelmatige
bijscholing
informatiebeveiligingsprocedures
over
het
van
de
106
organisatie. -
Fysieke beveiliging en beveiliging van apparatuur: IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.107
-
Toegangsbeveiliging: De onderneming heeft procedures ingericht om bevoegde gebruikers toegang te geven tot de informatiesystemen en –diensten die ze voor de uitvoering van
hun
taken
nodig hebben
en om
onbevoegde toegang tot
108
informatiesystemen te voorkomen. -
Logging en controle: Activiteiten die gebruikers uitvoeren en andere relevante gebeurtenissen, zoals pogingen van ongeautoriseerde toegang, dienen te worden vastgelegd in logbestanden. Periodiek dienen de logbestanden te worden gecontroleerd op indicaties van onrechtmatige toegang of onrechtmatig gebruik en zal waar nodig actie moeten worden ondernomen.109
-
Correcte verwerking in toepassingssystemen: In alle toepassingssystemen dienen beveiligingsmaatregelen te zijn ingebouwd, zoals de controle dat de invoer, verwerking en uitvoer aan vooraf gestelde eisen voldoen (validatie).110
-
Beheer van technische kwetsbaarheden: De onderneming dient de software, zoals browsers, virusscanners en operating systems up-to-date te houden. Oplossingen die de leverancier uitbrengt, dienen tijdig te worden geïnstalleerd. De verantwoordelijke verkrijgt tijdig informatie over technische kwetsbaarheden en evalueert of maatregelen getroffen moeten worden.111
-
Incidentenbeheer: Er zijn procedures ingericht voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging. Hierbij hoort ook het beoordelen van de risico’s voor betrokkenen en het effectief informeren van de betrokkenen en indien nodig de toezichthouder. Tevens worden de leereffecten uit de afgehandelde incidenten gebruikt om de beveiliging structureel te verbeteren.112
105 106 107 108 109 110 111 112
ISO 27002, ISO 27002, ISO 27002, ISO 27002, ISO 27002, ISO 27002, ISO 27002, ISO 27002,
6.1.1 7.2.2 11.1 9.1 12.4 12.5 12.2 16.1
- 40 -
-
Afhandeling van datalekken en beveiligingsincidenten: datalekken die onder de wettelijke meldplicht vallen worden gemeld bij de toezichthouder. 113
-
Continuïteitsbeheer: middels preventieve en herstelmaatregelen de gevolgen voor het verlies van persoonsgegevens als gevolg van bijvoorbeeld uitval van apparatuur of opzettelijk handelen tot een aanvaardbaar niveau beperken.114
-
Encryptie (versleuteling) en hashing: door het gebruik van cryptografische bewerkingen worden persoonsgegevens beveiligd. Hierbij gaat het om encryptie bij bijvoorbeeld het verzenden via het internet en opslag op draagbare apparatuur. Hashing wordt gebruikt bij de opslag en verwerking van wachtwoorden. Belangrijk is dat hij alle gangbare voorzorgsmaatregelen toepast, zoals goed ingericht sleutelbeheer en het gebruik van sleutellengten en versleutelingstechnieken.115
-
Omgang met e-waste (afgedankte apparatuur en opslagmedia): eventueel aanwezige persoonsgegevens dienen te worden verwijderd van alle apparatuur die opslagmedia bevat, zoals laptops of smartphones, voordat deze worden verwijderd of hergebruikt. Opslagmedia met gevoelige persoonsgegevens en verwijderbare media, zoals USB sticks worden fysiek vernietigd of de persoonsgegevens worden vernietigd, verwijderd of overschreven met technieken die het onmogelijk maken om de oorspronkelijke persoonsgegevens terug te halen.116
De gekozen maatregelen dienen onderdeel te zijn van de dagelijkse praktijk van de organisatie. Het gaat hierbij dan om documentatie in werkinstructies, gebruikershandleidingen en functionele en technische beschrijvingen van ICT-systemen en om de daadwerkelijke implementatie van de maatregelen.117 Het CBP hanteert bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens de volgende controles als uitgangspunt: -
Controle
op
naleving
van
de
maatregelen
binnen
de
organisatie,
zoals
werkplekcontroles en social engineering tests. -
Controle op technische naleving, zoals beveiligingsassessments en beoordeling van de beveiligingsmaatregelen in toepassingssystemen.118
De verantwoordelijke bepaalt in de evaluatie of de vastgestelde betrouwbaarheidseisen nog steeds aansluiten bij de risico’s die de verwerking en de aard van de te verwerken gegevens
113 114 115 116 117 118
ISO 27002, 18.1.1 ISO 27002, 17.1 ISO 27002, 10.1 ISO 27002, 11.2.7 CBP, Richtsnoeren, blz. 22 t/m 26 CBP, Richtsnoeren, blz. 26 en 27
- 41 -
met zich meebrengen en of door de getroffen maatregelen nog steeds aan de betrouwbaarheidseisen wordt voldaan.119
3.4
Samenvatting
In dit hoofdstuk is middels een literatuuronderzoek antwoord gegeven op mijn tweede onderzoeksvraag: Welke eisen worden er aan een organisatie gesteld en welke acties kunnen zij ondernemen? Uit het voorstel van de EPV komen de volgende eisen waaraan een verantwoordelijke moet voldoen of wat een verantwoordelijke minimaal moet regelen: 1. Hij dient een beleid vast te stellen en passende maatregelen uit te voeren om ervoor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming is met deze vordering. Dit beleid dient transparant en eenvoudig toegankelijk te zijn voor de betrokkene. 2. Hij moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. 3. Hij dient procedures vast te stellen en zorgt voor mechanismen voor de uitoefening van de rechten van de betrokkene. Binnen één maand na ontvangst van het verzoek dient de verantwoordelijke de betrokkene te informeren over diens verzoek. 4. Hij dient te voldoen aan de documentatieplicht. 5. Hij dient passende technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te waarborgen. In geval van een inbreuk in verband met persoonsgegevens dient in principe binnen 24 uur een melding te worden gemaakt bij de toezichthoudende autoriteit en eventueel bij de betrokkene. 6. Hij dient afhankelijk van de risico’s voor de rechten en vrijheden van de betrokkenen een privacyeffectbeoordeling uit te voeren. 7. Hij dient een functionaris voor gegevensbescherming in te stellen. 8. De verantwoordelijke dient mechanismen in te stellen om ervoor te zorgen dat de toereikendheid en doeltreffendheid van de voorgaande maatregelen wordt getoetst. De verplichting onder punt 4 geldt onder andere niet als een onderneming minder dan 250 werknemers heeft. De verplichting onder punt 7 geldt bijvoorbeeld niet als de verwerking betrekking heeft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden. De organisatie moet verantwoording af kunnen leggen (accountable), maar moet ook gecontroleerd kunnen worden (auditable). 119
CBP, Richtsnoeren, blz. 27
- 42 -
Met behulp van de Richtsnoeren beveiliging van persoonsgegevens van het CBP en ISO 27002 is een overzicht verkregen van wat onder passende technische en organisatorische maatregelen wordt verstaan om tot een passend beveiligingsniveau te komen. Bij het bepalen van het beveiligingsniveau dient de verantwoordelijke een risicoanalyse uit te voeren, waarna hij maatregelen dient te treffen waarmee hij waarborgt dat aan de betrouwbaarheidseisen wordt voldaan. Vervolgens controleert de verantwoordelijke of de maatregelen daadwerkelijk getroffen zijn en of het gewenste effect wordt behaald. Om een passend beveiligingsniveau te bereiken, wordt regelmatig het totaal aan betrouwbaarheidseisen, maatregelen en controle geëvalueerd en waar nodig aangepast.120 Het CBP hanteert bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens de
volgende
beveiligingsmaatregelen
als
uitgangspunt
die
binnen
het
vakgebied
informatiebeveiliging gebruikelijk zijn en die in veel situaties in een of andere vorm noodzakelijk zijn:
120 121
-
Beleidsdocument voor informatiebeveiliging
-
Toewijzen van verantwoordelijkheden voor informatiebeveiliging
-
Beveiligingsbewustzijn
-
Fysieke beveiliging en beveiliging van apparatuur
-
Toegangsbeveiliging
-
Logging en controle
-
Correcte verwerking in toepassingssystemen
-
Beheer van technische kwetsbaarheden
-
Incidentenbeheer
-
Afhandeling van datalekken en beveiligingsincidenten
-
Continuïteitsbeheer
-
Encryptie (versleuteling) en hashing
-
Omgang met e-waste (afgedankte apparatuur en opslagmedia)121
CBP, Richtsnoeren, blz. 14 en 18 CBP, Richtsnoeren, blz. 22 t/m 26
- 43 -
4
Wat is het effect van de EPV voor de jaarrekeningcontrole?
4.1
Inleiding
In dit hoofdstuk zal worden ingegaan op mijn derde onderzoeksvraag: Welke
werkzaamheden
moet
de
accountant
uitvoeren
die
belast
is
met
de
jaarrekeningcontrole met betrekking tot de naleving van de EPV? In november 2013 is bij het NBA (Nederlandse Beroepsorganisatie van Accountants) een bijeenkomst gehouden waar twee leden van de kennisgroep privacy van NOREA hebben gesproken over de potentiële risico’s van de nieuwe privacyregels. De EPV heeft tot gevolg dat organisaties hun interne organisatie en informatiesystemen moeten aanpassen om te voldoen aan de nieuwe wetgeving en om ervoor te zorgen dat de betrokkene zijn rechten ook kan uitvoeren. De kans dat bedrijven worden aangesproken op privacy zal onder de EPV sterk toenemen en dus is het van belang dat bedrijven in control zijn en niet wachten op het incident. Zoals in hoofdstuk 2 is aangegeven kunnen er door de toezichthoudende autoriteit hoge boetes worden opgelegd. De sancties zijn van materieel belang voor de jaarrekening. Tijdens deze bijeenkomst is onder andere aangegeven dat dit tot gevolg heeft dat de externe accountant bij de jaarrekeningcontrole een inschatting moet maken in hoeverre een organisatie aan deze wetgeving voldoet.122 Daarnaast staat in artikel 22 van het voorstel van de EPV dat de toereikendheid en doeltreffendheid van de maatregelen moet worden getoetst door een onafhankelijke interne of externe controleur. Bovendien staat ook in dit artikel dat alle regelmatige algemene verslagen over de activiteiten van de voor de verwerking verantwoordelijke, zoals de verplichte verslagen door beursgenoteerde ondernemingen, een beknopte beschrijving van het beleid en de maatregelen bevatten. Dit haakt in op artikel 391 lid 5 van het Burgerlijk Wetboek waarin het accountantsonderzoek van een verklaring inzake corporate governance wordt genoemd. Om antwoord te kunnen geven op deze onderzoeksvraag zal eerst worden ingegaan op de vraag wat accountants moeten doen tijdens de jaarrekeningcontrole met betrekking tot het naleven van wet- en regelgeving door de onderneming. Dit ligt vast in de nadere voorschriften controleen overige standaarden (NV COS) 250. De wet eist dat de jaarrekening een zodanig inzicht geeft dat een verantwoord oordeel kan worden gevormd over het vermogen en resultaat van een onderneming. De Raad voor de Jaarverslaggeving geeft inhoud aan deze normen. Deze uitgave neemt de wettelijke regelingen, zoals vermeld in Titel 9 Boek 2 BW, als uitgangspunt. 123
122 123
accountant.nl, 15 november 2013 RJ
- 44 -
Derhalve zijn wij vervolgens ingegaan op de Richtlijnen voor de Jaarverslaggeving (RJ), zoals die gelden voor het vormen van een voorziening of een schuld of voor het opnemen van een toelichting in de niet uit de balans blijkende informatie. In dit hoofdstuk zullen wij alleen ingaan op de vraag welke werkzaamheden een accountant moet uitvoeren om na te gaan of er een effect is op de jaarrekening en hoe het eventueel doorwerkt in de jaarrekening.
4.2
NV COS 250 Wet- en regelgeving bij controle financiële overzichten
Verantwoordelijkheid van de accountant NV COS 250 behandelt de verantwoordelijkheid van de accountant om wet- en regelgeving in aanmerking te nemen bij een controle van financiële overzichten. Deze standaard is erop gericht de accountant te helpen afwijkingen van materieel belang in de financiële overzichten als gevolg van niet-naleving van wet- en regelgeving te identificeren. De accountant is niet verantwoordelijk voor het voorkomen van niet-naleving, evenmin kan van hem worden verwacht dat hij niet-naleving van alle wet- en regelgeving detecteert.124 De invloed van wet- en regelgeving op de financiële overzichten loopt sterk uiteen. Als een entiteit sommige bepalingen van wet- en regelgeving niet naleeft, kan dit leiden tot boetes, rechtszaken of andere gevolgen voor de entiteit die een van materieel belang zijnde invloed kunnen hebben op de financiële overzichten.125 ‘De accountant is verantwoordelijk voor het verkrijgen van een redelijke mate van zekerheid dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten die het gevolg zijn van fraude of van fouten. Bij het uitvoeren van een controle van financiële overzichten houdt de accountant rekening met het van toepassing zijnde wet- en regelgevingskader. Door de inherente beperkingen van een controle bestaat er een onvermijdbaar risico dat bepaalde afwijkingen van materieel belang niet worden gedetecteerd, ook al wordt de controle naar behoren gepland en overeenkomstig de Standaarden uitgevoerd. In de context van wet- en regelgeving zijn de potentiële invloeden van inherente beperkingen op de mogelijkheid van de accountant om afwijkingen van materieel belang te detecteren groter door factoren zoals de volgende: -
er bestaan veel wets- en regelgevingsvoorschriften, in hoofdzaak met betrekking tot de bedrijfsvoeringsaspecten van een entiteit, die door de aard ervan geen invloed hebben
124 125
artikel 1 en 4, NV COS 250 artikel 2, NV COS 250
- 45 -
op de financiële overzichten en die niet zijn vastgelegd in de informatiesystemen van de entiteit inzake financiële verslaggeving; -
niet-naleving kan gepaard gaan met handelingen die erop gericht zijn deze te verhullen, zoals samenspanning, valsheid in geschrifte, het opzettelijk nalaten transacties vast te leggen, het door het management doorbreken van interne beheersingsmaatregelen of het opzettelijk aan de accountant verkeerd voorstellen van zaken;
-
de vraag of een handeling niet-naleving vormt, is uiteindelijk een zaak die juridisch door een rechtbank moet worden vastgesteld.
Doorgaans geldt dat hoe verder de niet-naleving afstaat van de gebeurtenissen en transacties die in de financiële overzichten zijn weerspiegeld, des te onwaarschijnlijker het is dat de accountant zich hiervan bewust wordt of dat hij de niet-naleving zal herkennen.’126 Onder deze standaard wordt onder ‘niet-naleving’ het volgende verstaan: ‘Het door de entiteit, al dan niet opzettelijk, in strijd met de geldende wet- of regelgeving uitvoeren of niet uitvoeren van handelingen.’127 In de standaard wordt vanwege voorgaande een onderscheid gemaakt tussen: a. de bepalingen van de wet- en regelgeving die in het algemeen geacht worden van directe invloed te zijn op de vaststelling van bedragen en in de financiële overzichten opgenomen toelichtingen die van materieel belang zijn, zoals wet- en regelgeving op het gebied van belastingen en pensioenen; en b. overige wet- en regelgeving die geen directe invloed heeft op de vaststelling van de bedragen en toelichtingen in de financiële overzichten, maar het naleven van fundamenteel belang kan zijn voor de operationele aspecten van het bedrijf, voor de mogelijkheid van een entiteit om haar activiteiten voort te zetten, dan wel voor het voorkomen van sancties van materieel belang.128 Het naleven van de bepalingen uit de EPV valt onder de laatste categorie. Voor deze categorie beperkt de verantwoordelijkheid van de accountant zich tot het uitvoeren van gespecificeerde controlewerkzaamheden ter bevordering van het identificeren van niet-naleving van wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten. Dit in tegenstelling tot de verantwoordelijkheid van de accountant bij de eerste categorie. Voor de eerste categorie dient de accountant voldoende en geschikte controle-informatie te verkrijgen omtrent het naleven van de bepalingen van die wet- en regelgeving.129 Hierna zal alleen op de vereisten in worden gegaan behorend bij de laatste categorie.
126 127 128 129
artikel artikel artikel artikel
5, NV COS 250 11, NV COS 250 6, NV COS 250 7, NV COS 250
- 46 -
Vereisten en werkzaamheden van de accountant De accountant dient, in het kader van het verwerven van inzicht in de entiteit en haar omgeving, een algemeen inzicht te verwerven in: a. het wet- en regelgevingskader dat van toepassing is op de entiteit en de branche of sector waarbinnen de entiteit actief is; en b. de manier waarop de entiteit dat kader naleeft.130 De accountant dient, ter bevordering van het identificeren van gevallen van niet-naleving van de overige wet- en regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten, de volgende controlewerkzaamheden uit te voeren: a. het management en, indien van toepassing, de met governance belaste personen vragen of de entiteit dergelijke wet- en regelgeving naleeft; en b. de eventuele correspondentie met de desbetreffende vergunningverlenende of regelgevende of toezichthoudende instanties te inspecteren.131 Daarnaast dient gedurende het uitvoeren van de controle de accountant alert te zijn op het niet-naleven of het vermoeden van niet-naleven van wet- en regelgeving.132 In de toepassingsgerichte en overige verklarende teksten bij deze standaard zijn voorbeelden genoemd van overige controlewerkzaamheden, zoals: -
het lezen van notulen; en
-
het vragen aan het management en de interne of externe juridisch adviseur van de entiteit naar rechtszaken, claims en inschattingen.133
Als laatste dient de accountant het management en, indien van toepassing, de met governance belaste personen te verzoeken om schriftelijke bevestigingen te verstrekken dat alle bekende gevallen van niet-naleving of vermoeden van niet-naleving van wet- en regelgeving waarmee bij het opstellen van de financiële overzichten rekening moet worden gehouden, de accountant ter kennis zijn gebracht.134 Als op basis van voorgaande werkzaamheden er geen sprake is van geïdentificeerde of een vermoeden van niet-naleving van wet- en regelgeving hoeft de accountant geen andere controlewerkzaamheden uit te voeren met betrekking tot het naleven van wet- en regelgeving.135 Aanwijzingen voor niet-naleving van wet- en regelgeving zijn bijvoorbeeld de volgende aangelegenheden:
130 131 132 133 134 135
artikel artikel artikel artikel artikel artikel
12, NV COS 250 14, NV COS 250 15, NV COS 250 A11, NV COS 250 16, NV COS 250 17, NV COS 250
- 47 -
-
onderzoeken
door
regelgevende
of
toezichthoudende
organisaties
en
overheidsinstanties, dan wel betaling van boeten of sancties; en -
het bestaan van een informatiesysteem dat door zijn opzet of toevallig niet in staat is een adequaat controlespoor dan wel voldoende informatie te verschaffen.136
Uit bovenstaande concludeer ik dat als de accountant het vermoeden heeft dat de entiteit niet voldoet aan de eisen (in opzet), zoals genoemd in de EPV, er sprake is van een vermoeden van niet-naleving van de EPV. Als op basis van voorgaande werkzaamheden er wel sprake is van geïdentificeerde of een vermoeden van niet-naleving van wet- en regelgeving dient de accountant het volgende te verkrijgen: a. inzicht in de aard van de handeling en de omstandigheden waaronder deze heeft plaatsgevonden; en b. verdere informatie om de mogelijke invloed op de financiële overzichten te evalueren.137 Aangelegenheden die relevant zijn voor het evalueren door de accountant van de mogelijke invloed op de financiële overzichten zijn onder meer: -
de mogelijke financiële gevolgen van niet-naleving van wet- en regelgeving voor de financiële overzichten, waaronder het opleggen van boetes, strafvorderingen, schadevergoedingen, de dreiging van inbeslagneming van activa, de gedwongen beëindiging van de activiteiten, alsmede rechtszaken;
-
de vraag of de potentiële financiële gevolgen toelichting vereisen;
-
de vraag of de potentiële financiële gevolgen zo ernstig zijn dat de getrouwe weergave van de financiële overzichten ter discussie komt te staan, of dat de financiële overzichten anderszins een misleidend karakter krijgen.138
Als de accountant het vermoeden heeft dat wet- en regelgeving niet wordt nageleefd, zal de accountant dit moeten bespreken met het management en, indien van toepassing, de met governance belaste personen. De accountant kan uit deze bespreking aanvullende controleinformatie verkrijgen, zoals een bevestiging dat de met governance belaste personen hetzelfde begrip hebben van de feiten en omstandigheden die relevant zijn voor transacties of gebeurtenissen die hebben geleid tot de mogelijkheid van niet-naleving van wet- en regelgeving. Als zij de accountant niet voldoende informatie verstrekken waaruit blijkt dat de entiteit wel de wet- en regelgeving naleeft en de accountant op grond van zijn oordeelsvorming
136 137 138
artikel A13, NV COS 250 artikel 18, NV COS 250 artikel A14, NV COS 250
- 48 -
het effect van niet-naleving voor de financiële overzichten van materieel belang kan zijn, dient de accountant te overwegen om juridisch advies in te winnen. De accountant kan de interne of externe juridisch adviseur van de entiteit raadplegen omtrent het toepassen van de wet- en regelgeving op de omstandigheden, alsmede omtrent de mogelijke gevolgen voor de financiële overzichten. De accountant kan het ook passend achten om de eigen juridisch adviseur te raadplegen over de vraag of er sprake is van schending van een wet of regel, wat de mogelijke juridische gevolgen daarvan kunnen zijn en welke verdere actie de accountant eventueel zou moeten ondernemen.139 Als de accountant onvoldoende informatie ontvangt, dient hij de invloed van het gebrek aan voldoende en geschikte controle-informatie op zijn oordeel te evalueren.140 Effect op de verklaring Als de accountant tot de conclusie komt dat de niet-naleving een invloed van materieel belang heeft op de financiële overzichten en niet op adequate wijze in de financiële overzichten is weergegeven, dient de accountant overeenkomstig NV COS 705 een oordeel met beperking dan wel een afkeurend oordeel over de financiële overzichten tot uitdrukking te brengen.141 Indien de accountant door het management of de met governance belaste personen wordt verhinderd om voldoende en geschikte controle-informatie te verkrijgen om te evalueren of er sprake is geweest dan wel waarschijnlijk sprake is geweest van niet-naleving die een invloed van materieel belang kan hebben op de financiële overzichten, dient de accountant over de financiële overzichten een oordeel met beperking tot uitdrukking te brengen dan wel een oordeelonthouding te formuleren op basis van een beperking in de reikwijdte van de controle, overeenkomstig NV COS 705.142 Indien de accountant vanwege beperkingen die door de omstandigheden zijn veroorzaakt en niet door het management of door de met governance belaste personen zijn opgelegd, niet in staat is te bepalen of er sprake is geweest van niet-naleving, dient de accountant overeenkomstig NV COS 705 de invloed daarvan op het oordeel van de accountant te evalueren.143
139 140 141 142 143
artikel artikel artikel artikel artikel
19, 20, 25, 26, 27,
A15 en A16, NV COS 250 NV COS 250 NV COS 250 NV COS 250 NV COS 250
- 49 -
4.3
Richtlijnen voor de Jaarverslaggeving
Zoals in de vorige paragraaf aangegeven kan het niet-naleven van de EPV een effect hebben op de financiële overzichten. De vraag is in hoeverre dit niet-naleven moet worden weerspiegeld in de jaarrekening. Dit kan zijn door het vormen van een voorziening of een schuld of het opnemen van toelichting. Bij het opstellen van de jaarrekening dient het voorzichtigheidsbeginsel te worden toegepast: ‘Bij de toepassing van de grondslagen wordt voorzichtigheid betracht. Winsten worden slechts opgenomen, voor zover zij op de balansdatum zijn verwezenlijkt. Verplichtingen die hun oorsprong vinden vóór het einde van het boekjaar, worden in acht genomen, indien zij vóór het opmaken van de jaarrekening zijn bekend geworden. Voorzienbare verplichtingen en mogelijke verliezen die hun oorsprong vinden vóór het einde van het boekjaar kunnen in acht worden genomen indien zij vóór het opmaken van de jaarrekening bekend zijn geworden.’ 144 RJ 252 Voorzieningen, niet in de balans opgenomen verplichtingen en niet in de balans opgenomen activa Uit voorgaande komt de vraag naar voren wanneer de voorzienbare verplichtingen dan in acht kunnen worden genomen. Een voorziening is een onderdeel van het vreemd vermogen waarvan de omvang of het moment van afwikkeling onzeker is.145 Op de balans worden onder andere voorzieningen opgenomen tegen naar hun aard duidelijk omschreven verplichtingen die op de balansdatum als waarschijnlijk of als vaststaand worden beschouwd, maar waarvan niet bekend is in welke omvang of wanneer zij zullen ontstaan.146 Een voorziening dient dan alleen te worden verwerkt indien op balansdatum aan de volgende voorwaarden wordt voldaan: a. de rechtspersoon heeft een verplichting (in rechte afdwingbaar of feitelijk); b. het is waarschijnlijk dat voor de afwikkeling van die verplichting een uitstroom van middelen noodzakelijk is; en c. er kan een betrouwbare schatting worden gemaakt van de omvang van de verplichting.147 RJ 252.409 geeft nadere informatie over voorzieningen uit hoofde van claims, geschillen en rechtsgedingen, wat van toepassing zou kunnen zijn bij het niet-naleven van de EPV. Zo dienen voorzieningen uit hoofde van claims, geschillen en rechtsgedingen te worden gevormd, wanneer het waarschijnlijk is dat de rechtspersoon in een procedure zal worden veroordeeld. In het Handboek Jaarrekening148 staat dat een rechtspersoon een verplichting heeft indien de
144 145 146 147 148
artikel 2:384 lid 2 BW RJ 940 artikel 2:374 BW RJ 252.201 EY, blz. 460
- 50 -
rechtspersoon in een procedure betrokken raakt. Dit zou dan dus inhouden dat als de onderneming nog geen onderzoek, brief of iets dergelijks heeft gehad van het CBP er nog geen sprake is van een verplichting. Aan de andere kant staat in het Handboek Jaarrekening149 ook dat niet alleen voor ingediende claims, maar ook voor mogelijke claims een voorziening of een vermelding in de toelichting noodzakelijk kan zijn. Dit zou zich voor kunnen doen bij een gebeurtenis die waarschijnlijk tot substantiële claims zal leiden, zoals een onderzoek van een overheidsorgaan of schade voor derden veroorzaakt door de onderneming, waarbij het zo goed als zeker is dat derden claims zullen indienen. Hierbij is het nog wel de vraag of door toekomstige handelingen van de rechtspersoon de verplichting kan verdwijnen. In dat geval hoeft namelijk geen voorziening gevormd te worden.150 Dus stel dat een onderneming niet voldoet aan de EPV, maar zij daarna door verschillende acties te ondernemen wel voldoet aan de EPV en zij daardoor geen geldboete hoeft te betalen, dan hoeft er geen voorziening gevormd te worden. Als accountant dienen we dan wel vast te stellen dat de onderneming ook echt acties onderneemt om te voldoen aan de EPV. Of er uiteindelijk sprake is van een verplichting zal moeten blijken uit de verschillende controlewerkzaamheden die we uitvoeren, de inlichtingen van het management en, indien van toepassing, de met governance belaste personen en de inlichten van de juridische adviseurs. Aan de tweede voorwaarde zal worden voldaan als sprake is van een verplichting (zie de eerste voorwaarde), omdat het niet voldoen aan de EPV kan leiden tot een geldboete en dus is er sprake van een uitstroom van middelen bij afwikkeling van de verplichting. Of aan de laatste voorwaarde voor het vormen van een voorziening wordt voldaan, is afhankelijk van de omstandigheden op dat moment. ‘Het bedrag dat als voorziening wordt opgenomen, dient de beste schatting te zijn van de bedragen die noodzakelijk zijn om de desbetreffende verplichtingen en verliezen per balansdatum af te wikkelen. Bij het komen tot deze beste schatting dient rekening te worden gehouden met de risico's en onzekerheden die onvermijdelijk samenhangen met vele gebeurtenissen en omstandigheden.’151 Het oordeel van de leiding van de rechtspersoon is hierbij bepalend. Dit oordeel wordt mede gebaseerd op ervaringen bij soortgelijke transacties en bijvoorbeeld op rapporten van onafhankelijke
deskundigen.
Gebeurtenissen
152
meegenomen.
149 150 151 152
EY, blz. 461 RJ 252.204 RJ 252.301 RJ 252.303
- 51 -
na
balansdatum
worden
hierbij
ook
De voorzieningen dienen te worden gewaardeerd tegen de nominale waarde van de uitgaven die naar verwachting noodzakelijk zijn om de verplichtingen en verliezen af te wikkelen, of de contante waarde van die uitgaven. Indien de momenten van het doen van de uitgaven niet op betrouwbare wijze kunnen worden vastgesteld, kan dus ook de contante waarde van deze uitgaven niet op betrouwbare wijze worden bepaald en dient de voorziening te worden gewaardeerd tegen de nominale waarde van de verwachte uitgaven.153 Als een voorziening voor het niet-naleven van de EPV wordt gevormd, zal het moment van het doen van de uitgaven niet bekend zijn en dus zal de voorziening gevormd moeten worden tegen nominale waarde. Het vormen van een voorziening mag niet als het bedrag waarvoor de verplichting kan worden afgewikkeld niet met voldoende betrouwbaarheid kan worden vastgesteld. In dat geval dient te worden volstaan met vermelding in de toelichting.154 In zeer uitzonderlijke gevallen is het mogelijk dat informatieverschaffing over de voorziening de positie van de rechtspersoon in een geschil ernstig schaadt. In die gevallen hoeft de rechtspersoon die informatie niet te verstrekken. Wel dient de rechtspersoon de algemene aard van het geschil te vermelden.155 Als een voorziening wordt gevormd in de jaarrekening of dient te worden opgenomen in de toelichting bij de niet uit de balans blijkende verplichtingen, dient een rechtspersoon hierbij een aantal verplichte elementen te behandelen. Hiervoor verwijs ik u naar RJ 252.501 e.v. RJ 254 Schulden Uit de definitie van het voorzichtigheidsbeginsel komt als laatste nog de vraag naar voren wanneer de verplichtingen dan in acht kunnen worden genomen. RJ 254 behandelt de waardering, presentatie en toelichting van langlopende en kortlopende schulden. 156 Schulden zijn de per balansdatum bestaande en vaststaande verplichtingen van de rechtspersoon die gewoonlijk door betaling worden afgewikkeld. 157 Zoals al blijkt uit het begrip is er bij een schuld, in tegenstelling tot bij een voorziening of een toelichting, geen onzekerheid over de omvang of het moment van afwikkelen van de verplichting. In het geval van het nietnaleven van de EPV zal er pas sprake zijn van een schuld als de toezichthoudende autoriteit een sanctie heeft opgelegd en de onderneming daar niet tegen in beroep kan gaan. Als een schuld dient te worden opgenomen, zal deze bij eerste verwerking worden gewaardeerd tegen de reële waarde.158 In dit geval is dat de hoogte van de geldboete.
153 154 155 156 157 158
RJ RJ RJ RJ RJ RJ
252.306 en RJ 252.307 252.409 252.505 254.101 940 252.201
- 52 -
Voor de vereisten met betrekking tot de toelichting bij de opgenomen schulden, verwijs ik u naar RJ 252.401 e.v.
4.4
Samenvatting
In dit hoofdstuk is middels een literatuuronderzoek antwoord gegeven op mijn derde onderzoeksvraag: Welke
werkzaamheden
moet
de
accountant
uitvoeren
die
belast
is
met
de
jaarrekeningcontrole met betrekking tot de naleving van de EPV? De accountant is verantwoordelijk voor het verkrijgen van een redelijke mate van zekerheid dat de financiële overzichten als geheel geen afwijking van materieel belang bevatten die het gevolg zijn van fraude of fouten. Hierbij dient de accountant ook rekening te houden met de van toepassing zijnde wet- en regelgeving en dus ook met de EPV.159 De accountant dient samengevat de volgende werkzaamheden uit te voeren om na te gaan of een entiteit de EPV niet heeft nageleefd of het vermoeden heeft dat de EPV niet is nageleefd: 1. Inzicht verkrijgen in het wet- en regelgevingskader dat van toepassing is op de entiteit en de branche of sector waarbinnen de entiteit actief is en de manier waarop de entiteit dat kader naleeft. De accountant kan hierin inzicht verkrijgen middels navraag bij het management of degenen belast met governance en eventuele correspondentie door te nemen met de toezichthoudende instantie. 2. Gedurende controle alert zijn op het niet-naleven van de EPV, bijvoorbeeld bij het lezen van de notulen of het opvragen van een advocatenbrief. 3. Het management en indien van toepassing degenen belast met governance een schriftelijke bevestiging vragen dat alle bekende gevallen van niet-naleving of het vermoeden van niet-naleven van de EPV aan de accountant ter kennis zijn gebracht. 160 Als op basis van voorgaande werkzaamheden er geen sprake is van een geïdentificeerde of een vermoeden
van
niet-naleving
van
de
EPV
hoeft
de
accountant
geen
andere
controlewerkzaamheden uit te voeren met betrekking tot het naleven van de EPV.161 Als er wel sprake is van een geïdentificeerde of een vermoeden van niet-naleving van de EPV, dient de accountant de volgende controlewerkzaamheden uit te voeren:
159 160 161
NV COS 250 NV COS 250 NV COS 250
- 53 -
1. Inzicht verkrijgen in de aard van de handeling en de omstandigheden waaronder deze heeft plaatsgevonden en verdere informatie verkrijgen om de mogelijke invloed op de financiële overzichten te evalueren. 2. Het bespreken met het management en indien van toepassing degenen belast met governance. 3. Overwegen om juridisch advies in te winnen. 4. Effect op zijn oordeel evalueren.162 Het niet-naleven van de EPV kan leiden tot het opnemen van een voorziening163 of een schuld164 of het vermelden in de toelichting bij de niet uit de balans blijkende verplichtingen 165. Een voorziening dient alleen te worden verwerkt indien op balansdatum aan de volgende voorwaarden wordt voldaan: a. de rechtspersoon heeft een verplichting (in rechte afdwingbaar of feitelijk); b. het is waarschijnlijk dat voor de afwikkeling van die verplichting een uitstroom van middelen noodzakelijk is; en c. er kan een betrouwbare schatting worden gemaakt van de omvang van de verplichting. Bij het niet voldoen aan de EPV is voor de afwikkeling van de verplichting waarschijnlijk sprake van een uitstroom van middelen. Of aan de eerste en laatste voorwaarde zal worden voldaan, is afhankelijk van de omstandigheden en de schattingen die worden gemaakt door de leiding van de rechtspersoon, de juridische adviseurs en de accountant. Als het bedrag waarvoor de verplichting kan worden afgewikkeld niet met voldoende betrouwbaarheid kan worden vastgesteld, dient te worden volstaan met een toelichting. Als de toezichthoudende autoriteit een sanctie heeft opgelegd in de vorm van een geldboete zal de onderneming een schuld moeten opnemen.
162 163 164 165
NV COS 250 RJ 252 RJ 254 RJ 252
- 54 -
5
Conceptueel model en onderzoeksopzet
5.1
Conceptueel model
In de voorgaande hoofdstukken heb ik antwoord gegeven op de eerste drie deelvragen: 1. Wat houdt de EPV in en wat zijn de verschillen met de huidige wet- en regelgeving? 2. Welke eisen worden er aan een organisatie gesteld en welke acties kunnen zij ondernemen? 3. Welke werkzaamheden moet de accountant uitvoeren die belast is met de jaarrekeningcontrole met betrekking tot de naleving van de EPV? Deze antwoorden kan ik gebruiken bij het opstellen van een werkprogramma voor de accountant die belast is met de jaarrekeningcontrole met betrekking tot de naleving van de EPV. Werkprogramma 1. Verkrijg inzicht in de eisen waar de entiteit in het kader van de EPV aan moet voldoen. 1)
Hij dient een beleid vast te stellen en passende maatregelen uit te voeren om ervoor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming is met deze verordening. Dit beleid dient transparant en eenvoudig toegankelijk te zijn voor de betrokkene.
2)
Hij moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
3)
Hij dient procedures vast te stellen en zorgt voor mechanismen voor de uitoefening van de rechten van de betrokkene. Binnen één maand na ontvangst van het verzoek dient de verantwoordelijke de betrokkene te informeren over diens verzoek.
4)
Hij dient te voldoen aan de documentatieplicht.
5)
Hij dient passende technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te waarborgen. In geval van een inbreuk in verband met persoonsgegevens dient in principe binnen 24 uur een melding te worden gemaakt bij de toezichthoudende autoriteit en eventueel bij de betrokkene.
6)
Hij dient afhankelijk van de risico’s voor de rechten en vrijheden van de betrokkenen een privacyeffectbeoordeling uit te voeren.
7)
Hij dient een functionaris voor gegevensbescherming in te stellen.
8)
De verantwoordelijke dient mechanismen in te stellen om ervoor te zorgen dat de doeltreffendheid van de voorgaande maatregelen wordt getoetst.
De verplichtingen onder punt 4 en punt 7 gelden onder andere niet als een onderneming minder dan 250 werknemers heeft.
2. Vraag na bij het management en, indien van toepassing, de met governance belaste personen of de entiteit de EPV naleeft. 3. Neem de correspondentie met het CBP door. 4. Voer de volgende aanvullende controlewerkzaamheden uit om vast te stellen of er sprake is van een vermoeden van niet-naleven van de EPV: -
Lezen van de notulen
-
Navragen bij het management naar rechtzaken en/of claims - 55 -
-
Navragen bij de interne en/of externe juridisch adviseur van de entiteit naar rechtszaken en/of claims
5.
-
Opvragen van een advocatenbrief
-
Doornemen van de juridische kosten en indien nodig de bijbehorende facturen
Ga na middels interviews met relevante personen of de entiteit in opzet voldoet aan de eisen die gesteld worden in de EPV. Hierbij kan gedacht worden aan de volgende maatregelen: 1)
Beleidsdocument voor informatiebeveiliging
2)
Toewijzen van verantwoordelijkheden voor informatiebeveiliging
3)
Beveiligingsbewustzijn
4)
Fysieke beveiliging en beveiliging van apparatuur
5)
Toegangsbeveiliging
6)
Logging en controle
7)
Correcte verwerking in toepassingssystemen
8)
Beheer van technische kwetsbaarheden
9)
Incidentenbeheer
10) Afhandeling van datalekken en beveiligingsincidenten 11) Continuïteitsbeheer 12) Encryptie (versleuteling) en hashing 13) Omgang met e-waste (afgedankte apparatuur en opslagmedia
6. Het management en, indien van toepassing, de met governance belaste personen te verzoeken om schriftelijke bevestigingen te verstrekken dat alle bekende gevallen van niet-naleving of vermoeden van niet-naleving van wet- en regelgeving waarmee bij het opstellen van de jaarrekening rekening moet worden gehouden, de accountant ter kennis zijn gebracht. 7. Stel vast dat op basis van de uitgevoerde werkzaamheden gedurende de jaarrekeningcontrole, zoals het beoordelen van de IT general controls, er geen aanwijzingen zijn voor het niet-naleven van de EPV. Bij een vermoeden van niet-naleven van de EPV: 8. Bespreek het vermoeden van niet-naleven van de EPV met het management en, indien van toepassing, de met governance belaste personen en probeer aanvullende controleinformatie te verkrijgen (bijvoorbeeld een bevestiging van hetzelfde begrip van de feiten en omstandigheden) 9. Win, indien de accountant dat passend / nodig acht, juridisch advies in bij de externe of interne adviseur van de entiteit of zijn eigen juridisch adviseur over de vraag of er sprake is van een schending van de EPV, wat de mogelijke juridische gevolgen zijn en welke verder actie de accountant moet nemen. 10. Stel vast of een voorziening of een schuld dient te worden opgenomen of dat de mogelijke verplichting moet worden toegelicht in de jaarrekening. Stel, indien van
- 56 -
toepassing, tevens vast dat dit toereikend is opgenomen en/of toegelicht in de jaarrekening. Als er sprake is van een reeds opgelegde sanctie en deze is niet meer te weerleggen, zal een schuld moeten worden opgenomen. Als dat niet het geval is, dient onderstaand stroomschema te worden gevolgd. Of er sprake is van een verplichting en of dat een betrouwbare schatting kan worden gemaakt, zal afhangen van de uitkomsten van bovenstaande uitgevoerde controlewerkzaamheden.
11. Beoordeel of er een mogelijk effect bestaat op het oordeel van de af te geven verklaring.
5.2
Onderzoeksopzet
Zoals aangegeven in hoofdstuk 1 zal ik mijn opgestelde werkprogramma laten beoordelen door deskundige en onafhankelijke experts. Hiervoor zal ik mijn scriptie doornemen met een viertal deskundigen: 1. Mr. Dr. A.W. Duthler / drs. A.J. Biesheuvel RA RE 2. J. van Schajik RE CISA 3. Drs. E.R. van der Wösten RA 4. Drs. K.J.A. Bastings RA Mr. Dr. A.W. Duthler / drs. A.J. Biesheuvel RA RE Mevr. Duthler is bestuurskundige en jurist. Gepromoveerd op modellen voor Trusted Third Parties (TTP’s). Zij is schrijver van vele vakinhoudelijke artikelen en boeken op het vlak van bestuur, ICT en recht. Zij is oprichter en partner van Duthler Associates. Zij is lid van de Eerste Kamer der Staten-Generaal, voorzitter van de vaste commissie veiligheid en justitie van de
- 57 -
Eerste Kamer, treedt op als arbiter bij automatiseringsgeschillen en heeft verschillende bestuurs- en toezichtsfuncties. Deze nevenfuncties geven haar een breed blikveld, waardoor zij haar kennis en ervaring op het gebied van bestuur, beleid en recht uitstekend kan combineren. Mevr. Duthler heeft begin 2014 de overstap gemaakt naar First Lawyers als advocaat partner. Dhr. Biesheuvel is bedrijfseconoom, Register Accountant en Register IT Auditor. Hij is meer dan tien jaar partner voor Duthler Associates. Daarvoor was hij tien jaar partner voor KPMG. Hij combineert zijn kennis en ervaring op het gebied van bedrijfseconomie en accountancy met die van ICT. Hij is de bedenker van het concept van Standard Business Reporting (SBR); bij uitstek een concept waarin een verbinding wordt gemaakt tussen verschillende competenties: die van de juristen, de accountancy en het samenstellen van financiële verantwoordingen, het toepassen van open standaarden, de inzet van ICT-middelen en het bij elkaar brengen van overheidsorganisaties,
accountants
en
fiscalisten,
banken,
softwareleveranciers
en
brancheorganisaties. Op basis van de ervaringen met het toepassen van de SBR heeft hij een meer generiek model gemaakt voor het verhogen van vertrouwen binnen ketens en bedrijfsprocessen. Dit model noemen wij het Integrated Governance en Compliance Framework en wordt toegepast binnen semantische Trust Centers en lokale DNA. Mevr. Duthler was mijn docente van IT & Recht tijdens de postmaster opleiding en heeft het onderwerp van mijn scriptie in haar college behandeld. Dhr. Biesheuvel is een collega van mevr. Duthler. Ik wil van hun met name weten of ik de vertaalverslag van de wet naar het werkprogramma goed heb gemaakt. J. van Schajik RE CISA Dhr. Van Schajik is sinds 2003 werkzaam bij BDO als IT auditor. Hij treedt op als senior manager bij onderzoeken die leiden tot derdenverklaringen (zoals ISAE 3402), softwarecertificeringen en privacy audits bij grote service organisaties / IT dienstverleners. Daarnaast heeft hij veel ervaring met aanbieders die diensten online (via cloud oplossingen) aanbieden. Hij is gespecialiseerd in financieel administratieve oplossingen. In dat kader is hij betrokken bij het keurmerk Zeker-Online en het keurmerk Betrouwbare afrekensystemen. Hij is verder betrokken bij systeembeoordelingen alsmede IT audits in het kader van de jaarrekeningcontrole voor een zeer divers cliëntenpakket. Daarnaast is hij specifiek deskundig op het gebied van data-analyses. Binnen de beroepsorganisatie van IT auditors (NOREA) is hij bestuurslid en lid van de commissie Young Professionals. Vanwege de ruime ervaring van dhr. Van Schajik met o.a. privacy audits heb ik hem gekozen als één van de experts. Ik wil met name aan hem vragen of ik de eisen / maatregelen vanuit de
- 58 -
EPV met betrekking tot onder andere passende technische en organisatorische maatregelen goed heb geformuleerd en niets belangrijks ben vergeten. Drs. E.R. van der Wösten RA Dhr. Van der Wösten is werkzaam bij het Compliancekantoor. Het Compliancekantoor ondersteunt accountantsorganisaties op het gebied van kwaliteitsbeheersing en compliance. Hij is als senior toezichthouder werkzaam geweest bij de Autoriteit Financiële Markten. Hij heeft zich met name bezig gehouden met het doorlopend toezicht in het kader van de Wta. In de periode voor de AFM is hij werkzaam geweest bij KPMG en na de AFM bij een middelgrote MKB accountantsorganisatie. Hij is tevens als docent verbonden aan Business Universiteit Nijenrode. Ik wil met name van hem weten of ik de juiste werkstappen formulier op basis van de NV COS en of ik de juiste conclusies trek ten aanzien van de bevindingen en de van toepassing zijnde RJ. Drs. K.J.A. Bastings RA Mevr. Bastings is werkzaam op de afdeling Bureau Vaktechniek van BDO. Zij houdt zich met name bezig met complexere vaktechnische vraagstukken op het gebied van zowel auditing (NV COS, ISA) als verslaggeving (BW 2 titel 9 & RJ, IFRS). Daarnaast voert zij IFRS reviews en Opdrachtgerichte Kwaliteits Beoordelingen uit. Als docent ontwikkelt en verzorgt zij interne en externe opleidingen. Bij de CTB toetsingen (Commissie Toetsing Beroepsuitoefening) in zowel de audit & assurance als de accountants & belastingadvies praktijk vervult zij de rol van secretaris. Tot slot is zij een deel van haar tijd werkzaam in de controlepraktijk. Vanwege haar ervaring bij Bureau Vaktechniek met complexere vaktechnisch vraagstukken op zowel het gebied van auditing als van verslaggeving heb ik haar gevraagd als expert om mijn scriptie door te nemen. Ik wil met name van haar weten of ik de juiste werkstappen formulier op basis van de NV COS en of ik de juiste conclusies trek ten aanzien van de bevindingen en de van toepassing zijnde RJ. Ik zal de reacties van de experts analyseren en waar nodig verwerken in mijn werkprogramma.
- 59 -
6
Toetsing van het conceptueel model
6.1
Inleiding
In dit hoofdstuk zal ik de uitkomsten van de beoordelingen van de experts, zoals beschreven in paragraaf 5.2 ‘Onderzoeksopzet’ behandelen en waar nodig verwerken in het door mij beschreven werkprogramma in paragraaf 5.1.
6.2
Onderzoeksresultaten
Ik heb mijn scriptie t/m hoofdstuk 5 aan een aantal experts voorgelegd met de vraag of zij hem door willen nemen en waar nodig commentaar te leveren, zodat ik kan vaststellen of ik de NV COS, de RJ, de EPV en de IT normen juist heb vertaald in het door mij beschreven werkprogramma. In deze paragraaf zal ik per expert behandelen wat zijn of haar opmerkingen zijn geweest. Hierbij zal ik ook aangegeven wat het effect daarvan is op mijn werkprogramma. Mr. Dr. A.W. Duthler / drs. A.J. Biesheuvel RA RE In het gesprek hebben wij ons met name gericht op hoofdstuk 2 van mijn scriptie. Ik heb specifiek vragen gesteld over de totstandkoming van de EPV en de stappen die nog gezet moeten worden tot dat het wet is. Dit is verwerkt in hoofdstuk 1.4 van deze scriptie. In mijn scriptie heb ik het voorstel van de EPV van januari 2012 gebruikt. De Commissie LIBE heeft hierop een aantal aanpassingen gemaakt. De belangrijkste wijzigingen zijn: -
De hoogte van de sancties. De sancties in het voorstel van de Commissie LIBE zijn vele malen hoger.
-
De functionaris voor gegevensbescherming is verplicht als de verwerking betrekking heeft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden.
Daarnaast had ik de meldingsplicht en documentatieplicht naast elkaar geplaatst, terwijl deze duidelijk verschillend zijn. Onder de EPV is er geen sprake meer van een meldingsplicht, maar moet er altijd worden gedocumenteerd. Als laatste is de sanctie bij de meldplicht datalekker verhoogd naar € 810.000. Deze aanpassingen heb ik verwerkt in hoofdstuk 2 van mijn scriptie. Tijdens het gesprek hebben wij het uitgebreid gehad over de verantwoordelijkheden van de onderneming en van de accountant. Hier kwamen de termen accountable en auditable naar voren. Vanuit de EPV dient de organisatie zich te kunnen verantwoorden en een accountant moet in staat zijn om het te controleren. Dit houdt in dat een organisatie moet kunnen aantonen middels aantoonbare technische en organisatorisch maatregelen dat zij de verwerking van persoonsgegevens uitvoert in overeenstemming met de EPV. De organisatie en de accountant moeten derhalve ook wel alle verwerking van persoonsgegevens in de - 60 -
informatiesystemen kennen. Dit houdt ook in dat de verantwoordelijke in staat moet zijn om te kunnen aantonen dat zij alle inbreuken / datalekken documenteert inclusief de gevolgen en corrigerende maatregelen. In hoofdstuk 4 heb ik de hoogte van de sancties als reden genoemd waarom een accountant werkzaamheden zou moeten verrichten met betrekking tot de naleving van de EPV. In het gesprek ben ik gewezen op nog twee redenen. In artikel 22 van het voorstel van de EPV staat dat de toereikendheid en doeltreffendheid van de maatregelen moet worden getoetst door een onafhankelijke interne of externe controleur. Bovendien staat ook in dit artikel dat alle regelmatige algemene verslagen over de activiteiten van de voor de verwerking verantwoordelijke, zoals de verplichte verslagen door beursgenoteerde ondernemingen, een beknopte beschrijving van het beleid en de maatregelen bevatten. Dit haakt in op artikel 391 lid 5 van het Burgerlijk Wetboek waarin het accountantsonderzoek van een verklaring inzake corporate governance wordt genoemd. Dit is verwerkt in hoofdstuk 4. Bovenstaande opmerkingen zijn waar nodig ook verwerkt in mijn werkprogramma. J. van Schajik RE CISA Dhr. van Schajik heeft zicht met name geconcentreerd op hoofdstuk 3 van mijn scriptie. Hij heeft verwoord dat de eisen die ik noem waaraan een onderneming moet voldoen in het kader van de EPV juist en volledig zijn. Voor de te nemen maatregelen door de onderneming geeft hij aan dat inderdaad vanuit de Europese Commissie nog geen nadere invulling hieraan is gegeven. Bij de inrichting van maatregelen dient de onderneming het principe van privacy by design in het oog te houden. Dit houdt in dat in een vroeg stadium nagedacht wordt over het goede gebruik van persoonsgegevens binnen een organisatie, de noodzaak van het gebruik van deze gegevens en de bescherming er van.166 Hierbij is het ook van belang dat een onderneming analyseert welke persoonsgegevens de onderneming verwerkt en of zij dit verwerkt conform de wet inclusief de opschoning van gegevens. Daarnaast dient de onderneming ook rekening te houden met het recht van inzage van betrokkenen. De verwerkingstijden van de persoonsgegevens moeten zodanig zijn dat de onderneming wel op tijd aan dit recht kan voldoen. De eis van passende technische en organisatorisch maatregelen heb ik in mijn scriptie ingevuld aan de hand van de Richtsnoeren beveiliging persoonsgegevens van het CBP en ISO 27002. Dhr. Van Schajik geeft aan dat maar weinig normen ingaan op privacy. Zo ligt bijvoorbeeld bij COBIT veelal de nadruk op beveiliging. Ook is specifiek voor cloud services door de Cloud Security 166
http://www.cbpweb.nl/Pages/th_pbd_watis.aspx
- 61 -
Alliance een Cloud Controls Matrix (CCM) ontwikkeld. Ook deze gaat specifiek in op beveiligingsprincipes en gaat verder niet in op privacy.167 Dhr. Van Schajik geeft verder aan dat specifiek voor cloud services het wel van belang is dat opslag plaats vindt in de EER (Europese Economische Regio). Door bijvoorbeeld in het contract vast te leggen dat de opgeslagen persoonsgegevens de EER niet verlaten. In het door mij beschreven werkprogramma zal ik aanpassen dat in het door de onderneming opgestelde beleidsdocument het van belang is dat hierin ook de rechten van de betrokkene worden meegenomen. Hierbij speelt het principe privacy by design een belangrijke rol. De onderneming dient in het beleidsdocument in te gaan op welke persoonsgegevens de onderneming verwerkt en of dit conform de wet is toegestaan. De maatregelen die een onderneming neemt moeten ook passen bij de persoonsgegevens die een onderneming verwerkt en het belang van deze persoonsgegevens. De procedure voor verwerking van de persoonsgegevens dient te worden gedocumenteerd, zodat voor iedere medewerker duidelijk is op welke wijze met de persoonsgegevens moet worden omgegaan. Dhr. Van Schajik ziet verder niet de noodzaak om de eisen en maatregelen verder te verdiepen, omdat we als accountant tenslotte niet hoeven vast te stellen dat de onderneming voldoet aan de EPV. Als accountant dienen we vast te stellen of er een vermoeden bestaat op niet-naleven. Het lijkt dhr. Van Schajik wel handig om de maatregelen uit te breiden zodat het voor de accountant duidelijk is wat met de maatregelen moet worden bereikt, zoals het kunnen voldoen aan de rechten van de betrokkene. Dit zal ik aanpassen in het werkprogramma. In mijn werkprogramma ga ik in op de vraag of vanuit de uitkomsten van de IT audit voor de jaarrekeningcontrole een vermoeden bestaat op niet-naleven van de EPV. Het is maar de vraag of de systemen waarin persoonsgegevens worden verwerkt wel in scope zijn. Afhankelijk van de persoonsgegevens die de klant verwerkt, kan de accountant overwegen om deze systemen wel te laten beoordelen door de IT auditor. Het werkprogramma zal ik op dit punt aanpassen. Drs. E.R. van der Wösten RA Dhr. Van der Wösten heeft zich met name geconcentreerd op hoofdstuk 4 van mijn scriptie. Zijn opmerkingen kunnen worden onderverdeeld in de volgende onderdelen: 1. Werkzaamheden van de accountant 2. Effect op de verklaring 3. Verwerking in de jaarrekening
167
https://cloudsecurityalliance.org/research/ccm/
- 62 -
Werkzaamheden van de accountant Dhr. Van der Wösten geeft aan om ook NV COS 501 Controle-informatie – Specifieke overwegingen voor geselecteerde elementen hierin mee te nemen, omdat deze COS de specifieke overwegingen van de accountant behandelt bij het verkrijgen van voldoende en geschikte controle-informatie met betrekking tot bepaalde aspecten van bijvoorbeeld rechtzaken en claims waarbij de entiteit betrokken is. Hierbij geeft hij aan dat het doornemen van grootboekrekening juridische kosten en het opvragen van een advocatenbrief hier ook bij horen. Naar aanleiding van bovenstaande opmerking heb ik NV COS 501 bestudeerd. In NV COS 501 worden de volgende controlewerkzaamheden genoemd die een accountant dient op te zetten en uit te voeren gericht op het vaststellen van rechtszaken en claims waarbij de entiteit betrokken is en die mogelijk een risico op een afwijking van materieel belang doen ontstaan: a. Het verzoeken om inlichtingen bij het management en, indien van toepassing, bij anderen binnen de entiteit, met inbegrip van de interne juridisch adviseur; b. Het doornemen van de notulen van de vergaderingen van de met governance belaste personen, alsmede van de correspondentie tussen de entiteit en haar externe juridisch adviseur; en c. Het doornemen van kostenrekeningen met betrekking tot juridische kosten. Afhankelijk van de omstandigheden kan de accountant het ook passend achten om de daarmee verband houdende brondocumenten, zoals facturen te onderzoeken.168 Indien de accountant een inschatting maakt van een risico van materieel belang dat betrekking heeft op vastgestelde rechtszaken en claims of wanneer uitgevoerde controlewerkzaamheden een indicatie geven van het feit dat andere van materieel belang zijnde rechtszaken en claims kunnen bestaan, dient de accountant, in aanvulling op eerder beschreven werkzaamheden, te trachten direct met de externe juridisch adviseur van de entiteit te communiceren. Directe communicatie met de externe juridisch adviseur vormt voor de accountant een hulpmiddel bij het verkrijgen van voldoende en geschikte controle-informatie over de vraag of mogelijk van materieel belang zijnde rechtszaken en claims bekend zijn en of de schattingen van het management omtrent de financiële implicaties, met inbegrip van kosten, redelijk zijn.
169
In de volgende gevallen dient de accountant het oordeel in de controleverklaring aan te passen overeenkomstig NV COS 705: a. het management weigert om aan de accountant de toestemming te verlenen om te communiceren met de externe juridisch adviseur van de entiteit, dan wel om met deze
168 169
artikel 9 en A20, NV COS 501 artikel 10 en A21, NV COS 501
- 63 -
persoon te overleggen, of indien de externe juridisch adviseur van de entiteit weigert om op passende wijze een antwoord te geven op het schriftelijk verzoek om inlichtingen, dan wel indien het hem is verboden om een antwoord te geven; en b. de accountant niet in staat is om voldoende en geschikte controle-informatie te verkrijgen door het uitvoeren van alternatieve controlewerkzaamheden.170 Bovengenoemde werkzaamheden zijn
al voor een
groot
deel opgenomen in het
werkprogramma, zoals het doornemen van notulen en inlichtingen inwinnen bij het management en de interne en/of externe juridisch adviseur. Deze werkzaamheden waren namelijk ook opgenomen in NV COS 250. Het doornemen van de kostenrekeningen met het eventueel onderzoeken van bijbehorende facturen had ik ook al opgenomen in het werkprogramma, omdat wij deze werkzaamheden ook tijdens de huidige jaarrekeningcontroles uitvoeren en ik deze werkzaamheden ook hiervoor passend vond. Uit bovenstaande blijkt dat deze werkzaamheden ook daadwerkelijk in NV COS 501 staan genoemd. In het werkprogramma is nog niet specifiek opgenomen het doornemen van de correspondentie tussen de entiteit en haar externe juridisch adviseur. Deze heb ik derhalve toegevoegd in het werkprogramma zoals opgenomen in paragraaf 6.3. Tevens was in mijn werkprogramma bij een vermoeden van niet-naleven van de EPV wel opgenomen dat, indien de accountant dat passend acht, hij juridisch advies in kan winnen bij de interne of externe adviseur van de entiteit of zijn eigen juridisch adviseur. Deze werkstap zou op basis van de beschreven werkzaamheden in de NV COS 501 verder uitgebreid moeten worden met dat de accountant contact moet opnemen met de extern juridisch adviseur om zo voldoende en geschikte controle-informatie te verkrijgen over de vraag of mogelijk van materieel belang zijnde rechtszaken en claims bekend zijn en of de schattingen van het management omtrent de financiële implicaties, met inbegrip van kosten, redelijk zijn. Dit is aangepast in het werkprogramma zoals opgenomen in paragraaf 6.3. Effect op de verklaring Dhr. Van der Wösten geeft aan dat als de accountant tot de conclusie komt dat de niet-naleving een invloed van materieel belang heeft op de financiële overzichten en niet op adequate wijze in de financiële overzichten is weergegeven, de accountant overeenkomstig NV COS 705 vanwege diepgaande invloed waarschijnlijk een afkeurend oordeel over de financiële overzichten tot uitdrukking zal moeten brengen. Gevolgen met een diepgaande invloed op de financiële overzichten zijn conform NV COS 705 die welke, op grond van de oordeelsvorming van de accountant: a. niet beperkt zijn tot specifieke elementen, rekeningen of posten van de financiële overzichten; 170
artikel 11, NV COS 501
- 64 -
b. indien ze wel daartoe beperkt zijn, een substantieel deel van de financiële overzichten vertegenwoordigen of zouden kunnen vertegenwoordigen; of c. met betrekking tot toelichtingen, van fundamenteel belang zijn voor het begrip van gebruikers van financiële overzichten.171 Gezien de hoge boetes die worden genoemd in de EPV zal er zeer waarschijnlijk sprake zijn van diepgaande invloed. Dhr. Van der Wösten heeft tevens aangegeven dat bij verhindering door het management of de met governance belaste personen het op grond van NV COS 705 mogelijk is om de opdracht terug te geven. Dit staat in NV COS 705 genoemd in artikel 13. Hier staat het volgende vermeld: ‘Indien de accountant tot de conclusie komt dat de mogelijke gevolgen van eventuele nietgedetecteerde afwijkingen voor de financiële overzichten zowel van materieel belang zouden kunnen zijn als een diepgaande invloed zouden kunnen hebben zodat een oordeel met beperking niet adequaat zou zijn om de ernst van de situatie over te brengen, dient hij: 1. de controleopdracht terug te geven, indien dit overeenkomstig de van toepassing zijnde wet- of regelgeving praktisch uitvoerbaar en mogelijk is; of 2. indien het teruggeven van de controleopdracht vóór het uitbrengen van de controleverklaring niet praktisch uitvoerbaar of mogelijk is, een oordeelonthouding over de financiële overzichten te formuleren.172 Aan het eind van paragraaf 4.2 staat dat indien de accountant vanwege beperkingen die door de omstandigheden zijn veroorzaakt en niet door het management of door de met governance belaste personen zijn opgelegd, niet in staat is te bepalen of er sprake is geweest van nietnaleving, de accountant overeenkomstig NV COS 705 de invloed daarvan op het oordeel van de accountant dient te evalueren. Dhr. Van der Wösten vraagt zicht hierbij af wat dit dan betekent en wat de opties dan zijn. In NV COS 705 zijn de volgende opties hiervoor genoemd: -
oordeel met beperking indien de accountant niet in staat is voldoende en geschikte controle-informatie te verkrijgen en tot de conclusie komt dat de mogelijke gevolgen van eventuele niet-gedetecteerde afwijkingen voor de financiële overzichten van materieel belang kunnen zijn maar geen diepgaande invloed kunnen hebben.
-
oordeelonthouding indien de accountant niet in staat is voldoende en geschikte controle-informatie te verkrijgen en tot de conclusie komt dat de mogelijke gevolgen van eventuele niet-gedetecteerde afwijkingen voor de financiële
171 172
artikel 5, NV COS 705 artikel 13, NV COS 705
- 65 -
overzichten van zowel materieel belang kunnen zijn als een diepgaande invloed zouden kunnen hebben.173 Zoals hierboven al genoemd, zal in zo’n geval dan veelal sprake zijn van diepgaande invloed en zal de accountant derhalve een oordeelonthouding formuleren. Verwerking in de jaarrekening In paragraaf 4.3 ga ik onder andere in op RJ 252 en de voorwaarden voor het vormen van een voorziening op balansdatum. Dhr. Van der Wösten geeft aan dat jurisprudentie op dit gebied ook een aanleiding kan zijn tot het vormen van een voorziening of een vermelding in de toelichting. Deze jurisprudentie is er met betrekking tot de EPV nog niet, maar zal in de komende jaren als de EPV eenmaal van toepassing is, natuurlijk wel komen. In paragraaf 4.3 ga ik op een gegeven moment in op RJ 252.204 waar in staat dat als door toekomstige handelingen van de rechtspersoon de verplichting kan verdwijnen er geen voorziening gevormd hoeft te worden. Dhr. Van der Wösten geeft hierbij aan dat dit nog maar de vraag is, want kennelijk is er dan wel sprake geweest van een overtreding. Mogelijk zal herstel ervan leiden tot een boeteverlaging of geen geldboete, maar het kan ook degelijk wel leiden tot een geldboete. Dit zal veelal afhankelijk zijn van de situatie, de verwijtbaarheid en van het belang. Zoals ik al in hoofdstuk 4.3 heb vermeld zal uit de verschillende controlewerkzaamheden die we uitvoeren, de inlichtingen van het management en, indien van toepassing, de met governance belaste personen en de inlichten van de juridische adviseurs moeten blijken of er uiteindelijke sprake is van een verplichting. Deze werkzaamheden zijn reeds opgenomen in mijn werkprogramma. In paragraaf 4.3 ga ik ook in op de vraag wanneer dient te worden volstaan met een toelichting en geen voorziening mag worden gevormd. In RJ 252.409 wordt vermeld dat als het bedrag waarvoor de verplichting kan worden afgewikkeld niet met voldoende betrouwbaarheid kan worden vastgesteld, volstaan kan worden met een vermelding in de toelichting. Op dit punt heb ik de volgende specifieke vragen gesteld aan de experts: -
Wanneer kan dit met voldoende betrouwbaarheid worden vastgesteld? Wat als een onderneming niet aan de EPV voldoet, maar nog niets heeft gehoord van het CBP? Het kan best zijn dat een onderneming nooit iets hoort. Als we gaan toelichten dat een onderneming niet voldoet aan de EPV, gaan we dan geen slapende honden wakker maken en leidt dat dan niet juist tot een boete? Hoe ver moeten we daarin gaan? Aan de andere kant: als we niets melden, zullen we het richting het maatschappelijk verkeer waarschijnlijk ook niet goed doen.
173
Artikel 7 en 9, NV COS 705
- 66 -
Dhr. Van der Wösten heeft hierbij aangegeven dat het opnemen van een voorziening of een toelichting in de jaarrekening uiteraard alleen zal zijn als de onderneming hiervoor is aangesproken door een officiële instantie. In beginsel zal dit niet zo zijn als zij zelf constateren dat zij niet voldoen. Dit zou dan in feite inhouden dat er nog geen sprake is van een verplichting. Met dhr. Van der Wösten heb ik besproken of in de jaarrekening geen toelichting moet komen, omdat de jaarrekening in principe wordt opgesteld op basis van continuïteit. Als de onderneming vlak na het afgeven van de controleverklaring als nog een onderzoek krijgt van het CBP, is het risico aanwezig dat de onderneming een zodanige boete krijgt dit mogelijk effect kan hebben op de continuïteit. Dhr. Van der Wösten gaf toen aan dat het wel goed is om hiervan iets op te nemen in de jaarrekening. Dit zou op de volgende twee manieren kunnen: 1. Steeds vaker zien we in jaarrekening een toelichting staan met betrekking tot de naleving van de Wet Ketenaansprakelijkheid (hierna: WKA). In de jaarrekening is dan bijvoorbeeld toegelicht onder de ‘Niet uit de balans blijkende verplichtingen’ dat de vennootschap gebruik maakt van inleen en als gevolg daarvan dat zij aansprakelijk kan worden gesteld voor de afdracht van loonbelasting en sociale verzekeringen betreffende inleners. Voor de EPV kunnen we een dergelijke toelichting ook opnemen. Dit zou dan wel in algemene termijn moeten, omdat er pas sprake is van noncompliance als wettelijk is bewezen dat de onderneming de EPV niet naleeft. 2. In het jaarverslag dient de directie onder andere de voornaamste risico’s en onzekerheden toe te lichten. 174 In RJ 400.110a staat dat op grond van artikel 2:391 lid 1 BW de rechtspersoon een beschrijving moet geven van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon (en de groepsmaatschappijen waarvan de financiële gegevens in de jaarrekening zijn opgenomen) wordt geconfronteerd. Hierbij gaat het niet om het geven van een uitputtende uiteenzetting van de mogelijke risico’s en onzekerheden, maar om een selectie van de belangrijkste risico’s en onzekerheden waardoor de lezer van het jaarverslag in staat is om zich een goed beeld te vormen van mogelijke gebeurtenissen of ontwikkelingen met belangrijke gevolgen voor resultaten, de financiële positie en indien van toepassing de continuïteit van bepaalde of alle activiteiten van de rechtspersoon. De uitgebreidheid van de beschrijving hangt af van de kans op verwezenlijking van de desbetreffende risico’s of onzekerheden en de mogelijke (financiële gevolgen) daarvan. Hierbij is het tevens van belang dat wordt beschreven of en op welke wijze de rechtspersoon deze risico’s en onzekerheden beheerst.175 Bovengenoemd punt heb ik ook uitgebreid besproken met mevr. Bastings (zie hierna). Zij geeft ook aan dat een toelichting in de risicoparagraaf de beste optie is. Gezien de toelichting die
174 175
RJ 400.109 RJ 400.110a
- 67 -
hierin ook moet worden opgenomen, lijkt mij dit zelf ook de beste optie. Derhalve dit punt opgenomen in mijn werkprogramma. Het is daarnaast van belang dat wij het management, en indien van toepassing de met governance belaste personen, wijzen op de risico’s. Dit heb ik derhalve nog opgenomen in mijn werkprogramma. Drs. K.J.A. Bastings RA Mevrouw Bastings heeft aangegeven dat het goed zou zijn om bij vraag 1 van het werkprogramma een aantal voorbeelden te noemen van verwerkingen van persoonsgegevens waarop de EPV van toepassing is. Bij vraag 2 van het werkprogramma is het van belang dat wordt verduidelijkt welke punten moeten worden nagevraagd. Hierbij kunnen vraag 2 en 5 worden samengevoegd. In vraag 4 van de EPV zijn een aantal controlewerkzaamheden genoemd waaruit indicaties naar voren kunnen komen van een vermoeden van niet-naleven van de EPV. Deze werkzaamheden hebben niet tot doel om vast te stellen of er sprake is van een vermoeden van niet-naleven van de EPV. Dit is niet goed verwoord in mijn werkprogramma. Het navragen bij het management dient wel specifiek in te gaan op de naleving van de EPV, bijvoorbeeld of een onderzoek is aangekondigd of op dit moment onderhanden is. Vraag 6 gaat over de schriftelijke bevestiging. Als een onderneming veel persoonsgegevens verwerkt, waarbij het belang van naleving van de EPV groter is, kan de accountant overwegen of het nodig is om specifiek te laten bevestigen dat alle bekende gevallen van niet-naleving of vermogen van niet-naleving van de EPV ter kennis zijn gebracht. Bovengenoemde punten zal ik verwerken in mijn werkprogramma. Met mevrouw Bastings heb ik ook specifiek besproken wat de onderneming moet toelichten / opnemen in de jaarrekening met betrekking tot het naleven van de EPV. Als accountant is het van belang dat wij de onderneming wijzen op de verplichtingen met betrekking tot de EPV en de risico’s die de onderneming loopt. Het is van belang dat de onderneming hierop actie onderneemt. Wij kunnen dit verwerken in de management letter. Het opnemen van een voorziening of een toelichting in de ‘Niet uit de balans blijkende verplichtingen’ is pas van toepassing als er sprake is van een onderzoek door het CBP. Pas dan kan mogelijk worden voldaan aan de voorwaarden die genoemd zijn in de RJ. Mevr. Bastings geeft aan dat het wel in de risicoparagraaf van het jaarverslag door het management dient te
- 68 -
worden opgenomen. Hierbij is het wel van belang om in het oog te houden hoe belangrijk de persoonsgegevens zijn die worden verwerkt. Hoe belangrijk de gegevens, hoe groter het risico namelijk. Dit is afhankelijk van de aard van de onderneming en de gegevens die zij verwerken. Hierbij zal de directie ook in moeten gaan op de kans dat het risico zich voordoet. Het vermelden in het directieverslag zou derhalve ook passend zijn als wij geen vermoeden van niet-naleven van de EPV hebben. Derhalve zal ik toevoegen in mijn werkprogramma. In vraag 10 van mijn werkprogramma ga ik in op het vormen van een voorziening of een schuld. Hierbij is het van belang om te vermelden dat dit pas van toepassing is in geval van een onderzoek van het CBP. Dit zal ik aanpassen in mijn werkprogramma. Afhankelijk van de persoonsgegevens die de onderneming verwerkt en het risico dat hiermee samenhangt, zal de accountant het mogelijk niet-naleven van de EPV moeten aanmerken als risico of zelf significant risico en de opzet van de maatregelen moeten beoordelen.
6.3
Verwerking in het werkprogramma
De opmerkingen van de experts heb ik vervolgens verwerkt in het werkprogramma. Werkprogramma 1. Verkrijg inzicht in de eisen waar de entiteit in het kader van de EPV aan moet voldoen. Hierbij is het van belang dat het principe van privacy by design wordt gevolgd. De EPV ziet op alle verwerkingen van persoonsgegevens, zoals gegevens bij debiteuren en crediteuren, maar ook verwerkingen in de salarisadministratie en kopieën van paspoorten. 1)
Hij dient een beleid vast te stellen en passende maatregelen uit te voeren om ervoor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming is met deze verordening. Hierbij is het van belang dat de onderneming ingaat op welke persoonsgegevens zij verwerkt en of dit volgens de wet is toegestaan. Dit beleid dient transparant en eenvoudig toegankelijk te zijn voor de betrokkene.
2)
Hij moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
3)
Hij dient procedures vast te stellen en zorgt voor mechanismen voor de uitoefening van de rechten van de betrokkene. Onder de rechten van de betrokkene vallen onder andere het recht op informatie en toegang tot gegevens, zoals onder de opslagtermijn, het recht een klacht in te dienen en voornemen tot doorgifte van persoonsgegevens. Ook het de betrokkene het recht van rectificatie, recht om te worden vergeten en gegevens te laten wissen en het recht van gegevensoverdraagbaarheid. Bovendien het de betrokkene het recht van bezwaar en mogen persoonsgegevens niet worden gebruikt voor profilering. Binnen één maand na ontvangst van het verzoek dient de verantwoordelijke de betrokkene te informeren over diens verzoek.
4)
Hij dient te voldoen aan de documentatieplicht. De onderneming dient minimaal de volgende gegevens te documenteren: a)
naam en contactgegevens van de verantwoordelijke, verwerker of vertegenwoordiger;
- 69 -
b)
naam en contactgegevens van de functionaris voor de gegevensbescherming;
c)
doeleinden van de verwerking;
d)
een beschrijving van de categorieën van betrokkenen en van de categorieën van gegevens die daarop betrekking hebben;
e)
de ontvangers of categorieën van ontvangers;
f)
de voorgenomen doorgiften van gegevens naar een derde land of een internationale organisatie;
g)
een algemene aanwijzing met betrekking tot de termijnen waarbinnen de verschillende categorieën moeten worden gewist; en
h) 5)
een beschrijving van de mechanismen zoals genoemd in het verantwoordingsbeginsel.
Hij dient passende technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te waarborgen. Hierbij zullen zij rekening moeten houden met de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich mee brengt. In geval van een inbreuk in verband met persoonsgegevens dient in principe binnen 24 uur een melding te worden gemaakt bij de toezichthoudende autoriteit en eventueel bij de betrokkene.
6)
Hij dient afhankelijk van de risico’s voor de rechten en vrijheden van de betrokkenen een privacyeffectbeoordeling uit te voeren.
7)
Hij dient een functionaris voor gegevensbescherming in te stellen.
8)
De verantwoordelijke dient mechanismen in te stellen om ervoor te zorgen dat de doeltreffendheid van de voorgaande maatregelen wordt getoetst.
De verplichtingen onder punt 4 en punt 7 gelden onder andere niet als een onderneming minder dan 250 werknemers heeft. 2.
Vraag na bij het management en, indien van toepassing, de met governance belaste personen of de entiteit de EPV naleeft en of de entiteit in opzet voldoet aan de eisen die gesteld worden in de EPV. Hierbij kan gedacht worden aan de volgende maatregelen: 1)
Beleidsdocument voor informatiebeveiliging
2)
Toewijzen van verantwoordelijkheden voor informatiebeveiliging
3)
Beveiligingsbewustzijn. De procedure voor verwerking van de persoonsgegevens dient te worden gedocumenteerd, zodat voor iedere medewerker duidelijk is op welke wijze met de persoonsgegevens moet worden omgegaan. Daarnaast kan hierbij gedacht worden aan training en regelmatige bijscholing.
4)
Fysieke beveiliging en beveiliging van apparatuur
5)
Toegangsbeveiliging tot de informatiesystemen en -diensten
6)
Logging en controle op (indicaties van) onrechtmatige toegang of onrechtmatig gebruik
7)
Correcte verwerking in toepassingssystemen, zoals controle op invoer, verwerking en uitvoer (validatie).
8)
Beheer van technische kwetsbaarheden, zoals up-to-date houden van software waaronder virusscanners en operating systems
9)
Incidentenbeheer,
zodat
tijdig
en
doeltreffend
kan
worden
gehandeld
bij
informatiebeveiligingsincidenten. 10) Afhandeling van datalekken en beveiligingsincidenten 11) Continuïteitsbeheer, zoals maken van back-ups en recoverytesten. 12) Encryptie (versleuteling) en hashing, bijvoorbeeld encryptie bij het verzenden van data via internet en opslag op draagbare apparatuur. Hashing wordt bijvoorbeeld toegepast bij de opslag en verwerking van wachtwoorden. 13) Omgang met e-waste (afgedankte apparatuur en opslagmedia)
- 70 -
14) Maatregelen om te kunnen voldoen aan de rechten van de betrokkene 15) Voldoen aan de documentatieplicht 16) Uitvoeren van een privacyeffectbeoordeling 17) Instellen van een functionaris voor gegevensbescherming 18) Mechanismen instellen om er voor te zorgen dat de doeltreffendheid van de maatregelen worden getoetst. Bij bovengenoemde maatregelen is het van belang om het principe privacy by design en de eisen die van toepassing zijn voor de onderneming in het oog te houden.
3. Neem de correspondentie met het CBP door. 4. Wees bij het uitvoeren van de volgende aanvullende controlewerkzaamheden alert op indicaties van een vermoeden van niet-naleven van de EPV: -
Lezen van de notulen
-
Navragen bij het management naar rechtszaken en/of claims
-
Navragen bij de interne en/of externe juridisch adviseur van de entiteit naar rechtszaken en/of claims
-
Doornemen van de correspondentie tussen de entiteit en de externe juridisch adviseur.
-
Opvragen van een advocatenbrief
-
Doornemen van de juridische kosten en indien nodig de bijbehorende facturen
5. Het management en, indien van toepassing, de met governance belaste personen te verzoeken om schriftelijke bevestigingen te verstrekken dat alle bekende gevallen van niet-naleving of vermoeden van niet-naleving van wet- en regelgeving waarmee bij het opstellen van de jaarrekening rekening moet worden gehouden, de accountant ter kennis zijn gebracht. Als een onderneming veel persoonsgegevens verwerkt, waarbij het belang van naleving van de EPV groter is, dient de accountant te overwegen of het nodig is om specifiek te laten bevestigen dat alle bekende gevallen van niet-naleving of vermogen van niet-naleving van de EPV ter kennis zijn gebracht. 6. Stel vast dat op basis van de uitgevoerde werkzaamheden gedurende de jaarrekeningcontrole, zoals het beoordelen van de IT general controls, er geen aanwijzingen zijn voor het niet-naleven van de EPV. Afhankelijk van het belang van de persoonsgegevens die de onderneming verwerkt, dient de accountant te overwegen of deze systemen moeten worden meegenomen bij de beoordeling door de IT auditor die betrokken is bij de jaarrekeningcontrole. 7. De directie dient in het jaarverslag de voornaamste risico’s en onzekerheden toe te lichten met betrekking tot de EPV. De uitgebreidheid van de beschrijving hangt af van de kans op verwezenlijking van de desbetreffende risico’s of onzekerheden en de mogelijke (financiële gevolgen) daarvan. Hierbij is het tevens van belang dat wordt beschreven of en op welke wijze de rechtspersoon deze risico’s en onzekerheden beheerst
- 71 -
Bij een vermoeden van niet-naleven van de EPV: 8. Bespreek het vermoeden van niet-naleven van de EPV met het management en, indien van toepassing, de met governance belaste personen en probeer aanvullende controleinformatie te verkrijgen (bijvoorbeeld een bevestiging van hetzelfde begrip van de feiten en omstandigheden) 9. Win, indien de accountant dat passend / nodig acht, juridisch advies in bij de interne adviseur van de entiteit of zijn eigen juridisch adviseur over de vraag of er sprake is van een schending van de EPV, wat de mogelijke juridische gevolgen zijn en welke verder actie de accountant moet nemen. 10. Zorg er voor dat door middel van een schriftelijk verzoek om inlichtingen, door het management opgesteld en door de accountant verzonden, de externe juridisch adviseur rechtstreeks met je communiceert om zo voldoende en geschikte controle-informatie te verkrijgen over de vraag of mogelijk van materieel belang zijnde rechtszaken en claims bekend zijn en of de schattingen van het management omtrent de financiële implicaties, met inbegrip van kosten, redelijk zijn. 11. In geval van een onderzoek door de EPV: stel vast of een voorziening of een schuld dient te worden opgenomen of dat de mogelijke verplichting moet worden toegelicht in de jaarrekening. Stel, indien van toepassing, tevens vast dat dit toereikend is opgenomen en/of toegelicht in de jaarrekening. Als er sprake is van een reeds opgelegde sanctie en deze is niet meer te weerleggen, zal een schuld moeten worden opgenomen. Als dat niet het geval is, dient onderstaand stroomschema te worden gevolgd. Of er sprake is van een verplichting en of dat een betrouwbare schatting kan worden gemaakt, zal afhangen van de uitkomsten van bovenstaande uitgevoerde controlewerkzaamheden.
- 72 -
12. Beoordeel of er een mogelijk effect bestaat op het oordeel van de af te geven verklaring. 13. Wijs in alle gevallen het management, en indien van toepassing de met governance belaste personen, op de risico’s die zo lopen met betrekking tot de naleving van de EPV.
- 73 -
7
Conclusie en aanbevelingen
In deze scriptie stond de volgende onderzoeksdoelstelling centraal: Het onderzoek is gericht op het verkrijgen van kennis en inzicht met betrekking tot de vraag wat het effect is van de EPV voor de jaarrekeningcontrole en welke controlewerkzaamheden de accountant moet uitvoeren om het risico te mitigeren. De onderzoeksdoelstelling heeft geleid tot de volgende onderzoeksvragen: 1. Wat houdt de EPV in en wat zijn de verschillen met de huidige wet- en regelgeving? 2. Welke eisen worden er aan een organisatie gesteld en welke acties kunnen zij ondernemen? 3. Welke werkzaamheden moet de accountant uitvoeren die belast is met de jaarrekeningcontrole met betrekking tot de naleving van de EPV? Wat houdt de EPV in en wat zijn de verschillen met de huidige wet- en regelgeving? In onderstaand overzicht zijn schematisch de verschillen tussen de Wbp en de EPV weergegeven. In het overzicht zijn de rechten en verplichtingen, die met elkaar (deels) overeenstemmen naast elkaar weergegeven. De rechten en de verplichtingen onder de EPV zijn uitgebreider omschreven en toegelicht in vergelijking met de Wbp, maar het is niet mogelijk dit schematisch goed weer te geven.
- 74 -
Welke eisen worden er aan een organisatie gesteld en welke acties kunnen zij ondernemen? Uit het voorstel van de EPV komen de volgende eisen waaraan een verantwoordelijke moet voldoen of wat een verantwoordelijke minimaal moet regelen: 1. Hij dient een beleid vast te stellen en passende maatregelen uit te voeren om ervoor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming is met deze vordering. Dit beleid dient transparant en eenvoudig toegankelijk te zijn voor de betrokkene. 2. Hij moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. 3. Hij dient procedures vast te stellen en zorgt voor mechanismen voor de uitoefening van de rechten van de betrokkene. Binnen één maand na ontvangst van het verzoek dient de verantwoordelijke de betrokkene te informeren over diens verzoek. 4. Hij dient te voldoen aan de documentatieplicht. 5. Hij dient passende technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te waarborgen. In geval van een inbreuk in verband met persoonsgegevens dient in principe binnen 24 uur een melding te worden gemaakt bij de toezichthoudende autoriteit en eventueel bij de betrokkene. 6. Hij dient afhankelijk van de risico’s voor de rechten en vrijheden van de betrokkenen een privacyeffectbeoordeling uit te voeren. 7. Hij dient een functionaris voor gegevensbescherming in te stellen. 8. De verantwoordelijke dient mechanismen in te stellen om ervoor te zorgen dat de toereikendheid en doeltreffendheid van de voorgaande maatregelen wordt getoetst. De verplichting onder punt 4 geldt onder andere niet als een onderneming minder dan 250 werknemers heeft. De verplichting onder punt 7 geldt bijvoorbeeld niet als de verwerking betrekking heeft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden. De organisatie moet verantwoording af kunnen leggen (accountable), maar moet ook gecontroleerd kunnen worden (auditable). Met behulp van de Richtsnoeren beveiliging van persoonsgegevens van het CBP en ISO 27002 is een overzicht verkregen van wat onder passende technische en organisatorische maatregelen wordt verstaan om tot een passend beveiligingsniveau te komen.
- 75 -
Welke werkzaamheden moet de accountant uitvoeren die belast is met de jaarrekeningcontrole met betrekking tot de naleving van de EPV? De accountant is verantwoordelijk voor het verkrijgen van een redelijke mate van zekerheid dat de financiële overzichten als geheel geen afwijking van materieel belang bevatten die het gevolg zijn van fraude of fouten. Hierbij dient de accountant ook rekening te houden met de van toepassing zijnde wet- en regelgeving en dus ook met de EPV.176 Als de accountant op basis van zijn werkzaamheden vaststelt dat er geen sprake is van een geïdentificeerde of een vermoeden van niet-naleving van de EPV hoeft de accountant geen andere controlewerkzaamheden uit te voeren met betrekking tot het naleven van de EPV.177 Als er wel sprake is van een geïdentificeerde of een vermoeden van niet-naleving van de EPV, dient de accountant aanvullende controlewerkzaamheden uit te voeren om vast te stellen of dit mogelijk invloed kan hebben op de financiële overzichten.178 Het niet-naleven van de EPV kan leiden tot het opnemen van een voorziening179 of een schuld180 of het vermelden in de toelichting bij de niet uit de balans blijkende verplichtingen 181. Conclusie Ik heb mijn scriptie aan een aantal experts voorgelegd met de vraag of ik de NV COS, de RJ, de EPV en de IT normen juist heb vertaald in het door mij beschreven werkprogramma. Dit heeft uiteindelijk geleid tot een werkprogramma. Voor het werkprogramma verwijs ik naar hoofdstuk 6. Aanbevelingen Omdat de EPV nog alleen een voorstel is, kan de uiteindelijke EPV afwijken van dit voorstel. De verschillen tussen het huidige voorstel van de EPV en de definitieve EPV zullen moeten worden verwerkt in mijn werkprogramma. Daarnaast zijn de vereisten met betrekking tot passende technische en organisatorische maatregelen gebaseerd op de Richtsnoeren van het CPB en ISO 27002, omdat in het voorstel van de EPV hier nog geen nadere invulling van wordt gegeven. Als dit op enig moment wel wordt gedaan, zal ook dit moeten worden verwerkt in mijn werkprogramma. Daarnaast zal bij wijzigingen in de RJ het effect van deze wijzigingen moeten worden verwerkt in mijn werkprogramma.
176 177 178 179 180 181
NV COS 250 NV COS 250 NV COS 250 RJ 252 RJ 254 RJ 252
- 76 -
Dit werkprogramma is geschreven voor een accountant die belast is met de controle van de jaarrekening van een verantwoordelijke. Een soortgelijk programma zou bij vervolgonderzoek kunnen worden geschreven voor een accountant die belast is met de controle van de jaarrekening van een bewerker. Als laatste kan in vervolgonderzoek worden ingegaan op de vraag welke werkzaamheden een accountant dient uit te voeren die belast is met de controle van de jaarrekening die opgesteld is in overeenstemming met IFRS.
- 77 -
8
Literatuurlijst
Biesheuvel, A.J. en Duthler, A.W., ‘Het Europees privacyrecht in beweging’, NOREA, februari 2013 Onbekende auteurs: Accountant.nl, ‘Video: nieuwe privacyregels voor alle accountants’, 15 november 2013, http://www.accountant.nl/Accountant/Nieuws/Video+nieuwe+privacyregels+risico+voor+alle +accou.aspx Accountant.nl, ‘EU-parlement: forse boetes bij schending data’, 12 maart 2014, http://www.accountant.nl/Accountant/Nieuws/EUparlement+forse+boetes+bij+schending+data.aspx College Bescherming Persoonsgegevens, ‘CBP adviseert over Toetsmodel Privacy Impact Assessment’, 5 maart 2013, http://www.cbpweb.nl/Pages/adv_z2012-00847.aspx College Bescherming Persoonsgegevens, ‘Richtsnoeren beveiliging van persoonsgegevens’, februari 2013 College Bescherming Persoonsgegevens, ‘Samenvatting richtsnoeren beveiliging van persoonsgegevens’, februari 2013 Duthler Associates, ‘Privacybescherming’, http://www.duthler.nl/nl/privacybescherming Duthler Associates, ‘Jaarrekeningrecht in perspectief wet- en regelgeving gegevensbescherming’, http://www.duthler.nl/nl/jaarrekeningrecht-perspectief-wet-enregelgeving-gegevensbescherming European Commission, ‘LIBE Committee vote backs new EU data protection rules’, oktober 2013, http://ec.europa.eu/commission_2010-2014/reding/pdf/news/20131022-libe-dataprotection_en.pdf EY, ‘Handboek Jaarrekening 2014 – toepassing van de Nederlandse wet- en regelgeving en IFRS’, 2014 ISO 27002 (en), ‘Information technology – security techniques – code of practice for information security controls’, 2013 NIVRA geschrift nummer 58, ‘Automatisering en controle Deel VIII. Privacybescherming; de gevolgen voor organisaties en de rol van de accountant’, 1991 NOREA, ‘Privacy Impact Assessment, Introductie, handreiking en vragenlijst’, 2013
- 78 -
NV COS 250, ‘Wet- en regelgeving bij controle financiële overzichten’, Handleiding Regelgeving Accountancy, geldig per 1 januari 2014 NV COS 501, ‘Controle-informatie – Specifieke overwegingen voor geselecteerde elementen’, Handleiding Regelgeving Accountancy, geldig per 1 januari 2014 NV COS 705, ‘Aanpassingen van het oordeel in de controleverklaring’, Handleiding Regelgeving Accountancy, geldig per 1 januari 2014 Persbericht Europees Parlement, ‘MEPs tighten up rules to protect personal data in the digital era’, http://www.europarl.europa.eu/news/en/newsroom/content/20140307IPR38204/html/MEPs-tighten-up-rules-to-protect-personal-data-inthe-digital-era Richtlijnen voor de Jaarverslaggeving voor grote en middelgrote rechtspersonen, jaareditie 2013, Kluwer SC Online, ‘Privacy wordt een zaak voor bestuurders’, http://www.sconline.nl/opinie/privacy-wordt-een-zaak-voor-bestuurders Wetteksten: Aangenomen teksten van de vergadering van het Europees Parlement van 12 maart 2014, http://www.eerstekamer.nl/eu/documenteu/p7_ta_prov_2014_0212_standpunt_van/f=/vji1d k96exp8.pdf Artikel 23 Wetboek van Strafrecht, geldend 16 januari 2015, http://wetten.overheid.nl/BWBR0001854/EersteBoek/TitelII/Artikel23/geldigheidsdatum_1601-2015 Europese privacyrichtlijn, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:NL:HTML Grondwet artikel 10, http://www.denederlandsegrondwet.nl/9353000/1/j9vvihlf299q0sr/v Memorie van toelichting bij het wetsvoorstel wijziging Wbp, http://www.eerstekamer.nl/behandeling/20130617/memorie_van_toelichting_4/document3/ f=/vjc76lpx9ryk.pdf
- 79 -
Nota n.a.v. het verslag voorstel wijziging Wbp, 16 april 2014 http://www.eerstekamer.nl/behandeling/20140416/nota_naar_aanleiding_van_het/documen t3/f=/vjjilkcqs4zp.pdf Nota van wijziging van de Wbp (meldplicht datalekken), 16 april 2014 http://www.eerstekamer.nl/behandeling/20140415/nota_van_wijziging/document3/f=/vjjilk cqs6zq.pdf Nota van wijziging van de Wbp (meldplicht datalekken), 25 november 2014 http://www.eerstekamer.nl/behandeling/20140415/nota_van_wijziging/document3/f=/vjjilk cqs6zq.pdf Voorstel EPV, officieel: voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), http://www.eerstekamer.nl/eu/europeesvoorstel/com_2012_11_voorstel_voor_een/documen t/f=/viwze2lerprf.pdf Wet bescherming persoonsgegevens, http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_05-04-2014/afdrukken Wetsvoorstel wijziging van de Wbp (meldplicht datalekken, 17 juni 2013 http://www.eerstekamer.nl/behandeling/20130617/voorstel_van_wet_4/document3/f=/vjc7 6lpx9pyj.pdf Vrijstellingsbesluit Wbp, http://wetten.overheid.nl/BWBR0012461/geldigheidsdatum_09-06-2014/afdrukken Websites: http://www.eerstekamer.nl/wetsvoorstel/33662_meldplicht_datalekken http://www.cbpweb.nl/Pages/home.aspx http://www.rijksoverheid.nl/onderwerpen/straffen-en-maatregelen/vraag-en-antwoord/hoehoog-zijn-de-boetes-in-nederland.html http://www.cbpweb.nl/Pages/th_pbd_watis.aspx https://cloudsecurityalliance.org/research/ccm/ - 80 -
Collegemateriaal: IT Auditing, module IT & Recht, Erasmus School of Accounting & Assurance, Rotterdam, 7 februari 2014, mr. dr. Anne- Wil Duthler
- 81 -