In 2019 publiceerde ISO, de Internationale Organisatie voor Standaardisatie, de voorwaarden om een managementsysteem op te zetten voor de bescherming van persoonsgegevens: ISO 27701. Deze norm bouwt verder op het managementsysteem voor informatieveiligheid dat beschreven staat in de ISO 27001 norm. Twee jaar eerder werkte de British Standards Institution – BSI – haar BS 10012 norm bij op basis van de toen net gepubliceerde GDPR wetgeving. Beide standaarden bestaan vanuit de overtuiging dat een managementsysteem kan helpen bij het correct verwerken van persoonsgegevens.
Kenmerken
Voor wie niet vertrouwd is met een managementsysteem, zijn hier enkele kenmerken die het concept verder uitleggen. Een managementsysteem is een logische en samenhangende set van afspraken en manieren van werken die ervoor zorgen dat een organisatie en haar medewerkers datgene doen wat nodig is om de bedrijfsdoelstellingen – bijvoorbeeld GDPR conformiteit – te realiseren. Het biedt inzicht in de risico’s en de mogelijkheden tot verbetering van de GDPR gerelateerde activiteiten. Een managementsysteem zorgt voor beheersing van interne en externe processen aan de hand van monitoring en meting en wordt geborgd door het onderhouden van gedocumenteerde informatie. Met andere woorden: door jouw GDPR implementatie aan de hand van een managementsysteem te ontplooien, kan de organisatie haar conformiteit beter monitoren, meten en auditeren.
Voorbeeld
Een concreet voorbeeld helpt dit beter te begrijpen. GDPR schrijft voor dat een register van verwerkingsactiviteiten moet worden opgesteld. Dit register kan je beschouwen als een soort landkaart waarop alle verwerkingen staan die je met persoonsgegevens uitvoert. Wanneer je een dergelijk register in het kader van een managementsysteem opstelt, zal je naast het register zelf (onder meer) ook nadenken over wie ervoor verantwoordelijk is, hoe de volledigheid wordt gemonitord, welke garanties bestaan om het register bij te werken enzoverder. Iedereen die betrokken is bij het proces is zich ter degen bewust van de verantwoordelijkheden en taken die ze dragen in dit kader. Wanneer de organisatie vaststelt dat er zich problemen stellen met het register, zoals het ontbreken van verwerkingsactiviteiten, zal de huidige werkwijze kritisch worden bekeken en eventueel worden bijgestuurd.
Een managementsysteem biedt dus een kader om zo goed mogelijk alle GDPR verplichtingen te implementeren. Meer nog, je kan het laten beoordelen door een auditor die, op basis van criteria uit normen zoals ISO 27701, vaststelt dat alles conform verloopt. Deze auditor kan zelfs een certificaat uitreiken onder bepaalde voorwaarden.
Juridisch perspectief
Zo’n managementsysteem biedt uiteraard geen garanties vanuit een juridisch perspectief. Het is best mogelijk dat een organisatie dat een goed managementsysteem heeft geïmplementeerd, alsnog een boete oploopt voor non-conformiteiten. Zo kan de inspectiedienst van de Gegevensbeschermingsautoriteit vaststellen dat een verwerkingsactiviteit in het register is ingeschreven, maar in feite disproportioneel is of onwettig. Stel bijvoorbeeld dat jouw bedrijf in het kader van de Covid-19 epidemie een warmtecamera aan de ingang van jouw bedrijf installeert. De camera bewaart geen beelden maar voert enkel een meting uit. Je hebt bij de installatie van de camera rekening gehouden met alle voorwaarden om dit conform GDPR uit te voeren en alle verplichtingen, waaronder een registratie in het register van verwerkingsactiviteiten, een gegevensbeschermingseffectbeoordeling, gegevensbescherming bij ontwerp, … Je hebt volgens jou aan alle wettelijke vereisten voldaan.
De auditor, die in het kader van een jaarlijkse controle langskwam, heeft geen opmerkingen gegeven en jouw implementatie als conform gemarkeerd. De auditor heeft immers geoordeeld dat het managementsysteem werkt. De geschillenkamer van de Gegevensbeschermingsautoriteit heeft echter geoordeeld dat de installatie met warmtecamera niet conform is bij gebrek aan een correcte wettelijke basis. Een goed managementsysteem garandeert dus niet een correcte verwerking van persoonsgegevens. Let wel: het managementsysteem biedt een belangrijke meerwaarde om op een kwalitatieve manier de GDPR principes te implementeren.
Conclusie
Jouw GDPR verplichtingen implementeren en monitoren aan de hand van een management systeem is dus een goed idee, maar niet de oplossing voor alles. Zorg er steeds voor dat je, bijvoorbeeld in het kader van een audit, niet alleen kijkt naar (principes van) het managementsysteem. Een volledige beoordeling kijkt ook de juridische principes na vanuit een deskundig oogpunt. Een echte meerwaarde is met andere woorden een audit die verder kijkt dan het management systeem alleen. De GDPR auditor kent dus best ook iets van GDPR en niet alleen van een managementsysteem.