Print:

Aantoonbaarheid auditen: een gloednieuwe uitdaging onder de Privacy verordening (AVG)

Jean Paul van Schoonhoven , Directeur

LinkedIn profiel

Tsja, daar zit je dan. Ben je na 15 jaar Wet bescherming persoonsgegevens net een beetje vertrouwd geraakt met het uitvoeren van privacy audits, wordt die wet afgeschaft. Met ingang van 25 mei 2018 moeten organisaties die persoonsgegevens verwerken (en welke organisatie doet dat tegenwoordig niet?) aantoonbaar voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Ik citeer artikel 24 AVG:

Lid 1:
Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

Lid 2:
Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.

Mooi. Veel privacy audits zijn gericht op het controleren van opzet en bestaan van formele privacy verplichtingen. Zoals: is een verwerking meldplichtig en is de verwerking daadwerkelijk gemeld bij de Autoriteit Persoonsgegevens? Is er een gedragscode en houdt de organisatie zich daaraan? Is er een loket waar een betrokkene zijn rechten kan uitoefenen?

De impact van de AVG op uw audit(s)

De AVG verandert het privacy en het data landschap. Organisaties moeten met veel meer formele verplichtingen rekening houden. Daarnaast moet een organisatie ook onderbouwde keuzes maken waarin rekening wordt gehouden met ‘aard, omvang, context, doel, waarschijnlijkheid, ernst, in verhouding en passend’. Open en vage normen dus. Ook zal een organisatie een extra last kunnen voelen als het tot reproduceerbare documentatie wil komen. Documentatie die noodzakelijk is om te kunnen aantonen dat privacybescherming inderdaad zo goed is geregeld als waarmee soms hard op de borst wordt geklopt. Een organisatie heeft bovendien rekening te houden met de nieuwe verplichting om te komen tot een ‘register van verwerkingsactiviteiten’ en om ‘gegevensbeschermingseffectbeoordelingen’ op gevoelige verwerkingen uit te voeren. Prachtige nieuwe verplichtingen die heel fijn auditeerbaar zouden kunnen zijn. Tot slot is de risicogebaseerde benadering die organisaties moeten kiezen bij de implementatie van de AVG ook een mooie nieuwe verplichting. Die benadering leidt namelijk tot risicobeheersingsraamwerken die nodig zijn om te kunnen komen tot een heldere privacy én data governance. Niet langer meer forumshoppen bij het uitvoeren van een privacy audit. Heldere en kenbare rollen en eigenaren van data! Dat stemt een auditor tevreden.

Oplossingen voor open normen en auditdilemma’s

De masterclass Auditing Privacy gaat verder dan de basis van auditing. Immers, als auditor is dat je kerncompetentie. De uitdaging in de praktijk bij het uitvoeren van een privacy audit is het vinden en bepalen van de normen- en afwegingskaders waar een organisatie rekening mee moet houden bij het invullen van de open en vage normen op grond van de Wbp én de AVG. Hoe beoordeel je of de visie van een organisatie of een onderbouwing adequaat en passend is, als dat normenkader niet vindbaar of niet eenduidig is bij het toetsen van een open norm? De cursus Auditing Privacy wordt dan ook verzorgd door ervaren docenten die de privacy theorie al jarenlang in de praktijk toepassen.

Tijdig auditen van AVG-compliance

En waarom nu beginnen? Ik geef u twee redenen: ten eerste zullen veel organisaties eerst een nulmeting ten aanzien van de AVG en aanverwante regelgeving willen laten uitvoeren door middel van een audit. Ten tweede zullen organisaties die op 25 mei 2018 aantoonbaar willen voldoen aan de AVG, tegen het einde van 2017 audits willen laten uitvoeren om te laten onderzoeken of de implementatie van de AVG inderdaad adequaat is verlopen dan wel welke tekortkomingen in de maanden tot mei 2018 nog zouden moeten worden opgelost.

Jean Paul van Schoonhoven | IIRJean Paul van Schoonhoven
Jean Paul is is opgeleid als jurist en bedrijfseconoom en is directeur van adviesbureau Legal2Practice. Daarnaast is Jean Paul werkzaam bij IIR als trainer voor o.a. de masterclass Auditing Privacy en Privacy Officer 2.0