Print:

Een AVG audit om de organisatie verder te ontwikkelen

Marlon Domingus , Functionaris Gegevensbescherming

LinkedIn profiel

“Het positieve effect van een privacy audit is groter dan ik had vermoed”. Een AVG audit is een mooi instrument voor een lerende organisatie om een goed beeld te vormen van de wijze waarop de implementatie van de (U)AVG heeft plaatsgevonden bij de organisatie. En om na deze feitelijke vaststelling verder te kunnen ontwikkelen, bijvoorbeeld in volwassenheid, zoals aangeduid in een Capability Maturity Model. Marlon Domingus, FG bij de Erasmus Universiteit Rotterdam (EUR), vertelt over het auditen van privacy binnen EUR, genomen stappen, lessons learned en zijn ervaringen met de IIR Masterclass Auditing Privacy, die hij recent gevolgd heeft.

Bij de EUR hebben we zojuist een mooi AVG auditproces achter de rug. Op het PDCA wiel is nu als het ware een vaste motor aangesloten. Zoals wel vaker gaat veel aandacht naar de uitvoering van de audit, maar minstens zo belangrijk, zo niet belangrijker, is het goed bepalen en vastleggen van de scope en aanpak, de wijze van rapporteren en hoe opvolging plaatsvindt en monitoring daarvan. Hoe makkelijk dit gaat, hangt ook een beetje van de sector af, maar vooral van ‘leadership’ en de ‘tone from the top’ en de gezamenlijke route naar verbetering met de verschillende stakeholders. Dan worden de aanbevelingen van het rapport bijvoorbeeld meegenomen in een effectief privacy meerjarenprogramma.

Genomen stappen AVG Audit

De AVG audit vond plaats op verzoek van de FG. De scope van de AVG audit is vastgesteld met de Audit & Review functionaris binnen de afdeling Corporate Planning & Control, beide vanuit een derdelijns functie en voor goedkeuring voorgelegd aan het College van Bestuur (CvB). Het CvB is vervolgens opdrachtgever van de audit en de audit wordt vervolgens uitgevoerd, in ons geval met een externe partij, onder regie van de Audit & Review functionaris binnen de afdeling Corporate Planning & Control. Hierdoor kan ik als FG in de toezichthoudende rol blijven en na oplevering van het rapport mijn aanbevelingen doen op basis van het rapport.

Het CvB maakt al jaren geen geheim van het belang van het waarborgen van privacy vanuit de EUR. Zo is privacy in de recent bijgewerkte Code of Integrity EUR 2021 ook expliciet opgenomen in de ‘guiding principles’ (“trustworthy”, “respectful”, “transparent”, “collaborative”) van ‘being an Erasmian’:

“We are transparent”
Transparency is about openness, visibility and accessibility in terms of action, behaviours and results. Transparency means clearly showing where we stand, where we are headed and how we deal with dilemmas that we might face. This will also hold us accountable for our actions, results, and behaviour in front of ourselves and others. Given our trustworthiness we trust others to deal with shared information in a responsible manner. We also respect each other’s privacy and don’t share (personal) information if unnecessary.”

Privacy en security als standaard referentiekader

Ook in verschillende relevante beleidsterreinen worden privacy en security als standaard referentiekaders opgenomen, zoals bijvoorbeeld in het EUR inkoopbeleid.

Het succes van de AVG audit en de opvolging daarvan, hangt van veel dingen af. We hadden een heel goede externe partij die de audit uitvoerde en samen met ons de aanpak invulde. Dat was op zichzelf ook een leerzaam traject. Welke referentie gebruiken we, hoe meten we, welke methodieken, welke partijen worden op welke wijze wanneer betrokken.

CIPL Accountability Framework

De mensen die mij wat beter kennen weten dat ik graag vanuit het CIPL Accountability Framework werk. Aan dit framework, in een publicatie (“What Good and Effective Data Privacy Accountability Looks Like: Mapping Organizations’ Practices to the CIPL Accountability Framework”) van het Centre for Information Policy Leadership (CIPL) at Hunton Andrews Kurth LLP, heb ik ook een bijdrage mogen leveren. Met dit framework kun je snel strategische aandachtspunten inzichtelijk maken en voorkom je de valkuil om alleen maar heel operationeel over alleen de verplichtingen vanuit de AVG te praten (de registers en rechten van betrokkenen etc.). Dit CIPL Accountability Framework is overigens ook de achtergrond voor AVG artikel 5.2., het accountability principe. Ook de Autoriteit Persoonsgegevens (AP) gebruikte dit CIPL Accountability Framework in de gesprekken met de sectoren, mede ten behoeve van het sectorbeeld dat de AP onlangs publiceerde.

De externe partij die de AVG audit uitvoerde heeft dit CIPL Accountability Framework als uitgangspunt gebruikt en daar volwassenheidsniveaus aan gekoppeld. Hierbij ook leunend op de praktijk van het privacyvolwassenheidsmodel van het Centrum voor Informatiebeveiliging en Privacy (CIP) en het SURFaudit toetsingskader privacy. Eén van de lastige punten voor een audit is namelijk, wat de standaard is waartegen wordt geaudit. Die is namelijk niet beschikbaar als algemeen geaccepteerde standaard en zeker niet als het gaat om het verdisconteren van sectorspecifieke bijzonderheden.

Masterclass Auditing Privacy: praktisch en concreet

Voor mij was het dan ook zeer leerzaam om de IIR masterclass Auditing Privacy te hebben gevolgd, in de fase dat de audit was uitgevoerd, het rapport werd opgesteld en besproken met de circa 20 stakeholders. De zeer kundige docenten, met een ruime ervaring in verschillende soorten van audits, behandelden in een rijk programma met veel literatuur alle aspecten van een audit. Maar ook de valkuilen en de lessons learned: praktisch en concreet.

Ik kon in de masterclass dan ook mijn voordeel doen met de tips en tricks voor de fase na de oplevering van het rapport: de opvolging van de aanbevelingen. Hoe krijgt dit structureel vorm, hoe borgen we dit organisatorisch, bijvoorbeeld door de inrichting van een Risk & Compliance Committee, en hoe borgen we dit in de governance van de EUR? Om maar enkele invalshoeken te noemen. Een van de effecten van de AVG audit was ook het actualiseren van de zogenaamde Audit Charter, waarin taken en bevoegdheden aangaande audits zijn beschreven – nu zijn ook de taken en bevoegdheden van de FG en de CISO goed beschreven.

Delen van aanpak en reflecteren op je rol

Ik kan de inzet van zowel een AVG audit als ook de Auditing Privacy masterclass aanbevelen. En vooral: het delen van de gekozen aanpak met collega’s en bijvoorbeeld reflecteren op je FG rol tijdens een audit.

Het positieve effect van een audit binnen onze instelling is groter dan ik had vermoed. Eén van de resultaten is namelijk ook dat met verschillende belanghebbenden een proces is doorlopen dat is gericht op leren en verbetering van kwaliteit. De vruchten daarvan worden niet alleen in de domeinen privacy en security geplukt.

Zelf met privacy audits aan de slag of bent u al met het toetsen van privacy bezig? Kom dan naar de masterclass Auditing Privacy | 3-daagse masterclass | IIR Amsterdam. Ervaren docenten en ervaringsdeskundigen nemen u mee langs het uitvoeren, opvolging en monitoring van audits en beheersmaatregelen. U krijgt praktische, direct toepasbare kennis voor uw werkomgeving.

Verder lezen?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.