Print:

Privacy Audit: onontgonnen gebied?

Erik Spaans , RE, CISA

LinkedIn profiel

Het onderwerp Privacy Audits staat erg in de belangstelling en wordt momenteel vaak gezien als onontgonnen gebied. Deze toenemende belangstelling voor dit onderwerp heeft een aantal oorzaken, waarvan mijns inziens de meest belangrijke zijn:

  • De ontwikkeling van de Baseline Informatiebeveiliging Rijksoverheid en de Baseline Informatiebeveiliging Gemeenten (BIG), waarin privacy een nadrukkelijk aandachtpunt is.
  • De komst van de nieuwe Europese Privacy Verordening.
  • Het enorme aantal recente inbraken in met name clouddiensten,
    waarbij veel gevoelige data is buitgemaakt en/of op straat terecht is gekomen.

 

Vragen van consument, bedrijven en overheden

Deze zaken leiden tot een toenemende behoefte aan zekerheid. Bij consumenten en burgers speelt de vraag hoe veilig hun gevoelige gegevens zijn bij de overheid en bij de bedrijven waar ze zaken mee doe of diensten van afnemen.

Bij bedrijven speelt verder de vraag wat de impact is van diefstal of ongeoorloofde openbaarmaking van privacygevoelige gegevens in termen van financiële en of reputatieschade en in hoeverre er sprake is van aansprakelijkheid. Hierbij wordt vanzelfsprekend met een zeer grote interesse gekeken naar de nieuwe Europese Privacy Verordening en de wijzigingen die deze met zich meebrengt.

Voor de overheid tenslotte geldt van oudsher dat deze honderd procent betrouwbaar moet zijn. Schandalen op het gebied van informatiebeveiliging schaden het vertrouwen in de overheid en moeten dus met alle middelen voorkomen worden. De ontwikkeling van de BIR en de BIG zijn voorbeelden van maatregelen die hiervoor worden getroffen. Ook voor de overheid geldt daarnaast dat de nieuwe Europese Privacy Verordening een grote invloed heeft.

What’s new in de Privacy audit?

Aangezien een audit bij uitstek geschikt is om de gevraagde zekerheid te leveren is de belangstelling voor Privacy Audits gemakkelijk te verklaren.  Is daarmee het fenomeen Privacy Audit onontgonnen gebied? Nee, privacy audits zijn al zo oud als de privacywetgeving. Een privacy audit is niets anders dan een compliance audit waarbinnen de naleving van de privacywetgeving wordt onderzocht.

Wat is er dan wel nieuw? In maart vorig jaar zijn door het College Bescherming Persoonsgegevens de Richtsnoeren beveiliging persoonsgegevens uitgevaardigd. Deze vervangen de in 2001 uitgebrachte Achtergrondstudies en Verkenningen nummer 23 (AV23). De nieuwe richtsnoeren gaan uit van een risicogerichte benadering waarbij op basis van een risicoanalyse gericht beveiligingsmaatregelen worden genomen.

Dit in tegenstelling tot de AV23 waarbinnen maatregelen werden voorgeschreven op basis van een classificatie, die weer werd bepaald door de aard van de verwerkte persoonsgegevens en de complexiteit van de verwerking. Deze nieuwe methodiek ligt veel meer in lijn met de huidige praktijk van informatiebeveiliging, waarbinnen verantwoordelijken de flexibiliteit wordt geboden om passende maatregelen te treffen.

Europese Privacy Verordening

Van de nieuwe Europese Privacy Verordening is nog niet duidelijk wanneer hij van kracht wordt. Wel bevat deze twee punten die raakvlakken hebben met audit:

  • De verplichting tot uitvoeren risico analyses bij het verwerken van persoonsgegevens
  • Mogelijkheid voor organisaties tot verkrijgen van Compliance Certificaat op basis van een uitgevoerde audit.

Er is dus geen sprake van een echt onontgonnen gebied, maar wel van een continue vernieuwing op het gebied van Privacy Audits. Dat maakt dit onderwerp zo interessant.

Erik Spaans

Erik Spaans (RE CISA) heeft brede ervaring op het gebied van IT audit om diverse rollen bij verschillende organisaties. Sinds 2014 is hij werkzaam als partner bij Control Solutions International. Erik is tevens docent bij IIR voor de Examenvoorbereiding CISA.