Print:

Privacy auditing gaat anno 2021 om meer dan nieuwe normenkaders

Meindert Boon , DPO/Internal Auditor

LinkedIn profiel

De grote uitdagingen van privacy audits hebben niet alleen te maken met veranderende normenkaders. Minstens zo ingewikkeld is de vraag: wat gebeurt er met de uitkomsten? Meindert Boon van Legal2Practice vertelt over de issues en aandachtspunten van privacy auditing.

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) geldt er een nieuw normenkader voor privacy audits en is de interesse voor het instrument gegroeid. “De implementatie van de Europese verordening richtte zich in eerste instantie vaak op het regelen van formele aspecten, zoals de inrichting van verwerkingsregisters. Het belang van periodieke audits – en de daarmee samenhangende toezichtonderzoeken – wordt alsmaar groter om nu het juiste nalevingsniveau vast te houden”, signaleert Meindert Boon, privacy expert, riskmanager en auditor van Legal2Practice, en een van de docenten van de driedaagse masterclass Auditing Privacy van IIR.

“Het lijkt soms alsof er inmiddels minder aandacht is voor de naleving van de AVG. Dat vraagt van Functionarissen voor de Gegevensbescherming (FG’s) en auditors dat ze de audits de juiste snaar raken en na de afronding ervan zo pragmatisch en overtuigend mogelijk adviseren. Waarom is het belangrijk om privacybeschermende maatregelen te nemen? Hoe krijgen we mensen mee in de vereiste aanpassingen? Hoe voorkomen we dat maatregelen voor gegevensbescherming worden ervaren als extra werk?”

ISO versus AVG

Belangrijke recente veranderingen in de wereld van privacy auditing zijn de komst van het nieuwe ISO-kader ISO27701 en de update van het normenkader van NOREA, vertelt Boon. “De kaders van CIP en NOREA geven al goede richtlijnen en ISO27701 is daarmee goed te combineren. Een aandachtspunt is dat de definitie van ‘personal data’ in ISO verschilt van de invulling die de AVG eraan geeft. Met name bij de verwerking van bijzondere persoonsgegevens is het belangrijk om hierop te letten.”

In de masterclass Auditing Privacy komen de diverse normenkaders aan de hand van actuele praktijkvoorbeelden aan bod. Daarmee geeft de training de deelnemers onderbouwde inzichten en praktische handvatten om de AVG aantoonbaar te toetsen. De driedaagse cursus is speciaal ontwikkeld voor professionals met kennis en ervaring op het terrein van auditing en/of gegevensbescherming die verder aan de slag willen met de eisen van de AVG. Bijvoorbeeld FG’s, IT auditors, audit managers, risk managers en compliance managers.

Impact vergroten

De echte uitdagingen voor professionals die betrokken zijn bij privacy auditing zit niet in de normstellingen, vindt Boon. “De grote opgave is om de resultaten van de audit geaccepteerd te krijgen. Hoe krijg ik aandacht voor mijn bevindingen? Hoe zorg ik dat de directie de verbeterpunten onderkent, zodat de organisatie ermee aan de slag gaat?”

“Als auditor moet je goed kunnen luisteren naar de CEO en op basis van een risicoanalyse – en het gesprek daarover – de vervolgstappen vaststellen”, zegt Boon. “Hoe groot is het risico dat niet aan de AVG wordt voldaan? In hoeverre zijn we bereid dat risico te accepteren? Wat betekent dat voor de positie van de organisatie tegenover de toezichthouder? Wat zijn eventuele gevolgen voor de klanten en de reputatie van de organisatie? Door hierover actief in gesprek te gaan en constructief mee te denken, raak je als auditor goed aangehaakt op de directie – en vergroot je je impact.”

Overtuigen

Als register accountant heeft Boon jarenlange ervaring als (internal)auditor en riskmanager bij onder meer audit firms, de NS en ING. Een overtuigende privacy auditor laat het auditrapport voor zichzelf spreken, ziet Boon in de dagelijkse praktijk van de vele organisaties in het onderwijs, de financiële dienstverlening, het facility management en de zorg waar hij sinds de komst van de AVG over de vloer komt. “Je kunt in een auditverslag expliciet fouten signaleren, maar ook praktijken beschrijven waardoor de lezer vanzelf begrijpt dat er iets niet goed geregeld is. Je kunt bijvoorbeeld zeggen: er ontbreken user id’s. Of: tachtig procent van de medewerkers heeft geen user id. Dat vergroot de kans dat de verantwoordelijke manager in actie komt om maatregelen te nemen.”

Het is essentieel om goed te luisteren naar wat er speelt in de organisatie om passende aanbevelingen te kunnen doen, zegt Boon. “Het mooiste is als managers zelf constateren dat er iets niet goed gaat en vervolgens zelf ook verbetermogelijkheden aandragen. Dan kan je die suggesties meenemen in het auditrapport en ontstaat er draagvlak voor de vervolgstappen.”

Van open gesprek naar oordeel

Ga een open gesprek aan met de diverse betrokken operationele managers, adviseert Boon. “Als je de vraag stelt of er autorisatiemaatregelen zijn ingevoerd dan is het antwoord misschien ontkennend. Maar als je doorvraagt naar de manier waarop toegangsrechten worden geregeld voor medewerkers en bezoekers, dan hoor je misschien juist heel veel goede maatregelen. Mensen zijn zich er vaak niet van bewust hoe goed ze gegevensbescherming al hebben geïmplementeerd. Daar komt bij dat vrijwel iedereen datalekken wil voorkomen en daarop actie onderneemt. Luister dus goed naar inzichten vanuit de organisatie, vraag zo nodig door en sta open voor verschillende perspectieven. Pas in de uitwerking van het auditrapport volgt dan het oordeel.”

De masterclass Auditing Privacy geeft concrete handvatten voor een adequate aanpak en uitvoering van privacy audits. Kijk voor meer informatie en aanmelding op de website van IIR.

 

Verder lezen?

Laat uw e-mail achter en ontvang de brochure: Auditing Privacy, direct in uw mailbox.