Print:

Zo hebben privacy audits optimale impact

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Met de komst van de Algemene verordening gegevensbescherming (AVG) staat het thema privacy auditing bij steeds meer organisaties hoog op de prioriteitenlijst. Wat is de beste manier om ermee aan de slag te gaan?

De Algemene verordening gegevensbescherming (AVG) verplicht organisaties om aan te tonen dat ze voldoen aan de wettelijke normen en vereisten voor dataprotectie. “Je best doen om privacy te beschermen, is niet afdoende. Een eventueel datalek met privacygevolgen netjes en tijdig melden, is ook niet afdoende. Organisaties moeten nauwgezet bijhouden en kunnen ophoesten wat en hoe ze hebben gedaan met betrekking tot privacygevoelige gegevens en de diverse vereisten van de AVG”, schreef Jasper Bakker al in de aanloop naar de implementatie van de AVG. Een audit is hierbij een belangrijk hulpmiddel.

Het auditen van privacy is onder de AVG een behoorlijke uitdaging. Hoe zijn de open normen uit de wet te auditen? Welke eisen stelt de privacytoezichthouder aan audits? Hoe verhoudt een audit zich tot een gegevensbeschermingseffectbeoordeling (DPIA)? En hoe creëren auditors, compliance officers en privacy officers draagvlak voor het thema privacy auditing? Simpele antwoorden zijn er niet en privacy auditing staat bekend als grotendeels onontgonnen terrein. Drie inspiratietips om aan de slag te gaan.

Zo hebben privacy audits optimale impact IIR
  1. Audits leveren zekerheid

De komst van de AVG en de groeiende privacy awareness onder burgers, bedrijven en overheden leiden tot een toenemende behoefte aan zekerheid. Burgers maken zich zorgen over de mate waarin hun persoonsgegevens goed beschermd en beveiligd zijn. Veel organisaties worstelen met vragen over de risico’s en impact van datalekken en andere privacy issues. Een audit is bij uitstek geschikt om de gevraagde zekerheid te leveren, vindt Erik Spaans, eigenaar van IS Experts en gespecialiseerd in IT auditing en IT security. De actuele belangstelling voor het thema privacy auditing komt voor hem dan ook niet als een verrassing. Maar Spaans benadrukt dat privacy auditing geen nieuw fenomeen is. “Privacy audits zijn al zo oud als de privacywetgeving. Een privacy audit is niets anders dan een compliance audit waarbinnen de naleving van de privacywetgeving wordt onderzocht.” Spaans adviseert dan ook om slim gebruik te maken van de bestaande inzichten en instrumenten voor een risicogerichte benadering van compliance. Vanuit de informatiebeveiliging is op dat vlak namelijk al veel ervaring.

  1. Audits helpen de concurrentie de baas te blijven

Privacy audits worden nogal eens gezien als een buitengewoon ingewikkeld onderdeel van een omvangrijke compliance-operatie. De dreiging van de forse boetes die toezichthouder Autoriteit Persoonsgegevens (AP) op grond van de AVG kan opleggen maken het onderwerp er niet populairder op. Maar een weldoordachte audit is niet alleen een last. Organisaties die er serieus mee aan de slag gaan, kunnen met behulp van auditing hun compliance naar een hoger niveau tillen – en daarmee kunnen ze zich ook nog eens positief onderscheiden van vele concurrenten, aldus Jasper Bakker.

  1. Audits zijn een onderdeel van een verbetercyclus

Veel organisaties die dataprotectie hoog op de agenda hebben staan, hebben al voorafgaand aan de inwerkingtreding van de AVG – bij wijze van nulmeting – een audit uitgevoerd. De uitkomsten daarvan geven praktische inzichten over het bereikte en gewenste complianceniveau, fungeren als een startpunt voor verbeteracties én leveren de basis voor vervolgmetingen. Een doorlopend auditproces voor dataprotectie helpt dan ook om AVG-compliance te monitoren en evalueren. “Het is cruciaal dat we de focus op privacy vasthouden”, benadrukt Mischa van der Vliet, IT-auditor van AuditConnect en docent bij de driedaagse Masterclass Auditing Privacy van IIR. “Daarvoor is het heel erg belangrijk dat organisaties een ‘plan-do-check-act’-cyclus hanteren. Implementeer niet alleen de maatregelen die in het beleid zijn opgenomen, maar check ook de effectiviteit en act door zo nodig bij te sturen. In de praktijk zie ik helaas geregeld dat er wel een beleid wordt opgesteld, maar dat de verbetercyclus niet is ingericht. Dan zijn alle inspanningen eigenlijk zonde van de tijd.”

Een bonustip: een van de taken en verantwoordelijkheden van een Functionaris voor de Gegevensbescherming (FG) is om DPIA’s en audits uit te (laten) voeren. Organisaties die verplicht zijn om een FG in dienst te nemen, of die ervoor kiezen om zo’n interne toezichthouder vrijwillig aan te stellen, hebben daarmee een goede basis om privacy auditing de aandacht te geven die het onderwerp verdient.

De masterclass Auditing Privacy geeft concrete handvatten voor een adequate aanpak en uitvoering van privacy audits. Kijk voor meer informatie en aanmelding op de website van IIR.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten