Privacy audit
Waarom een privacy audit
Privacy en de bescherming van persoonsgegevens zijn onderwerpen die relevanter zijn dan ooit. Snelle ontwikkelingen in technologie zoals big data, internet of things en robotisering zorgen voor een enorme groei van data. Hiermee neemt ook de omvang van beschikbare persoonsgegevens die een onderneming steeds eenvoudiger kan verkrijgen, raadplegen, analyseren en combineren toe. De groeiende aandacht voor datalekken, fraude en de Europese Algemene Verordening Gegevensbescherming (AVG), vraagt van organisaties dat zij zorgvuldig met persoonsgegevens omgaan. Goed huisvaderschap is het uitgangspunt. Daarnaast zijn de boetes voor het niet zorgvuldig omgaan met persoonsgegevens hoog. De Autoriteit Persoonsgegevens kan tot 20 miljoen euro of 4% van de wereldwijde jaaromzet aan boetes opleggen.
Met de invoering van de AVG heeft de beroepsvereniging van IT-auditors NOREA het Privacy Control Framework (PCF) uitgebracht. Het PCF is ontwikkeld voor geregistreerde IT-auditors (Register IT-auditors, RE’s) om hen te ondersteunen bij het doen van onderzoek naar de compliancy inzake de AVG. Het oordeel van de privacy-auditor is gebaseerd op Richtlijn 3000 ‘Assurance-opdrachten door IT-auditors’. De uitkomst van een privacy audit geeft het management van een organisatie een hoge mate van zekerheid hoe het met de bescherming van de persoonsgegevens in de organisatie is gesteld.
Wilt u dat bedrijf zijn dat kan aantonen dat ze Privacy hoog in het vaandel heeft staan? Wilt u verifiëren of u voldoet aan de laatste wetgeving? Voldoen uw leveranciers aan de wet? Wilt u controleren of de gegevens binnen en van uw organisatie veilig zijn opgeborgen? Het uitvoeren van een Privacy Audit of een Privacy Impact Assessment is daarvoor het beste instrument.
Aanpak
Bij de IT-audit company zijn we altijd op de hoogte van de laatste ontwikkelingen op het gebied van privacy. Wij kunnen u onder meer helpen met:
- Inzicht in uw privacy-risico's: door een AVG-nulmeting of volwassenheidsmeting of een Data Protection Impact Assessment (DPIA);
- Beheersing van uw privacy-risico's: advies over privacy beheersmaatregelen, het opstellen van een privacy-risico control raamwerk en/of de integratie van privacy controls in uw bedrijfsprocessen;
- Zekerheid over privacy: privacy audits en privacy assurance (SOC2, ISAE3000, 'privacy audit proof').
Privacy-Audit-Proof
Op basis van een positief oordeel van een privacy-auditor, bestemd voor het maatschappelijk verkeer, kan aan de 'verwerkingsverantwoordelijke organisatie' toestemming worden verleend het keurmerk (logo) 'Privacy-Audit-Proof' te gebruiken. Dit oordeel is gebaseerd op het NOREA Privacy Control Framework (PCF) en Richtlijn 3000 (Assurance-opdrachten door IT-auditors). Doel van deze richtlijn is grondslagen vast te stellen en aanwijzingen te geven voor de uitvoering van assurance-opdrachten. Ter voorkoming van misinterpretatie is het gebruik van het 'Privacy-Audit-Proof' keurmerk (logo) alleen bedoeld voor assurance-opdrachten met een redelijke mate van zekerheid, zonder beperkingen in het oordeel.
Privacy Control Framework
Met de invoering van de AVG heeft de beroepsvereniging van IT-auditors NOREA het Privacy Control Framework (PCF) uitgebracht. Het PCF is ontwikkeld voor geregistreerde IT-auditors (Register IT-auditors, RE’s) om hen te ondersteunen bij het doen van onderzoek naar de compliancy inzake de AVG. Het oordeel van de privacy-auditor is gebaseerd op Richtlijn 3000 ‘Assurance-opdrachten door IT-auditors’.
De uitkomst van een privacy audit geeft het management van een organisatie een hoge mate van zekerheid hoe het met de bescherming van de persoonsgegevens in de organisatie is gesteld.
Op basis van een positief oordeel, bestemd voor het maatschappelijk verkeer, kan de verantwoordelijke organisatie – onder voorwaarden – toestemming worden verleend het logo of keurmerk ‘Privacy Audit Proof’ te mogen gebruiken. Een belangrijke voorwaarde voor verstrekking van het Keurmerk is dat het oordeel ‘met redelijke mate van zekerheid en zonder beperking’ dient te zijn.
Voordelen privacy audit
Met behulp van de uitkomsten van de privacy-audit kunt u verbeteringen aanbrengen en daarmee zorgen dat uw organisatie persoonsgegevens binnen de kaders van de wet verwerkt. U kunt aan uw klanten laten zien dat de persoonsgegevens die betrokkenen, klanten of opdrachtgevers met u delen of aan u verstrekken, bij u in goede handen zijn. Voldoen aan de wet is een voorwaarde bij aanbestedingen. Een goede bescherming van persoonsgegevens is in veel gevallen een belangrijk criterium bij de gunning van opdrachten. Met een privacy-audit heeft u een voorsprong ten opzichte van partijen die dit niet kunnen aantonen. Indien er dan toch iets mis gaat in uw organisatie kunt u aantonen dat u alle mogelijkheden heeft gebruikt om grip te hebben op de verwerking van persoonsgegevens. In voorkomend geval kunt u aan de toezichthouders (o.a. de Autoriteit Persoonsgegevens) aantonen dat uw organisatie er alles aan gedaan heeft om inbreuken op de bescherming van persoonsgegevens te voorkomen.
Meer informatie over privacy audits?
Voor meer informatie over privacy audits of over de dienstverlening van de IT-audit Company kunt u contact opnemen met Mischa van der Vliet, via telefoonnummer 06-25057951 of via de mail.