Privacy audit

Wat is een privacy audit?

AVG-certificaat na een succesvolle privacy audit Een privacy audit is een uitgebreid onderzoek naar de technische en organisatorische maatregelen die ervoor zorgen dat computersystemen en gegevensbestanden waarin persoonsgegevens worden verwerkt voldoende beschermd zijn tegen misbruik door onbevoegden. Ook wordt in een audit vaak gecontroleerd of de rechten van personen (bijv. inzagerecht of recht van verwijdering) voldoende geborgd zijn. Het resultaat is een rapportage van bevindingen, aangevuld met verbeteringsvoorstellen.
Breder geformuleerd: in een privacy audit wordt gecontroleerd of een organisatie aan de eisen uit de AVG voldoet. De AVG dient immers als uitgangspunt bij de beoordeling of de organisatie privacy compliant is.
Een privacy audit is geen informatiebeveiligingsaudit, maar er zijn natuurlijk raakvlakken.

Privacy audit versus AVG-certificaat

Een privacy audit is een onderzoek dat door al dan niet gecertificeerde auditors wordt uitgevoerd. Een AVG-certificaat zoals bedoeld in artikel 42 van de AVG kan alleen worden verkregen als de privacy audit positief uitvalt én als deze is uitgevoerd door een certificerende instantie. Een AVG-certificaat heeft daarmee meer waarde dan een succesvol verlopen 'gewone' privacy-audit.

Doel van een privacy audit

Het is in de regel niet verplicht om een privacy audit te laten uitvoeren. Dit is anders wanneer er een wettelijke of contractuele verplichting bestaat, bijvoorbeeld omdat in een verwerkersovereenkomst een periodieke privacy audit is afgesproken. Maar er kunnen ook andere redenen zijn voor een privacy audit, bijvoorbeeld:
  • Interne behoefte om te controleren of de organisatie de AVG juist toepast (borging). Dat kan voortkomen uit de in de AVG opgenomen verantwoordingsplicht: de plicht om de AVG na te leven én om te kunnen aantonen dat je als organisatie aan de AVG voldoet.
  • Aantonen van privacy compliance aan stakeholders, inclusief het PR-aspect van bijvoorbeeld vermelding op de website.
  • Reputatieherstel of controle op naleving AVG na een privacy-incident.

Inhoud privacy audit

Een audit kan eenvoudig en snel verlopen of langdurig en diepgaand zijn. Dit is afhankelijk van factoren als type en grootte van de organisatie, complexiteit van de processen binnen die organisatie, hoeveelheid en soort van de verwerkte persoonsgegevens enz.
De onderzoeksmethoden of gebruikte privacy frameworks verschillen per auditor.
Onderwerpen die zeer waarschijnlijk aan bod zullen komen tijdens de audit: Checklist bij privacy audit
  • Procedures omtrent het verzamelen, gebruiken, opslaan, beschermen en vernietigen van persoonsgegevens. Speciale aandacht voor toestemming voor het verwerken.
  • Versleutelde opslag, dataminimalisatie en dataretentiebeleid.
  • Beveiliging van computers en netwerk: Vulnerability Management.
  • Verwerkingsregister.
  • Doorgifte persoonsgegevens, verwerkersovereenkomsten.
  • Procedure datalekken.
  • Bewustwording en training medewerkers.
  • Privacybeleid, privacyverklaring, klachtenafhandeling, rechten van betrokkenen. Aanwezigheid Functionaris Gegevensbescherming.
  • Risicomanagement, privacy impact assessment (PIA) of data protection impact assessments (DPIA).
  • Verbeterplan.

Een auditor kan extra opties toevoegen, soms tegen meerprijs. Bijvoorbeeld:
  • Inzetten van een ethisch hacker die ongewenste toegang tot de ict-systemen test.
  • Simulatie inzage door de Autoriteit Persoonsgegevens.
  • Simulatie datalekmelding.
  • Controle van de afhandeling van inzageverzoeken.
Als er verbeteringspunten zijn, ligt het voor de hand om de doorvoering hiervan te controleren. Die eindcontrole zal een verplichting zijn als er een complianceverklaring of certificaat moet worden afgegeven.

Auditor

Bij een audit van een kleine organisatie zal de 'auditor' één persoon zijn, bij grotere organisaties wordt vaak een uitgebreider team ingezet, waar nodig met kennis vanuit verschillende disciplines. Een ziekenhuis bijvoorbeeld verwerkt bijzondere persoonsgegevens, in grote aantallen en verspreid over verschillende afdelingen. Er is specialistische IT-kennis nodig om daarvan alle technische en organisatorische aspecten te beoordelen.

Privacyscan en privacycheck

Een privacyscan (ook privacycheck genoemd) is een ander beestje dan de privacy audit. Het is een relatief oppervlakkige controle van de naleving van privacyregelgeving binnen een organisatie. Vaak wordt een privacyscan aangeboden als een gratis of goedkope eerste inventarisatie, als onderdeel van de kennismaking met een aanbieder van privacydiensten. Voor een initiële scan of check wordt ook wel de term nulmeting gehanteerd.

Gerelateerde onderwerpen