Privacy audit
Wat is een privacy audit?
Een privacy audit is een uitgebreid onderzoek naar de technische en organisatorische maatregelen die ervoor zorgen dat computersystemen en gegevensbestanden waarin persoonsgegevens worden verwerkt voldoende beschermd zijn tegen misbruik door onbevoegden. Ook wordt in een audit vaak gecontroleerd of de rechten van personen (bijv. inzagerecht of recht van verwijdering) voldoende geborgd zijn. Het resultaat is een rapportage van bevindingen, aangevuld met verbeteringsvoorstellen.Breder geformuleerd: in een privacy audit wordt gecontroleerd of een organisatie aan de eisen uit de AVG voldoet. De AVG dient immers als uitgangspunt bij de beoordeling of de organisatie privacy compliant is.
Een privacy audit is geen informatiebeveiligingsaudit, maar er zijn natuurlijk raakvlakken.
Privacy audit versus AVG-certificaat
Een privacy audit is een onderzoek dat door al dan niet gecertificeerde auditors wordt uitgevoerd. Een AVG-certificaat zoals bedoeld in artikel 42 van de AVG kan alleen worden verkregen als de privacy audit positief uitvalt én als deze is uitgevoerd door een certificerende instantie. Een AVG-certificaat heeft daarmee meer waarde dan een succesvol verlopen 'gewone' privacy-audit.Doel van een privacy audit
Het is in de regel niet verplicht om een privacy audit te laten uitvoeren. Dit is anders wanneer er een wettelijke of contractuele verplichting bestaat, bijvoorbeeld omdat in een verwerkersovereenkomst een periodieke privacy audit is afgesproken. Maar er kunnen ook andere redenen zijn voor een privacy audit, bijvoorbeeld:- Interne behoefte om te controleren of de organisatie de AVG juist toepast (borging). Dat kan voortkomen uit de in de AVG opgenomen verantwoordingsplicht: de plicht om de AVG na te leven én om te kunnen aantonen dat je als organisatie aan de AVG voldoet.
- Aantonen van privacy compliance aan stakeholders, inclusief het PR-aspect van bijvoorbeeld vermelding op de website.
- Reputatieherstel of controle op naleving AVG na een privacy-incident.
Inhoud privacy audit
Een audit kan eenvoudig en snel verlopen of langdurig en diepgaand zijn. Dit is afhankelijk van factoren als type en grootte van de organisatie, complexiteit van de processen binnen die organisatie, hoeveelheid en soort van de verwerkte persoonsgegevens enz.De onderzoeksmethoden of gebruikte privacy frameworks verschillen per auditor.
Onderwerpen die zeer waarschijnlijk aan bod zullen komen tijdens de audit:
- Procedures omtrent het verzamelen, gebruiken, opslaan, beschermen en vernietigen van persoonsgegevens. Speciale aandacht voor toestemming voor het verwerken.
- Versleutelde opslag, dataminimalisatie en dataretentiebeleid.
- Beveiliging van computers en netwerk: Vulnerability Management.
- Verwerkingsregister.
- Doorgifte persoonsgegevens, verwerkersovereenkomsten.
- Procedure datalekken.
- Bewustwording en training medewerkers.
- Privacybeleid, privacyverklaring, klachtenafhandeling, rechten van betrokkenen. Aanwezigheid Functionaris Gegevensbescherming.
- Risicomanagement, privacy impact assessment (PIA) of data protection impact assessments (DPIA).
- Verbeterplan.
Een auditor kan extra opties toevoegen, soms tegen meerprijs. Bijvoorbeeld:
- Inzetten van een ethisch hacker die ongewenste toegang tot de ict-systemen test.
- Simulatie inzage door de Autoriteit Persoonsgegevens.
- Simulatie datalekmelding.
- Controle van de afhandeling van inzageverzoeken.