Privacy Audit Proof: Juist nu!
16 januari, 2025
Als je privacy serieus neemt dan kun je niet om dit keurmerk heen
Auteur: Henk Hendriks, Kennisgroep Privacy
Actueler dan ooit
Op 20 mei 2024 zeggen hackers de gegevens van 560 miljoen klanten in handen te hebben van een ticket verkoopsite. En op 9 oktober kopt de Autoriteit Persoonsgegevens ‘AP signaleert nog altijd privacyrisico’s bij de overheid’. Zomaar twee recente publicaties die duidelijk maken dat er grote risico’s bestaan rond het beheer en gebruik van persoonsgegevens. Niet alleen een veilige opslag maar ook bewust gebruik van deze gegevens staan onder druk.
Organisaties moeten zich hier bewust van zijn en ze moeten hier ook naar handelen voor wat betreft aantoonbare privacy-beheersing. Eén van de mogelijkheden hiertoe is het laten uitvoeren van een privacy-audit. Het uitvoeren van een privacy-audit is bij uitstek het domein van IT-auditors vanwege hun kennis over beheersing van IT-systemen en de hiermee uitgevoerde gegevensverwerking. Het Privacy Audit Proof-keurmerk is door de werkgroep Privacy binnen de NOREA ontwikkeld voor organisaties die willen laten zien dat zij voldoen aan vereisten ten aanzien van beheersing van gegevensverwerking, zoals vastgelegd in de Algemene Verordening Gegevensverwerking (AVG). De vereisten komen met name voort uit de rechten van personen over wie gegevens zijn opgeslagen en de eisen gesteld aan de organisaties die persoonsgegevens verwerken.
Wat is Privacy Audit Proof?
NOREA geeft met Privacy Audit Proof organisaties de mogelijkheid om een keurmerk te verwerven voor individuele of meerdere verwerkingsactiviteiten van persoonsgegevens of voor een gehele organisatie. Zowel verwerkingsverantwoordelijken als verwerkers kunnen het Privacy Audit Proof-keurmerk verwerven.
Dit keurmerk, in de vorm van een logo, wordt door NOREA verstrekt op basis van een “ISAE3000” of “SOC2” privacy assurance-rapport met een goedkeurende verklaring. De NOREA Kennisgroep Privacy heeft voorwaarden opgesteld waarin de richtlijnen staan voor het uitvoeren van privacy assurance-opdrachten en het verkrijgen van het Privacy Audit Proof-keurmerk. Een van die voorwaarden is het gebruik van het NOREA Privacy Control Framework (PCF) als set van criteria, in het geval van het gebruik van de ISAE3000, of het gebruik van de criteria uitgewerkt in de privacy-paragraaf van een SOC2-assurance-rapport.
Na het overleggen van een goedkeurend assurance-rapport en het geven van relevante informatie, geeft NOREA toestemming aan de organisatie om dit keurmerk een jaar lang te gebruiken. Na een jaar kan de organisatie ervoor kiezen om te verlengen door een aanvraag voorzien van een nieuwe goedkeurende verklaring te overleggen.
Het belang voor gegevensverwerkende organisaties
Hoewel de AVG al sinds mei 2018 van kracht is, blijft het voor organisaties een enorme uitdaging om eraan te voldoen. De privacywetgeving heeft er niet alleen voor gezorgd dat organisaties hun nalevingsniveau moeten aantonen, maar heeft ook de interesse van individuen vergroot in hoe hun persoonsgegevens door organisaties worden verwerkt.
Grote uitdagingen die organisaties ervaren zijn: het bijhouden van een verwerkingsregister; het vormen van een privacy-organisatie en het uitvoeren van Data Privacy Impact Assessments (DPIA’s). Privacy audits kunnen bijvoorbeeld helpen bij het scherpstellen van domein- en verantwoordelijkheidsverdelingen. De ervaring leert dat deze lang niet altijd even duidelijk zijn. De beschrijving waarover assurance wordt gegeven en het onderzoek van de auditor vraagt om duidelijkheid waarmee benodigde scherpte in voorkomende gevallen alsnog wordt gerealiseerd. IT-auditors kunnen daarbij op basis van hun kennis over beheersing van gegevensverwerking, gegevensverwerkingsorganisaties en risk assessments helpen uitdagingen op te lossen.
Voor organisaties is het verkrijgen van het Privacy Audit Proof-keurmerk een manier om zowel aan toezichthouders als het maatschappelijk verkeer te laten zien dat ze privacy serieus nemen en aan belangrijke onderdelen van de AVG voldoen. Het Keurmerk Privacy Audit Proof is bedoeld als een visuele weergave van een privacy-assurance verklaring en toont daarmee dat door een IT-auditor met redelijke mate van zekerheid is vastgesteld dat aan SOC2-privacy criteria of het PCF wordt voldaan.
Het Privacy Audit Proof-keurmerk kan helpen bij het vergroten van het vertrouwen in een organisatie.
Dit geldt zowel voor de personen waarover gegevens worden opgeslagen als bijvoorbeeld voor toezichthouders.
Het willen behalen van het Privacy Audit Proof-keurmerk kan daarbij het bewustzijn van benodigde naleving van privacywetgeving bij medewerkers verhogen.
Hans Liekens, directeur NatuurNetwerk:
NatuurNetwerk levert een handhavingssysteem dat is opgesplitst in toezicht (=AVG) en opsporing (=Wet politiegegevens). In dit specifieke geval is de verwerkingsverantwoordelijk werkgever van de toezichthouder of boa extra gebaat bij het juist labelen en scheiden van deze twee gegevensverwerkingen. Immers zijn de bevoegdheden en vorm van gegevensverwerking op grote delen van de verwerking verschillend en de kwaliteit van die gegevensverwerking bepalend of het gebruik van de handhavingsgegevens (toezicht of opsporing) in geval van vervolging bij de rechter overeind blijft. Geen wonder dat de gebruikersgroepen van het Toezicht Registratie Systeem (TRS)- en Boa Registratie Systeem (BRS) erg veel waarde hechten aan de kwaliteit van de verwerkingen.
TRS en BRS beschikken dan ook al sinds 2018 over een jaarlijks Privacy Audit Proof-certificaat en Wpg assurance-rapport, wat de verwerkingsverantwoordelijke in belangrijke mate ontlast in haar verplichting om aantoonbaar handhavingsgegevens conform de AVG en Wpg-norm te verwerken. Alle gebruikersgroepen van TRS en BRS zijn hier niet alleen erg blij mee, maar maken hier ook volop gebruik van.
Douwe Kuurstra, Hoofd interne auditdienst CBS
Het CBS wil aantoonbaar een excellente organisatie zijn op het terrein van privacy. Daarbij helpt het Privacy Audit Proof-keurmerk ons. Daarnaast wordt het CBS door de jaarlijkse audit scherp gehouden én zien we waar het nog beter kan.
Het belang voor IT-auditors
Het Privacy Audit Proof-keurmerk stelt IT-auditors binnen grote en kleine auditorganisaties in staat aan hun klanten een privacy-keurmerk te bieden. Bij het tot stand komen van het keurmerk is door de Werkgroep Privacy zoveel mogelijk aansluiting gezocht bij internationaal aan NOREA vergelijkbare brancheorganisaties. Ter ondersteuning van de werkzaamheden van de IT-auditor zijn op de NOREA-website een beoordelingskader, achtergrondinformatie, gebruiksvoorwaarden en templates opgenomen.
Aanpassingen Privacy Control Framework
Op dit moment wordt er door de Kennisgroep Privacy gewerkt aan het vernieuwen van het PCF. Het nieuwe PCF wordt eind van dit jaar verwacht. De aanpassingen in het PCF zijn gericht op actualisering en het waar mogelijk compacter maken van het framework.
In het vernieuwde PCF wordt onder andere (nader) ingegaan op benodigde beheersing bij toepassing van cloud computing, AI en privacy by design.
De actualiteit, het belang voor gegevensverwerkende organisaties en IT-auditors en de aanpassingen in het PCF maken dat je niet om Privacy Audit Proof-keurmerk heen kunt en dit het moment is om het te gaan toepassen!
drs. Henk Hendriks RE CISA
Henk is van huis uit IT-auditor en momenteel werkzaam in de tweede lijn bij een verzekeraar. Een van de aandachtsgebieden bij zijn werkzaamheden is ‘third party risk management’, o.a. gebaseerd op verkregen externe assurance. Als lid van de Kennisgroep Privacy van NOREA zet Henk zijn kennis, opgedaan in 25 jaar relevante werkervaring, in om privacy-beheersing en het geven van assurance hierover (verder) mogelijk te maken.
