28 januari is de dag van de Privacy, een dag om stil te staan bij het belang van privacy midden in een ongekende crisis die privacy juist onder druk zet. Corona dwong ons tot thuiswerken en het opgeven van vele vrijheden. Daarbij raakte het onderwerp vaak de privacy van burgers. Want mag je als organisatie de gezondheid van je medewerkers weten? En de overheid, mag die dat wel omdat het in het algemeen belang is van bijvoorbeeld de CoronaMelder-app? Wat als het misgaat met persoonsgegevens zoals bijvoorbeeld bij de uit de hand gelopen toeslagenaffaire of de fraude met GGD-gegevens?
Te midden van deze discussie presenteert NOREA, de beroepsorganisatie van IT-auditors, vernieuwde uitgangspunten voor het Privacy Audit Proof-logo. Hiermee kan tegemoet worden gekomen aan de zorgen van burgers, consumenten of patiënten (de ‘betrokkenen’ in termen van de privacywetgeving) dat hun persoonsgegevens zorgvuldig worden beheerd en verwerkt. Met dit logo kunnen verantwoordelijken voor de verwerking van persoonsgegevens op een transparante wijze aantonen dat met goed gevolg een audit is uitgevoerd naar de getroffen maatregelen en procedures ter bescherming van deze persoonsgegevens.
Een Privacy-audit is een uitgebreid onderzoek naar de noodzakelijke technische en organisatorische beheersingsmaatregelen. Deze maatregelen zorgen ervoor dat de computersystemen en databestanden waarin persoonsgegevens worden opgeslagen en bewerkt goed beveiligd zijn. Dit is nodig om ervoor te zorgen dat onbevoegden geen gebruik of misbruik kunnen maken van de opgeslagen persoonsgegevens. Bovendien wordt beoordeeld of de wijze van data-opslag voldoet aan de wettelijke uitgangspunten vastgelegd in de AVG, zodat de rechten van de betrokkenen afdoende zijn gewaarborgd. Deze Privacy-audit is gebaseerd op het door de NOREA ontwikkelde
Privacy Control Framework, dat als het beoordelingskader wordt gebruikt. Dit onderzoek leidt tot een rapport dat uitsluitend door een deskundige en onafhankelijke IT-auditor kan worden afgegeven, op basis van internationaal erkende rapportagestandaarden en procedures. Vanzelfsprekend is een goedkeurend rapport vereist voor de toekenning van het Privacy Audit Proof-logo. De verklaring van de IT-auditor kan desgewenst worden opgevraagd bij de organisatie die het Privacy Audit Proof-logo gebruikt. Bovendien moet de privacy-audit periodiek opnieuw worden uitgevoerd, zodat de meest actuele normen en standaarden van toepassing zijn.
NOREA ziet toe op de randvoorwaarden en regelgeving met betrekking tot de uitvoering van deze privacy-audits alsmede de deskundigheid van de IT-auditors die deze audits mogen uitvoeren, blijkens hun inschrijving in het register van gekwalificeerde IT-auditors (RE’s).