Nederland is met de WPR en later de WBP een van de voorlopers op het gebied van privacybescherming.
Met de invoering van de AVG is dit op een nieuw en hoger niveau komen te liggen. Niet alleen wat betreft omvang en diepgang maar ook wat betreft toezicht en sancties.

Een aantal belangrijke uitgangs- punten van de AVG zijn;
  • Een gedetailleerder inzicht in de verwerking en een grotere bewustwording inzake de omgang met persoonsgegevens
  • Aanzienlijke uitbreiding van de rechten van betrokkenen en de wijze van toestemmingverlening
  • Introductie van nieuwe principes als privacy by default en privacy by design alsmede ‘het recht om vergeten te worden’.
Dit alles vraagt van organisaties om niet alleen eenmalig te voldoen aan de eisen van de AVG (compliance) maar vraagt ook voor de toekomst een blijvende beheersing van het privacy beschermingsvraagstuk.
 
IT-auditors kunnen niet alleen adviseren bij het inrichten van een risk-based privacy control framework, maar ook een assurance oordeel geven over de kwaliteit daarvan.
Het spectrum van een effectieve privacybescherming bestaat uit drie niveaus:


01

Privacy Risico Analyse – DPIA (NOREA)

 

In artikel 35 van de AVG wordt gesproken over het instrument van de Data Protection Impact Analysis (DPIA). Dit houdt in dat een risico analyse moet worden uitgevoerd waarbij onderzocht wordt in hoeverre ‘de rechten en vrijheden van natuurlijke personen worden aangetast’ door de betreffende gegevens- verzamelingen. Voor de risico’s die worden onderkend zullen passende beheersmaatregelen genomen moeten worden. 

Het DPIA proces begint met een beschrijving van het object van onderzoek en een toetsing aan een aantal elementaire rechtmatigheidseisen. De uitvoering van het DPIA proces zal altijd deugdelijk moeten worden onderbouwd en vastgelegd.   

Niet alleen in de wet en aanvullende regelgeving maar ook door de Toezichthouder kan bepaald worden wanneer het uitvoeren van een DPIA verplicht is. Als er ten onrechte geen DPIA wordt uitgevoerd kan dit leiden tot een boete van 10 miljoen euro of 2% van de (wereldwijde) jaaromzet.


02

Privacy Control Framework – PCF (NOREA)

 
Natuurlijk moet worden voldaan aan de eisen van de AVG (compliancy) maar voor de lange termijn is het nog belangrijker om te voldoen aan de kernprincipes van het proces van privacybescherming die aan de AVG te grondslag liggen.  

Het fundament van de PCF bestaat uit een internationaal erkende levenscyclusmodel dat bestaat uit 9 fasen. Voor elke fase zijn zijn een of meer onderwerpen -in totaal 32- onderkend en per onderwerp is ook de bijbehorende beheersings- doelstelling geformuleerd. Deze doelstellingen zijn vervolgens weer verder uitgewerkt -in totaal 95- beheersingsmaatregelen.

Het PCF biedt het verantwoordelijk management van iedere organisatie een rijk palet aan beheersmaatregelen om volledig in control te zijn ten aanzien van de privacybescherming en indien gewenst daarover een ‘in control verklaring’ af te geven.

03

Privacy Assurance – SOC2 & Keurmerk NOREA

 
De IT-auditor is onafhankelijke IT-deskundige gespecialiseerd in het uitvoeren van assurance onderzoeken. Ook het domein van de privacy bescherming behoort tot het kennisgebied van de IT auditor. 

Een privacy gerelateerd assurance onderzoek zal zich, naast de fundamentele rechtmatigheidsvragen, primair richten op de 
wijze waarop aan het PCF, binnen de betreffende organisatie, invulling is gegeven. Bij assurance onderzoeken met een SOC2 rapportage kan gekozen worden voor verschillende Trust Service Criteria. Voor de SOC2 Privacy Criteria is een specifieke mapping gemaakt van het PCF. 

Als een privacy assurance onderzoek tot een positief resultaat heeft geleid, dan bestaat de mogelijkheid om aan de betreffende organisatie een privacy keurmarkt te versterken. Dit ‘privacy proof keurmerk’ wordt door het NOREA ondersteund.