AVG, Audits en FG's

‍De functie van functionaris voor de gegevensbescherming is uitdagend. Een van de taken is het toezien op de naleving en de bijbehorende audits. Zo staat het ook in de AVG. Maar hoe organiseer je nu zo’n audit? En welke raamwerken zijn hiervoor beschikbaar? En kan een audit leiden tot certificering of een keurmerk?

Over dit onderwerp is op 13 september een mini -symposium georganiseerd voor medewerkers van het ministerie van Financiën waarbij de AVG, audits en FG’s (A.A.F.) in hun onderlinge samenhang werden besproken. Dat het onderwerp leeft, bleek ook uit de volle zaal met deelnemers. Inhoudelijk stonden het recent verschenen Privacy Control Framework (PCF) van NOREA en het Keurmerk van Privacy Company centraal. Het zijn beiden instrumenten die gebruikt kunnen worden bij het aantonen dat aan de privacyregels wordt voldaan (‘accountability’).

Het Privacy Keurmerk wordt toegekend op basis van het volwassenheidsmodel van het Centrum voor Informatiebeveiliging en Privacybescherming (CIP). Dat biedt de mogelijkheid om iets te zeggen in welke mate een organisatie het onderwerp privacy serieus neemt. Een laag dieper kun je ook op het niveau van de verwerking (processen/producten) toetsen of er wordt voldaan aan de regels. Het CBS deelde tijdens het symposium haar ervaringen als een van de weinige gecertificeerde overheidsorganisaties die ervaring heeft met AVG en Wbp audits.

Privacy audits, privacy audit raamwerken, certificering en keurmerken zijn duidelijk in ontwikkeling. De verwachting is dat op deze gebieden nog veel interessante ontwikkelingen gaat plaatsvinden. Ondertussen kan al wel veel relevante ervaring worden opgedaan opdoen met de bestaande normenkaders. In een volgend mini- symposium A.A.F. zullen we deze ontwikkelingen verder volgen.