28 januari, de dag van de privacy

Vandaag, 28 januari 2019 is de dag van de privacy. Deze dag is enkele jaren geleden in het leven geroepen door de Raad van Europa met steun van de Europese Commissie. Het doel van deze dag is om burgers beter te informeren over hun rechten als het gaat om het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties.

Bij de dag van de privacy denken we al gauw aan de Algemene verordening gegevensbescherming (hierna: AVG). Toch verwijst de dag van de privacy niet naar de invoeringsdatum van de AVG: 25 mei 2018. Er is gekozen voor de invoeringsdatum van het Dataportectieverdrag: 28 januari 1981. Het Dataprotectieverdrag kan worden gezien als de grondlegger van het privacy-recht in Europa.

Als we artikel 5 uit het Dataprotectieverdrag vergelijken met artikel 5 lid 1 AVG dan zien we veel overeenkomsten. Beide artikelen beschrijven de basisbeginselen van het privacy-recht: persoonsgegevens mogen alleen worden verwerkt voor legitieme doeleinden. Daarnaast moeten persoonsgegevens: toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het grote verschil tussen beide artikelen staat in artikel 5 lid 2 AVG:

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).

De Autoriteit Persoonsgegevens beschrijft deze verplichting als volgt:

De AVG legt namelijk meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht. De verantwoordingsplicht houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

Hoe kan een organisatie inzicht krijgen in hoeverre ze voldoet aan de AVG?

Hiervoor zijn verschillende invalshoeken denkbaar:

  1. Nulmeting: inventarisatie van de huidige situatie op basis van de belangrijkste artikelen uit de AVG; de resultaten geven input aan de organisatie over het opstellen van een plan van aanpak voor het implementeren van beheersmaatregelen voor de beheersing van privacy aspecten om te voldoen aan de AVG;
  2. Toetsing op Volwassenheidsniveau: Bepalen van het niveau van beheersing van privacy aspecten door een organisatie. Hierbij spelen de inrichting van processen, gebruikte tooling en de uitvoering van de processen een belangrijke rol om de mate van volwassenheid te bepalen. Het onderzoek wordt uitgevoerd op basis van bijvoorbeeld het volwassenheidsnormenkader van het Centrum informatiebeveiliging en privacybescherming(hierna: CIP) voor dit onderzoek; Met de resultaten van het volwassenheidsonderzoek heeft de organisatie inzicht in het volwassenheidsniveau met betrekking tot het beheersen van de privacy aspecten in de organisatie, met deze informatie kan de organisatie bepalen of zij op het gewenste volwassenheidsniveau staat en op welke aspecten verbeteracties ondernomen dienen te worden om op het gewenst niveau te komen.
  3. Assurance audit: op basis van een bepaald normenkader wordt conform de ISAE-3000 richtlijn Assurance gegeven over de mate waarin de organisatie in control is op de privacy aspecten en de geïmplementeerde maatregelen. Het te hanteren normenkader hiervoor kan het Privacy Control Framework(hierna: PCF) van NOREA (de beroepsorganisatie van IT-auditors)
Een privacy-audit is hét geschikte middel om te voldoen aan de verantwoordingsplicht uit de AVG.

Het belangrijkste van een privacy-audit is het bepalen van het normenkader. De AVG is voor een privacy-audit geen geschikt normenkader omdat de AVG geen concrete normen bevat die een auditor kan toetsen. Voor een nulmeting is de AVG wel een geschikt kader. Er zijn verschillende normenkaders beschikbaar voor een privacy-audit die een auditor wel kan toetsen en dus gebruiken.

Eén hiervan is het Privacy Control Framework(PCF) van de NOREA . Het PCF maakt geen onderscheid in beheersmaatregelen voor verwerkers en verwerkingsverantwoordelijke. Het PCF kan hierdoor in veel gevallen niet integraal gebruikt worden voor een privacy-audit: bepaalde normen zullen buiten scope worden geplaatst omdat ze niet van toepassing zijn voor verwerkers.

Een privacy-audit is hiermee altijd maatwerk. Uiteindelijk moeten organisaties volgens de huidige wetgeving voldoen aan de AVG. Het voldoen aan bijvoorbeeld het PCF is enkel een middel om aan te kunnen tonen dat een organisatie voldoet aan de AVG.

Een volgende stap in de wereld van privacy-audits is het behalen van een AVG-certificaat. In artikel 42 AVG wordt de basis hiervoor gelegd. Het behalen van een AVG-certificaat is momenteel nog niet mogelijk omdat er momenteel nog geen zogenoemde certificatieschema’s zijn goedgekeurd door de Autoriteit Persoonsgegevens.

De voorzichtige verwachting is dat de eerste certificatieschema’s in 2019 worden goedgekeurd. AuditConnect houdt de ontwikkelingen hierin met belangstelling nauwlettend in de gaten.

AuditConnect heeft IT-experts op het gebied van Privacy en IT-Security en voert regelmatig o.a. privacy audits bij organisaties uit. Onze aanpak is no-nonsense en resulteert in pragmatische en betrouwbare oplossingen en adviezen. Wij realiseren deze oplossingen tegen betaalbare tarieven.

Bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.

Auteur: Gosse Bijlenga, Privacy Consultant AuditConnect