Wat is een AVG-Audit?
Een AVG-privacy audit is een uitgebreid onderzoek naar de technische en organisatorische maatregelen die ervoor zorgen dat computersystemen en gegevensbestanden waarin persoonsgegevens worden verwerkt voldoende beschermd zijn tegen misbruik door onbevoegden. Ook wordt in een audit vaak gecontroleerd of de rechten van personen (bijv. inzagerecht of recht van verwijdering) voldoende geborgd zijn. Het resultaat is een rapportage van bevindingen, aangevuld met verbeteringsvoorstellen.
Breder geformuleerd: in een AVG-privacy audit wordt gecontroleerd of een organisatie aan de eisen uit de AVG voldoet. De AVG dient immers als uitgangspunt bij de beoordeling of de organisatie privacy compliant is.
Een AVG-privacy audit is geen informatiebeveiligingsaudit, maar er zijn natuurlijk raakvlakken.
Doel van een AVG-privacy audit
Het is in de regel niet verplicht om een AVG-privacy audit te laten uitvoeren. Dit is anders wanneer er een wettelijke of contractuele verplichting bestaat, bijvoorbeeld omdat in een verwerkersovereenkomst een periodieke privacy audit is afgesproken. Maar er kunnen ook andere redenen zijn voor een AVG-privacy audit, bijvoorbeeld:
- Interne behoefte om te controleren of de organisatie de AVG juist toepast (borging). Dat kan voortkomen uit de in de AVG opgenomen verantwoordingsplicht: de plicht om de AVG na te leven én om te kunnen aantonen dat je als organisatie aan de AVG voldoet.
- Aantonen van privacy compliance aan stakeholders, inclusief het PR-aspect van bijvoorbeeld vermelding op de website.
- Reputatieherstel of controle op naleving AVG na een privacy-incident.
Inhoud AVG-privacy audit
Een audit kan eenvoudig en snel verlopen of langdurig en diepgaand zijn. Dit is afhankelijk van factoren als type en grootte van de organisatie, complexiteit van de processen binnen die organisatie, hoeveelheid en soort van de verwerkte persoonsgegevens enz.
De onderzoeksmethoden of gebruikte privacy frameworks verschillen per auditor.
Onderwerpen die zeer waarschijnlijk aan bod zullen komen tijdens de audit:
- Procedures over het verzamelen, gebruiken, opslaan, beschermen en vernietigen van persoonsgegevens. Speciale aandacht voor toestemming voor het verwerken.
- Versleutelde opslag, dataminimalisatie en dataretentiebeleid.
- Beveiliging van computers en netwerk: Vulnerability Management.
- Verwerkingsregister.
- Doorgifte persoonsgegevens, verwerkersovereenkomsten.
- Procedure datalekken.
- Bewustwording en training medewerkers.
- Privacybeleid, privacyverklaring, klachtenafhandeling, rechten van betrokkenen. Aanwezigheid Functionaris Gegevensbescherming.
- Risicomanagement, privacy impact assessment (PIA) of Data Protection Impact Assessments (DPIA).
- Verbeterplan.
Een auditor kan extra opties toevoegen, soms tegen meerprijs van bijvoorbeeld:
- Inzetten van een ethische hacker die ongewenste toegang tot de ICT-systemen test.
- Simulatie inzage door de Autoriteit Persoonsgegevens.
- Simulatie datalek melding.
- Controle van de afhandeling van inzageverzoeken.
Als er verbeteringspunten zijn, ligt het voor de hand om de doorvoering hiervan te controleren. Die eindcontrole zal een verplichting zijn als er een complianceverklaring moet worden afgegeven.
Auditor
Bij een audit van een kleine organisatie zal de ‘auditor’ één persoon zijn, bij grotere organisaties wordt vaak een uitgebreider team ingezet, waar nodig met kennis vanuit verschillende disciplines. Een ziekenhuis bijvoorbeeld verwerkt bijzondere persoonsgegevens, in grote aantallen en verspreid over verschillende afdelingen. Er is specialistische IT-kennis nodig om daarvan alle technische en organisatorische aspecten te beoordelen.
Privacyscan en privacycheck
Een privacyscan (ook privacycheck genoemd) is een ander beestje dan de AVG-privacy audit. Het is een relatief oppervlakkige controle van de naleving van privacyregelgeving binnen een organisatie. Vaak wordt een privacyscan aangeboden als een gratis of goedkope eerste inventarisatie, als onderdeel van de kennismaking met een aanbieder van privacydiensten. Voor een initiële scan of check wordt ook wel de term nulmeting gehanteerd.
Tot slot het Auditrapport met “Akte van onderzoek”
Aan het einde van elke audit volgt er een slot besluit met onze bevindingen en adviezen.
Mocht er een positief besluit uit komen dan ontvangt u tevens een “Akte van onderzoek” welke geldig is voor de duur van 24 maanden.
Prijzen
Door de diversiteit aan onderzoeken, scans en controles is er geen standaard prijs vooraf te overleggen, er zijn wel diverse standaard pakketten die u op voorhand kunt bestellen zodat u achteraf niet voor verrassingen komt te staan.
Prijzen voor aangepaste pakketten zijn uitsluitend na een grondig vooronderzoek door Robrecht Auditing & Consulting Group te overleggen.
AVG-Audit of informatie?
Robrecht Auditing & Consulting Group
E: info@avg-audit.nl