De privacy audit

Zoals aangegeven heeft de NOREA getracht om bij het ontbreken van een wettelijke taak te compenseren door de ontwikkeling van een aantal producten waarbij de kennis en ervaring van de IT-auditor een toegevoegde waarde kan leveren. Eén daarvan is ZekerRE Privacy. Hiertoe is ook een Handleiding ZekeRE Privacy opgesteld. De eerste versie dateert van 2002. Deze beoogt een handreiking te geven aan RE’s opdrachten inzake privacy audits. De Handleiding is gebaseerd op het Raamwerk Privacy Audit. Dit is tot stand gebracht door het Samenwerkingsverband Audit Aanpak onder verantwoordelijkheid van het College Bescherming Persoonsgegevens, De Handleiding bevat het beoordelingskader en de standaardtekst van een oordeel dat een gekwalificeerde IT- auditor (RE) eventueel kan afgeven. Hierbij zijn de regels voor onafhankelijkheid en deskundigheid van toepassing. Partijen waarvan de gegevensverwerking voldoet aan de WBP kunnen zicg vervolgens laten registreren in een register. De nadere uitwerking is hier te vinden: https://www.privacy-audit-proof.nl/ Zoals op de website van het CBP te lezen valt is de privacy audit een onderdeel van een groter aantal producten, compliancy instrumenten genaamd. Het gaat dan om  het volgende instrumentarium (zie ook hier): • Quickscan doelstelling: hulpmiddel voor het bevorderen van het privacybewustzijn in de organisatie van de verantwoordelijke en het bepalen van de plaats van de organisatie op de kwaliteitsschaal van de gegevensverwerking. Zie ook de toelichting • Wbp Zelfevaluatie doelstelling: hulpmiddel bij het verkrijgen van inzicht in het toepassen van de Wbp in de organisatie van de verantwoordelijke en het nader bepalen van de plaats van de organisatie op de kwaliteitsschaal van de gegevensverwerking. • Raamwerk Privacy Audit doelstelling: basis voor het beoordelen van de kwaliteit van de bescherming van persoonsgegevens over de gehele verwerkingsketen. • Handreiking bij het Raamwerk Privacy Audit doelstelling: handreiking bij het beoordelen van de kwaliteit van de bescherming van persoonsgegevens over de gehele verwerkingsketen. De handreiking is gebaseerd op het Raamwerk Privacy Audit en geeft aan hoe een concretisering van de wettelijke norm kan plaatsvinden. Het normenkader qua beveiliging werd hierbij ingevuld door het document Achtergrondstudies en Verkenningen nummer 23, Beveiliging van persoonsgegevens, onder deskundigen belend als AV23. Inmiddel is dit vervangen door de Richtsnoeren voor de beveiliging.

Data Protection Impact Assessment

Op grond van de Algemene Verordening Gegevensbescherming dient in voorkomend geval een zorgneaamde gegevensbeschermingseffectbeoordeling of Data Protection Impact Assessment (PDPIA) te worden uitgevoerd. Hiervoor zijn nadere Guidelines beschikbaar vanuit de EU en op de website van de Autoriteit Persoonsgegevens. Voor het meewegen van privacybelangen in de besluitvorming over de ontwikkeling van producten, diensten of ook wetgeving is het van groot belang dat dit in een vroegtijdig stadium gebeurt (privacy by design). Als de risico's voor inbreuken op de privacy pas worden onderkend als de ontwikkeling van het product, dienst of wetsvoorstel al in een vergevorderd stadium verkeert, is de kans immers groot dat noodzakelijke aanpassingen zeer tijdrovend en kostbaar zijn. Om organisaties een instrument te bieden om privacyrisico's in een vroeg stadium op een gestructureerde en heldere manier in beeld te kunnen brengen.is de methode PDPIA ontwiikkeld. 

Herziening nodig! De aanpak is nog gebaseerd op het document Achtergrondstudies en Verkenningen nr. 23 (AV-23). Dit document is begin 2013 vervangen door de “Richtsnoeren”. Zie hier. Deze vervanging was hoogst noodzakelijk omdat AV-23 en de interpretatie die daaraan tijdens privacy audits werd gegeven inmiddels strijdig was met de Wet Bescherming Persoonsgegevens zelf. Dit komt omdat AV-23 normen bevat die zijn geformuleerd in de vorm van het getroffen moeten zijn van specifieke maatregelen in plaats van maatregeldoelstellingen of ‘objectives’.