Van de Norea

Kennisgroep Privacy Audits

21 augustus 2014
In dit artikel:

Voor IT-auditors vormen privacy en de bescherming van persoonsgegevens belangrijke aandachtspunten. Enerzijds om vast te stellen of applicaties en systemen zijn ingericht conform de eisen die door wet- en regelgeving aan de bescherming van persoonsgegevens worden gesteld. Anderzijds om bedrijven en organisaties te behoeden voor het risico dat vertrouwelijke klantgegevens in handen komen van onbevoegden. Door de meldplicht en sancties met betrekking tot ‘datalekken’ zijn de risico’s van omvangrijke gegevensverwerkingen (‘Big Data’) sterk toegenomen. In dat verband kunnen IT-auditors adviseren over adequate informatiebeveiliging en over de toepassing van ‘Privacy Enhancing Technologies’ (PET), waardoor de systemen en applicaties zodanig worden ingericht dat data automatisch worden losgekoppeld van de persoonsgegevens. Voor de uitwisseling en ontwikkeling van expertise op dit terrein bestaat de NOREA Kennisgroep Privacy Audits. De actuele samenstelling van de Kennisgroep Privacy Audits is als volgt:

  • drs. Guus Bekker MPIM
  • drs. André Biesheuvel RE RA
  • drs. Jaap Boukens RE RA CGEIT
  • drs. Herman van Gils RE RA
  • Wolter Karssenberg RE RI
  • Erik König RE
  • Peter van der Knaap RE RA
  • mr. drs. Jan Roodnat RE RA
  • Rina Steenkamp RE
  • mr. Wouter Bas van der Vegt RE
  • mr. Henk van der Wel RE

Auditaanpak

Sinds de invoering van de Wet Bescherming Persoonsgegevens in 2001, is de NOREA betrokken bij de ontwikkeling van het Raamwerk Privacy Audit. In een samenwerkingsverband met het College Bescherming Persoonsgegevens, VNO/NCW, de consumentenbond, de Ministeries van BZK en Justitie, marktpartijen en beroepsorganisaties zijn diverse producten ontwikkeld waar bedrijven, organisaties en auditors hun voordeel mee kunnen doen. Naast de auditaanpak zijn een ‘zelfevaluatie’ en een ‘quickscan’ gepubliceerd. Daarnaast publiceerde NOREA in 2002 een Handleiding ZekeRE-Privacy voor IT-auditors. Ook is in samenwerking met de beroepsorganisatie van accountants (voorheen NIVRA, thans NBA) in 2006 een speciale richtlijn voor beoordeling en certificering van verwerkingen van persoonsgegevens gepubliceerd. Het bijbehorende keurmerk,  ‘Privacy Audit Proof’, is gebaseerd op een assurance-rapport met een redelijke mate van zekerheid, conform de internationale assurance standaard-3000. Voornoemde richtlijn wordt op dit moment geactualiseerd in de vorm van een controleprotocol bij de assurancestandaard 3000.

Privacy Impact Assessment (PIA)

Voor (overheids)organisaties en bedrijven is het van belang om stelselmatig de impact van projecten, producten of diensten op de privacy van de betrokkenen vast te stellen. In 2011 is door de kamer een motie aangenomen waarin wordt aangedrongen op de systematische uitvoering van een Privacy Impact Assessment (PIA) bij de bouw van systemen of het aanleggen van databestanden door overheidsinstanties. Dit is in het regeerakkoord (PvdA/VVD 2012) vastgelegd als een  beleidsmaatregel. Daarom heeft de Kennisgroep Privacy in 2013 voor IT-auditors en hun klanten of opdrachtgevers een methodische handreiking voor de uitvoering van een Privacy Impact Assessment ontwikkeld. Uitgangspunt bij de uitvoering van een Privacy Impact Assessment is het minimaliseren van de privacy-impact, gegeven de doelstellingen van het project of product.

Privacy-audit en gegevensbescherming in Europees perspectief

De (nationale) Wet bescherming persoonsgegevens is tegenwoordig een uitwerking van een Europese Richtlijn die voorziet in algemene en uniforme regelgeving voor de Europese Unie. De voorgestelde Europese verordening voor de gegevensbescherming (General Data Protection Regulation) kent enkele beginselen die specifieke maatregelen of uitwerkingen vergen. De meldplicht datalekken is daar een voorbeeld van. Ook de informatieplicht (ten behoeve van betrokkenen) wordt uitgebreid. Dat geldt ook voor het recht op rectificatie en het ‘recht om vergeten te worden’. Door al deze ontwikkeling in combinatie met voortdurende technologische innovaties is het privacyrecht sterk in beweging. De Kennisgroep Privacy heeft zich voorgenomen om de auditaanpak zo nodig te actualiseren en concretiseren, zodat de IT-auditors hun beoordeling kunnen baseren op de relevante uitgangspunten en beginselen en tevens de beschikking hebben over een concreet normenkader met een duidelijke instructie voor de weging van de criteria.

Regelmatig laat de Kennisgroep Privacy Audits van zich horen d.m.v. presentaties op congressen, seminars en bijeenkomsten voor bijvoorbeeld juristen of functionarissen voor de gegevensbescherming (FG’s). In ‘de IT-Auditor’ nummer4/2013 stond nog een bijdrage van enkele leden van de kennisgroep onder de titel Privacy Impact Assessment is ‘here to stay’ (André Biesheuvel en Guus Bekkers).

Schermafbeelding 2014-08-18 om 16.36.31