Privacy audit

In samenwerking met onze beroepsvereniging NOREA en het NIVRA heeft de Autoriteit Persoonsgegevens het Raamwerk Privacy Audit opgesteld voor het uitvoeren van een privacy audit in een organisatie door een gekwalificeerde auditor. Het Raamwerk gaat uit van negen clusters van aandachtsgebieden. De uitkomst van een privacy audit geeft het management van een organisatie een hoge mate van zekerheid hoe het met de bescherming van de persoonsgegevens in de organisatie is gesteld.

Op basis van een positief oordeel van een zogenaamde privacy-auditor, bestemd voor het maatschappelijk verkeer, kan de verantwoordelijke organisatie – onder voorwaarden – toestemming worden verleend het logo of keurmerk ‘Privacy-audit-proof’ te mogen gebruiken. Dit oordeel van de privacy-auditor is gebaseerd op Richtlijn 3600 ‘Assurance-opdrachten met betrekking tot de bescherming van persoonsgegevens (Privacy-audits)‘. Doel van deze richtlijn is grondslagen vast te stellen en aanwijzingen te geven voor de uitvoering van assurance-opdrachten op dit terrein. De richtlijn is een antwoord op de toenemende vraag uit de markt naar een onafhankelijk oordeel van een derde over het stelsel van maatregelen en procedures van een organisatie met betrekking tot de bescherming van persoonsgegevens.

De privacybescherming in Nederland wordt sinds 2001 geregeld in de Wet bescherming persoonsgegevens (WBP). Vrijwel elke organisatie in Nederland heeft te maken met deze wet. Teneinde organisaties behulpzaam te zijn bij het bepalen in hoeverre men voldoet aan de WBP is, in samenspraak met het NIVRA en de NOREA, het project Ontwikkeling audit-producten Wet Bescherming Persoonsgegevens (WBP) gestart. Dit heeft inmiddels geleid tot een viertal producten die bedrijven in staat stelt zelf na te gaan in hoeverre men voldoet aan de WBP. Daarnaast wordt door middel van de richtlijn ook de mogelijkheid geopend voor een externe beoordeling en certificering. Deze kan worden uitgevoerd door een Register EDP-auditor (RE) of Register Accountant (RA) die over voldoende kennis en expertise inzake de Wbp alsmede de gebruikte Informatietechnologie beschikt om de beoordeling op grond van de richtlijn uit te voeren.