Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Privacy- en beveiligingsonderzoek

Weerbaarheid privacy & beveiliging

Het van kracht worden van wetgeving op het vlak van het beschermen van persoonsgegevens leidt tot een verschuiving van regie over persoonsgegevens van de verwerkingsverantwoordelijke (de bedrijven en instellingen) naar de betrokkene (het individu). Deze verschuiving van de regie is principieel van aard en structureel voor architecturen en operationele systemen van gegevensverwerking.

Privacy- en beveiligingsonderzoeken zijn gericht op het vaststellen van de weerbaarheid van de verwerkingsverantwoordelijke of de verwerker op het moment dat toezichthouders toezicht gaan uitoefenen en betrokkenen hun rechten uitoefenen. Het tijdsframe waarop  toezicht wordt gehouden of rechten worden uitgeoefend kan terug in de tijd liggen.

Onderzoekskaders

Het opzetten en uitvoeren van deze onderzoeken kunnen wij aan de hand doen van normenkaders van de NOREA, bijvoorbeeld het privacy control frameworks voor privacy en beveiliging. Hierbij moet wel worden bedacht dat het toezichtsarrangement van de toezichthouders sterk in ontwikkeling is en dat betrokkenen hun rechten vanuit hun perspectief uitoefenen. Het control framework voor privacy en beveiliging zal voor de aard en omvang van de bedrijfsactiviteiten van de verwerkingsverantwoordelijke én actuele ontwikkelingen op het vlak van het uitoefenen van toezicht aangepast worden.

Binnen de integrale compliance benadering van een organisatie heeft beschermen van persoonsgegevens zoals bedoeld in de wet en afgesproken in overeenkomsten een plaats. De toezichthouders en de betrokkenen oefenen rechten uit vanuit hun perspectief. Wij zouden kunnen zeggen:

  • Wat mogen wij verwachten van de toezichthouders bij het uitvoeren van hun wettelijk taak; en
  • Wat mogen wij verwachten van de betrokkenen bij het uitoefenen van hun rechten?

Toezichtsarrangement

De Autoriteit Persoonsgegevens (AP) heeft de beschikking over een zeer krachtig toezichtsarrangement, het melden van datalekken binnen 72 uur. Voor 72 uur hebben de beheers- en beveiligingsmaatregelen van administratieve organisatie en interne beheersing gericht op het beschermen van persoonsgegevens zoals bedoeld in de wet, gemaakte afspraken en aangegeven in beleidsdoelen aantoonbaar effectief gewerkt. Als er achteraf blijkt dat datalekken niet zijn gemeld dan kan de AP aan de verwerkingsverantwoordelijke vragen waarom de administratieve organisatie en interne beheersing niet heeft gewerkt. Bij de Politie en of Openbaar Ministerie (OM) worden aangiften gedaan als de datalekken strafbaar zijn.

Resultaten voor organisaties:

  • De weerbaarheid van de verwerkingsverantwoordelijke neemt toe als het bewijs van effectieve werking van getroffen maatregelen kan worden overlegd.
  • De betrokkene, het individu, oefent regie uit op de eigen (persoons)gegevens. De betrokkene kan behulp van een serie wettelijke instrumenten dit recht op regie uitoefenen.
  • De weerbaarheid van de verwerkingsverantwoordelijke neemt toe als de rechten van de betrokkene effectief én ook kostenefficiënt kunnen worden gefaciliteerd.

Plan van aanpak

Het onderzoek kan het karakter hebben van een audit op een bepaald volwassenheidsniveau (assurance onderzoek) of interne controle op het testen van de effectieve werking van getroffen beheers- en beveiligingsmaatregelen gericht op het beschermen van persoonsgegevens (compliance onderzoek). Beide type onderzoeken kunnen met smart compliance worden ondersteund.

Uitgaande van een compliance onderzoek kunnen alle aspecten van bescherming van persoonsgegevens in ogenschouw worden genomen. Een bruikbare opsomming van aandachtsgebieden heeft de AP gepubliceerd met “houd grip op persoonsgegevens”.

De FG en of de compliance officer kunnen kiezen voor inventariserende onderzoeken of gerichte thematische onderzoeken. De uitkomsten geven aanleiding de compliance werkzaamheden te heroverwegen en of de verantwoordelijke te adviseren passende maatregelen te treffen gericht op het beperken van aansprakelijkheids- en kostenrisico’s op het vlak van gegevensbescherming.

Contact

Ingeval van vragen of u wilt een vrijblijvende offerte ontvangen, aarzelt u niet contact met ons op te nemen. Dit kan via +31 (0)70 – 392 22 09 of info@duthler.nl.