Privacy Nulmeting Uitvoeren? | Duthler Associates

Privacy nulmeting laten uitvoeren?

De Europese Algemene verordening gegevensbescherming (AVG) heeft gevolgen voor de governance en compliance van de organisatie. Ook de hoogte van de sancties is aanleiding om gegevensbescherming hoog op de agenda van bestuurders te plaatsen. Om aan de eisen van deze wet- en regelgeving te voldoen, zal de organisatie inzicht moeten hebben in de eigen ‘organisatiestructuur’, inclusief de verbonden partijen waarmee contractuele relaties bestaan.

Centrale vraag is: ‘heb ik een helder overzicht en inzicht van de aansprakelijkheids- en kostenrisico’s die voortkomen uit de wetgeving voor bescherming van persoonsgegevens en de mate van beheersing van deze risico’s?’

Inmiddels een afgeleide vraag: ‘heb ik overzicht en inzicht in de aansprakelijkheids- en kostenrisico’s die voortvloeien uit verplichtingen van aanpalende wetgeving (bijvoorbeeld wetgeving gericht op het toepassen van kunstmatige intelligentie) en gesloten overeenkomsten?’

Interesse? Neem contact op!

Onderhoudsvraag naar aanleiding van nieuwe wetgeving en veranderende bedrijfsactiviteiten en de organisatie hiervan: ‘zijn de eerder opgestelde privacy nulmetingen nog actueel?’

Om dit inzicht te verkrijgen bieden wij het uitvoeren van de privacy nulmeting aan. De privacy nulmeting is een verkennend onderzoek gericht op het verkrijgen van inzicht in de naleving van wet- en regelgeving en nakomen van gemaakte afspraken op het vlak van gegevensbescherming. Het onderzoek geeft de verantwoordelijke, raad van bestuur en raad van commissarissen, inzicht in de mate waarin de risico’s zijn afgedekt door maatregelen en de effectieve werking van deze maatregelen.

Wat is de toegevoegde waarden?

Een organisatie moet zich vergewissen dat technische en organisatorische beheers-, beveiligings- en compliance-maatregelen getroffen zijn om de risico’s voldoende af te dekken en dat deze maatregelen effectief werken. Immers, als een maatregel ontbreekt dan wel niet effectief is gebleken en dit geleid heeft tot een datalek, dan moet de organisatie dit datalek meestal melden aan de Autoriteit Persoonsgegevens (AP) en in een aantal gevallen ook aan de betrokkene. Als de organisatie niet in staat is om een datalek zelf te signaleren – en melding achterwege blijft – kan het hierop aangesproken worden door de AP of één of meer betrokkene(n). Dit kan leiden tot boetes en claims.

De uitkomsten van de privacy nulmeting geven de bedrijfsleiding en het management een indruk van de effectieve werking van de getroffen maatregelen. De organisatie van de bedrijfsactiviteiten met bedrijfsprocessen met een hoog risicoprofiel (een hoog risico op incidenten met een hoge impact op de bedrijfsvoering) worden zichtbaar en aanvullende en passende maatregelen kunnen getroffen worden.

Ook uw partners in de keten willen weten in hoeverre uw organisatie voldoet aan de wetgeving. Als uw organisatie een verwerker is, dan is de verwerkingsverantwoordelijke verplicht na te gaan of uw organisatie voldoet aan de AVG. Andersom geldt ook. U als verwerkingsverantwoordelijke draagt verantwoordelijkheid voor het nagaan van het beschermingsniveau van gegevens bij uw verwerkers.

Bij het uitvoeren van een privacy nulmeting staat het organiseren van de bedrijfsactiviteiten centraal. De professionals gebruiken een toegesneden normenkader, richten zich op risicovolle bedrijfsactiviteiten en beoordelen de bedrijfsprocessen waarmee de bedrijfsactiviteiten georganiseerd zijn. Auditors (interne en externe) belast met het beoordelen van de effectieve werking van beheers-, beveiligings- en compliance-maatregelen maken bij hun werkzaamheden gebruik van de rapportages van de privacy nulmeting. De rapportage maakt de audit effectief en kosten efficiënt.

De verantwoordingsplicht

De AVG kent een verantwoordingsplicht voor bedrijven en instellingen. Deze plicht houdt in dat organisaties op elk moment moet kunnen aantonen dat de maatregelen ter bescherming van de persoonsgegevens ook echt werken en dat de bepalingen van de AVG worden nageleefd.

De verantwoordingsplicht brengt onder meer met zich mee dat er overzicht en inzicht moet zijn in de verwerkingen, dat het gegevensbeschermingsbeleid moet zijn verankerd in de organisatie en wordt nageleefd en dat de effectieve werking van de informatiebeveiliging moet kunnen worden aangetoond. Daarbij komt dat de verantwoordingsplicht ook betrekking heeft op het verwerken van persoonsgegevens waarvoor de organisatie externe partijen (verwerkers en subverwerkers) heeft ingeschakeld.

MYOBI heeft met de hulp van Duthler Associates de verantwoording voor de naleving van de TTP-policy, als onderdeel van de gedragscode, uitgewerkt in de vorm van een privacy nulmeting, zie voldoen aan de (wettelijke) verantwoordingsplicht.

De samenvatting uit de rapportage van de gegevensbescherming nulmeting kan worden opgenomen in het Bestuurdersverslag waardoor de organisatie voldoet aan een governance verplichting op het vlak van beschermen van gegevens.

Wat is onze aanpak?

Het onderzoek kent een praktische aanpak: samen met u inventariseren wij de bedrijfsactiviteiten en stellen een bedrijfsspecifieke normenkader samen uit algemeen geaccepteerde normen. Tijdens het onderzoek worden beschikbare beleidsdocumenten beoordeeld en worden interviews gehouden met medewerkers en/of stakeholders. De daarbij verkregen inzichten worden afgezet tegen de eisen die worden gesteld aan het verwerken van persoonsgegevens, de beoordeling van de mate waaraan uw organisatie voldoet aan de eisen met betrekking tot gegevensbescherming. Dit gebeurt aan de hand van een normenkader, dat gebaseerd is op de relevante wet- en regelgeving voor de organisatie.

Het onderzoek resulteert in een verslag van bevindingen en bijbehorend advies. Dit advies voorziet onder andere in een globale aanpak voor uw organisatie hoe vervolgstappen te zetten om de gegevensbescherming en het borgen van de privacy naar een hoger niveau te brengen en compliant te worden. Hierbij maken we gebruik van een volwassenheidsmodel met 5 niveaus.

Activiteiten tijdens het onderzoek:

Normenkader gericht op de bedrijfsactiviteiten van de organisatie vaststellen;
Inventarisatie van de belangrijkste processen/ verwerkingen waarmee de bedrijfsactiviteiten zijn georganiseerd;
Toetsen aan het normenkader: interviews, documentatie en eigen onderzoek;
Opstellen rapport van bevindingen, actieplan en presentatie; en
Afstemming en onvoorziene werkzaamheden.

De diepgang van de gegevensbescherming nulmeting en gedetailleerdheid van de rapportage worden bepaald door de gewenste scope en reikwijdte van het onderzoek en de beschikbare tijd.

Het kan praktisch en noodzakelijk zijn dat de betrokken medewerkers bewust of getraind zijn voor het belang van het adequaat beschermen van (persoons)gegevens. In overleg richten de professionals een bedrijfsspecifieke leeromgeving in en maken bewustwordings- en trainingsprogramma’s beschikbaar.

Het kan praktisch en kostenefficiënt zijn dat de professionals de werkzaamheden van de privacy nulmeting ondersteunen met tooling. Het afleiden van normenkaders, het in kaart brengen van bedrijfsactiviteiten en bedrijfsprocessen waarin beheers-, beveiligings- en compliance-maatregelen zijn opgenomen, het ondersteunen van de interviews en het vastleggen van bevindingen levert een integraal beeld en een effectief onderzoek op.