AVG-compliance is het nieuwe normaal

Minister Dekker van Rechtsbescherming laat in een brief aan de Tweede Kamer weten dat bijna een jaar na de invoering van de AVG nog veel onduidelijkheid bestaat omtrent de privacywet. Korte tijd later komt de Autoriteit Persoonsgegevens met haar jaarverslag: “2018 mijlpaal voor privacybescherming”. In deze blogserie ‘1 jaar na de AVG’ blikken we terug op het afgelopen jaar en kijken we vooruit naar de toekomst. Meer specifiek laten wij zien hoe u AVG-compliant kunt worden en blijven.

Vorige week belichtten wij het Considerati Privacy Compliance & Maturity normenkader en hoe u aan de hand van onze Maturity Scan de volwassenheid van uw privacy organisatie kunt vaststellen. Daarnaast wilt u echter waarschijnlijk ook weten of de geïmplementeerde maatregelen effectief zijn en of u dus niet alleen op papier, maar ook in werkelijkheid AVG-compliant bent en kunt blijven. Daarover gaat de blog van vandaag: 1 jaar AVG: Het toetsen van uw privacy maatregelen door de Considerati Privacy Audit.

--------------------------------------------------------------------------------------------------------------------------------------------

AVG-compliance is het nieuwe normaal

Zoals wij al schreven in de eerste blog in deze serie over het jaarverslag van de Autoriteit Persoonsgegevens (AP) zal de AP zich in 2019 meer richten op het doen van onderzoek en handhaving. De AP wil steviger gaan inzetten op handhaving “nu organisaties bekender zijn met de nieuwe privacywet” aldus Aleid Wolfsen, voorzitter van de AP. Een jaar na de AVG mag van organisaties verwacht worden dat zij voldoen aan de AVG; compliant is het nieuwe normaal geworden. Hoe toont u de AVG-compliance van uw organisatie aan?

Verschil met de Maturity Scan

Om te beoordelen of uw bedrijfsvoering niet alleen op papier compliant is met de AVG maar ook daadwerkelijk in lijn met alle vereisten wordt uitgevoerd, is een audit noodzakelijk. Waar de Maturity Scan in kaart brengt of uw organisatie alle vereiste maatregelen heeft getroffen om te voldoen aan de 40 normen uit ons normenkader, toetsen wij tijdens de Considerati Privacy Audit daadwerkelijk de effectiviteit van de getroffen maatregelen in de praktijk. Werken uw medewerkers echt volgens het nieuwe privacybeleid? Wordt het datalekken protocol gevolgd bij een verloren laptop? Worden verzoeken van betrokkenen correct afgehandeld? Bevatten de nieuwe privacy statements alle verplichte onderdelen? Zijn er procedures ingericht om het register van verwerkingen up-to-date te houden? Kortom, functioneert uw organisatie in de praktijk in compliance met de AVG en kan uw organisatie dit ook blijven doen?

De mogelijkheid bestaat dat de maatregelen die u heeft getroffen naar aanleiding van de AVG in de praktijk onvoldoende zijn geïmplementeerd in de organisatie of inhoudelijk incorrect of onvolledig zijn. Dit betekent dat uw organisatie op basis van de Maturity Scan niveau 3 of hoger kan halen, u heeft immers een maatregel getroffen, maar dat uw bedrijfsvoering in de praktijk niet in lijn is met de AVG. Handhaving door de AP is daardoor nog steeds reëel. Dit bedrijfsrisico kunt u ondervangen door middel van de Privacy Audit. Pas na inhoudelijke toetsing heeft u zekerheid dat uw organisatie daadwerkelijk in staat is in compliance met de AVG te functioneren.

Waaruit bestaat de Considerati Privacy Audit?

De Considerati Privacy Audit bestaat uit verschillende onderdelen en is in lijn met ISO 9001:2015 en ISO 19011:2018, de internationale standaard voor het uitvoeren van audits. Allereerst voeren wij de Maturity Scan uit: aan de hand van ons normenkader brengen wij in kaart welke maatregelen getroffen zijn en wat het volwassenheidsniveau is van de organisatie. Vervolgens volgt een inhoudelijke check op de aanwezige privacy documentatie, zoals protocollen, procedures, beleid en statements. Na deze inhoudelijke check toetsen wij in hoeverre de in kaart gebrachte maatregelen daadwerkelijk zijn geïmplementeerd binnen de organisatie, aan de hand van onder andere interviews met medewerkers en, indien gewenst, simulaties. Hierdoor wordt duidelijk of de bedrijfsvoering in lijn met de bedrijfsinstructies en de AVG is. De Privacy Audit wordt afgesloten met een rapportage waarin per onderdeel wordt aangegeven hoe uw organisatie scoort. Daarnaast wordt in de rapportage per norm aangegeven welke verbetermaatregelen u kunt treffen om het door u gewenste niveau te bereiken in de toekomst.

Kortom, de Maturity Scan brengt in kaart of alle vereiste maatregelen aanwezig zijn en welk volwassenheidsniveau de organisatie heeft op de 10 verschillende onderdelen. De Privacy Audit gaat een stap verder, door naast het vaststellen van het volwassenheidsniveau ook te toetsen of de getroffen maatregelen aanwezig zijn en of deze ook worden nageleefd in de bedrijfsvoering.

Considerati Auditverklaring

Naast het feit dat de Privacy Audit u inzicht geeft in de effectiviteit van de getroffen privacy maatregelen is het ook het ideale instrument om aan te tonen dat u privacy serieus neemt en dat alle investeringen in privacy zijn vruchten hebben afgeworpen. Indien uit de Privacy Audit blijkt dat uw organisatie op alle normen van het Considerati Privacy Compliance & Maturity normenkader niveau 3 of hoger scoort geven wij de Considerati Auditverklaring af, waarmee u een jaar kunt aantonen dat uw organisatie privacy hoog in het vaandel heeft.

Neem contact op

Wilt u weten wat alle investeringen in privacy hebben opgeleverd en wilt u voorkomen dat deze hun waarde verliezen? Denkt u dat uw organisatie inmiddels AVG-compliant is of wilt u inzichtelijk krijgen welke stappen u nog dient te nemen om blijvend te voldoen aan de AVG? Neem dan vrijblijvend contact met ons op voor een Maturity Scan of Privacy Audit.

Deze blog is geschreven door Sybren Spoelstra en Leroy van Eenige

 

 

Leroy van Eenige Juridisch Adviseur

Neem direct contact op

Neem contact met me op