Aantoonbaarheid inzake AVG, hoe te verzorgen? | KPMG | NL
close
Share with your friends

Privacy: Meer accountability maar nog weinig zekerheid over aantoonbaarheid inzake AVG?

Aantoonbaarheid inzake AVG, hoe te verzorgen?

Een belangrijk aspect van de algemene verordening gegevensbescherming (AVG) die met ingang van 25 mei 2018 van kracht is betreft het begrip accountability. Maar wat is accountability eigenlijk?

Contact

Gerelateerde content

Organisaties die persoonsgegevens verwerken krijgen hierdoor meer verplichtingen. In de AVG ligt de nadruk op de verantwoordelijkheid van organisaties om zelf aan te kunnen tonen dat zij zich aan de wet houden (accountability). Dit geldt voor alle privacy onderdelen zoals die in de verordening zijn opgenomen (rechtmatigheid, transparantie, doelbeperking, juistheid etc.). Zoals de Autoriteit Persoonsgegevens schrijft hebben organisaties daarbij een documentatieplicht. Dit houdt in dat organisaties met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Dat klinkt nog een beetje ouderwets, in de praktijk zal een groot gedeelte van het bewijs hiervan ook uit geautomatiseerde systemen en processen komen.

Zijn er al duidelijke standaarden voor aantoonbaarheid en assurance?

In de AVG zelf staat opgenomen dat het aansluiten bij goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen kunnen worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke zijn nagekomen. Hier is nog weinig over bekend. Door de Autoriteit Persoonsgegevens is recent aangekondigd dat op dit gebied nog nadere guidance zal komen later dit jaar. Vanuit Europa is er momenteel geen standaard op het gebied van accountability. De bekende ISO standaard op gebied van beveiliging omvat veel elementen maar is juist minder sterk op gebied van aantoonbaarheid. Internationaal is de ontwikkeling van de Amerikaanse SOC2+ standaard relevant maar in de praktijk wijkt het Amerikaanse begrip van privacy nogal af van wat in Europa gebruikelijk is. Vanuit NOREA is al langer aandacht voor privacy assurance en is een aantal jaren geleden de 3600 standaard ingevoerd voor dit soort opdrachten. Een eventuele Europese standaard zou hiervoor een alternatief kunnen zijn. We zien momenteel nog niet dat het branche breed storm loopt met vragen op gebied van privacy assurance en ook de NOREA standaard is nog niet geactualiseerd voor de ontwikkelingen van de AVG. Wat ons betreft is het door het ontbreken van duidelijke guidance dus hoogst onzeker of het bij de organisaties die persoonsgegevens verwerken met de aantoonbare accountability op gebied van privacy wel goed komt. Gegeven dat de boete straks tot maximaal 20 miljoen kan oplopen is dit een verre van gewenste situatie.

Is aantoonbaarheid makkelijk te implementeren?

Veel organisaties zijn nog in de fase van impact assessment en het uitvoeren van een implementatieproject. De grote vraag is daarbij of aantoonbaarheidsaspecten zijn meegenomen. Als we de ervaringen vanuit de financiële sector op gebied van informatiebeveiliging nemen dan duurt het een paar jaar om de beheersmaatregelen op het juist niveau van volwassenheid te krijgen en de aantoonbaarheid op orde. De toezichthouder kwam toen ook met een meetbaar normenkader waardoor voor iedereen duidelijkheid ontstond (en benchmarking mogelijk werd). Ook bij Digid zijn op dit gebied lessen geleerd. Relevante organisaties moeten jaarlijks door middel van een assurancerapport aantonen dat de maatregelen op orde zijn. Hier werken partijen goed samen om aan de maatschappij te laten zijn dat de zaken op orde zijn. Ook bij privacy spelen veel partijen een rol en zou het mooi zijn om de opgedane ervaring te gebruiken om ook de aantoonbaarheid mee te nemen in het implementatieproces. Om te voorkomen dat in 2018 zaken niet aantoonbaar zijn is nog verdere actie nodig!

Key elementen om aantoonbaarheid voor elkaar te krijgen zijn volgens ons:

  1. Opstellen van een duidelijk normenkader waar iedereen zich aan moet houden. Dit vraagt om een actualisatieslag van de privacy assurance standaard van NOREA.
  2. Zorgen voor draagvlak. Dit vraagt dat de verschillende betrokken partijen zich achter dit normenkader scharen. De toezichthouder en de overheid kunnen hierin een belangrijke voortrekkersrol spelen samen met beroepsorganisaties van assurance providers (NOREA) dan wel certificeringpartijen. 
  3. Aantoonbaarheid onderdeel maken van het implementatieproject. Bepalen welke AVG vereisten van belang zijn voor de organisatie kijkend naar de privacy risico's en een intern beheersingsraamwerk opstellen. Belangrijke uitgangspunten in een privacy beleid opnemen en processen documenteren (documentatieplicht), gegevensverwerkingen in kaart brengen en vastleggen. Zorgen dat aantoonbare beheersingsmaatregelen onderdeel zijn van de nieuwe processen en systemen (privacy by design) zodat geen reparatie achteraf nodig is. In toenemende mate is hiervoor ook tooling beschikbaar.

Vanuit KPMG doen we meerdere privacy assurance opdrachten en staan we klaar om actie nemen op de genoemde key elementen. Iedereen heeft er belang bij dat privacy aantoonbaar op orde is op 25 mei 2018!

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig