01.09.2020

De toekomst van privacy is business as usual

Wie plannen maakt voor komend jaar zal zich afvragen ‘Wat is de toekomst van privacy binnen mijn organisatie?’. Data-ethiek, compliance, tech-reuzen, apps en IoT, smart cities en meer gebruik van biometrische gegevens. Allemaal hebben ze invloed op ons denken over ‘privacy’. Voor organisaties echter is de toekomst van privacy een stuk eenvoudiger te duiden. De AVG is al twee jaar het kader waarbinnen verwerkingen plaatsvinden. Aan deze wet voldoen is het vertrekpunt. Je zit in de overgang van een projectmatige aanpak voor het naleven van de AVG naar beheer: privacy als ‘business as usual’.

Aantonen naleving privacy

Hoe beter jouw organisatie omgaat met persoonsgegevens, hoe lastiger het wordt om specifieke verbeterpunten te benoemen. Werkprocessen en verhoogd bewustzijn zijn inmiddels verbeterd door PIA’s, datalekken en uitdagingen tijdens de corona-crisis. Daardoor wordt het lastig een gericht werkprogramma op te zetten. Toch staat één onderwerp steeds meer in de belangstelling. Dat is aantoonbaarheid van de naleving. Hoe geef je als Privacy Officer (PO) of Functionaris Gegevensbescherming (FG) handen en voeten aan dit aspect van ‘business as usual’ in 2021? Waar leg jij komend jaar de prioriteiten? Een oplossing is het gestructureerd uitvoeren van interne audits.

PDCA vraagt om meten

De behoefte om te weten waar de organisatie staat groeit. Metingen zijn tot nog toe door een projectteam, Functionaris Gegevensbescherming of Privacy Officer uitgevoerd. De volgende stap in volwassenheid van jouw organisatie is om naleving van de AVG te gaan meten. Dit kan met interne audits. Deze brengen de uitvoer van de PDCA-cyclus op een hoger niveau.

PDCA cyclus informatiebeveiliging en privacy

De PDCA-cyclus komt op meerdere plaatsen voor in de AVG. Zowel in artikel 24 AVG, die de organisatie verplicht een gegevensbeschermingsbeleid te hebben en maatregelen te evalueren en te actualiseren en artikel 5 lid 2 die de aantoonbaarheid van de naleving benoemt. Ondanks dat er op dit moment nog geen erkende normenkaders voor toetsing van de AVG zijn, kun je wel een interne audit uitvoeren op bestaande normenkaders.

Prima uitgangspunten zijn:
• het Privacy Control Framework (PCF) van de Norea;
• de CIP Baseline;
• de ISO27701 (een uitbreiding op de norm voor informatiebeveiliging ISO27001 waar ook de BIO op is geschreven);
• een ‘echte’ AVG-certificering zoals de BC5701.

Voordeel van een audit op privacy

Met een interne audit meet je op onafhankelijke en objectieve wijze de mate van naleving van de AVG. Het verschil tussen het ‘langslopen van de AVG’ en het uitvoeren van een interne audit zit in de methodiek. De methodiek bestaat uit het vooraf vaststellen wat je wilt beoordelen en welk toetskader je wilt gebruiken. Vervolgens beoordeel je strikt naleving van deze norm op dit moment. Vergelijk dit met het beoordelen van projectresultaten, waarbij resultaten worden afgezet tegen het projectplan en mogelijkheden voor bijsturing. Een interne audit is veel strikter en biedt daarmee een kritische momentopname.

Nuttige inzichten

Audits kunnen botsen met een pragmatische aanpak van privacy. Waarom zou je dit gedoe op je hals halen? Een belangrijke reden ligt in de recente uitspraken van de Autoriteit Persoonsgegevens (AP) naar aanleiding van onderzoeken naar bijvoorbeeld het gebruik van vingerafdrukken, het omgaan met logbestanden in een ziekenhuis en het gebruik van ledengegevens voor marketingdoeleinden door de tennisbond. Opvallend in alle uitspraken is de rechtlijnige benadering die de AP hanteert. “U hebt inmiddels uw leven gebeterd? U bent van mening dat uw maatregelen afdoende waren? U vindt dat de betrokkene geen risico’s liep? Wij zien dat anders en treden handelend op”, is houding van de AP kort samengevat. Over deze houding zal nog veel geschreven worden, maar vaststaat dat de AP de AVG soms zeer strikt interpreteert. Een goed uitgevoerde audit hanteert een vergelijkbare invalshoek en leidt tot zeer nuttige inzichten.

Een werkende PDCA-cyclus

Komend jaar zal privacy nog meer business as usual worden. Maar hoe ziet dat er voor privacyfunctionarissen en FG’s uit? Voor de toekomst van privacy in een organisatie staat een werkende PDCA-cyclus centraal. Onderzoeken en meten vormen hier een belangrijk onderdeel van. Met interne audits kan de vraag ‘voldoen we aan de AVG en kunnen we dat aantonen?’ kritisch en objectief beantwoord worden. Het leidt tot betere naleving van de AVG en daarmee betere bescherming van persoonsgegevens.

IC Content Privacy (PMS)

Is jouw organisatie klaar voor interne audits? Met IC Content richt je de PDCA-cyclus eenvoudig in. Daardoor ben je in staat om de scope te bepalen, processen te verbeteren en je gereed te maken voor audits. IC Content ondersteunt je bij het organiseren, opzetten, beheren en optimaliseren van jouw privacy handboek. Maak nu een afspraak voor een vrijblijvende demo. Wij doen je zo snel als mogelijk een vrijblijvende offerte toekomen. Ook voor andere vragen staan wij graag voor je klaar! Je kunt ons bereiken via telefoonnummer 085 – 30 30 279 of per e-mail naar info@safeharbour.nl