Privacy-audits: de effecten, dilemma’s en best practices
Marlon Domingus, Functionaris voor de Gegevensbescherming | Erasmus University Rotterdam
Audits zijn een belangrijk instrument voor organisaties om de AVG-compliance en privacyvolwassenheid te toetsen. Marlon Domingus, Functionaris voor de Gegevensbescherming bij Erasmus University Rotterdam en docent van Outvie, vertelt over de meerwaarde en de uitdagingen van privacy-audits.
Het belang van een privacy-audit
“Er zijn mensen die zeggen: je weet toch hoe dataprotectie ervoor staat in je organisatie, dus waarom zou je dan een audit doen? Maar ik zeg dan: we kennen de situatie misschien, maar hebben we ook echt hetzelfde beeld en expliciet op papier?, ” zegt Marlon Domingus, FG bij Erasmus University Rotterdam (EUR) en docent van de Outvie-training Implementatie Data-ethiek.
Domingus volgde in 2021 de driedaagse masterclass Auditing Privacy, op het moment dat aan de EUR de eerste grootschalige AVG-audit plaatsvond. “Als FG vond ik de audit heel belangrijk, omdat daarmee een cyclus opstart waarin je regelmatig kijkt naar verbeterpunten. De directeuren, het College van Bestuur en de Raad van Toezicht wilde er ook over geïnformeerd worden. Een audit geeft structuur aan het werk van onze instelling, gefaciliteerd door het privacyteam en legt op bestuurlijk niveau gewicht in de schaal. Een audit is echt van toegevoegde waarde als je inzichten wilt opdoen die niet in twijfel worden getrokken.”
Positieve effecten van het auditproces
Het auditproces heeft volgens Domingus verschillende positieve effecten. “Bezig zijn met de audit is als zodanig al van toegevoegde waarde. In de eerste fase van de organisatie van de audit zoek je afstemming met een grote diversiteit aan stakeholders om de scope en werkwijze te bepalen. Dat afstemmingsproces brengt je dichter tot elkaar. Dat is belangrijk voor het draagvlak dat nodig is om uiteindelijk opvolging te geven aan de uitkomsten en aanbevelingen van de audit. Een tweede effect is dat de audit, zeker als je daarvoor een externe partij inschakelt, een veel rijker beeld geeft van de situatie dan je misschien verwachtte. Frisse ogen zien kennelijk meer.” Een extra bonus is dat een AVG-audit bijdraagt aan de interne positionering van het thema dataprotectie, omdat de eerste uitkomsten én de vervolgacties op de bestuurlijke agenda komen te staan.
Uitdagingen tijdens én na een privacy-audit
Een van de grootste uitdagingen van privacy-audits is om een concrete invulling te geven aan de normen uit de Algemene Verordening Gegevensbescherming (AVG), aldus Domingus. “Voor de meeste certificeringsschema’s waaraan we gewend zijn, zoals van ISO, geldt een duidelijke norm die je in een audit toetst. Het vakgebied van dataprotectie is nog niet zo ver dat er gedetailleerd uitgewerkte en nauwkeurige normen zijn. Je maakt afwegingen die sterk contextafhankelijk zijn, en dat maakt de methodologie voor een audit heel lastig.” Een aandachtspunt daarbij is de kwaliteit van data die tijdens een audit worden verzameld. “Hoe zorg je dat alle relevante feiten boven tafel komen? Hoe diepgaand interview je betrokkenen? Hoe groot is een steekproef en wat is er nodig voor een representatieve sample? Hoe voorkomen we tunnelvisie?”
Niet alleen bij de opstart en uitvoering van een audit spelen ingewikkelde vraagstukken. Ook de uitkomsten roepen complexe issues op. “Op de concept-rapportage kunnen de interne stakeholders zienswijzen indienen. Hoe ga je daarmee om? Hoe voorkom je een tijdrovend proces? Vervolgens is het de vraag hoe de opvolging van de aanbevelingen plaatsvindt. Maak je aanbevelingen een onderdeel van een roadmap waaraan privacy officers werken, of stel je speciale organisatiebrede programma’s en projecten op? Hoe bepaal je daarbij de prioriteiten? Het risico bestaat dat de opvolging van de audit zoveel werk vergt dat het onuitvoerbaar wordt.”
Dilemma’s rond privacy-audits
De prioritering van vervolgstappen is een van de dilemma’s waarmee de Chief Privacy Officer (CPO) en de privacy officers te maken krijgen na een AVG-audit, merkt Domingus. “Je ziet als privacyteam door de audit heel goed de urgentie om zaken te verbeteren. Maar het kost vaak best wat tijd om de juiste maatregelen te nemen. Awareness en training zijn bijvoorbeeld altijd belangrijke aandachtspunten. Maar voor een effectieve inzet heb je rolspecifieke, compacte, actuele trainingen nodig, die ook nog eens leuk zijn voor medewerkers om aan mee te doen. Dat soort trainingen ligt niet voor het oprapen.”
Bij de EUR heeft de privacy-audit uiteindelijk wel geholpen om de urgente issues voor de korte termijn met voorrang op te pakken. “We hebben de aanbevelingen uit de audit gerangschikt op urgentie, en de CPO heeft gekeken hoe we de uitvoering goed organiseren. Dat heeft er bijvoorbeeld toe geleid dat we capaciteit hebben vrijgemaakt om aan specifieke onderdelen van onze roadmap te werken. Je wilt namelijk nieuwe programma’s draaien om met de verbeterpunten uit de audit aan de slag te gaan, maar ook voortgang blijven boeken op de business as usual. Privacy officers zijn doorgaans erg druk met de vraagstukken uit de dagelijkse praktijk, en kunnen er vaak niet extra projecten bij hebben.”
Tips voor succesvolle AVG-audits
Begin kleinschalig met audits, zodat je ervaring opdoet met het proces, adviseert Domingus. “Een van de grote eye-openers van de masterclass Auditing Privacy was voor mij dat je een audit ook kunt inzetten als een instrument om specifieke zaken te onderzoeken. Stel dat er iets misgaat met gegevensverwerkingen rond een sollicitatieprocedure. Dan geeft een audit handvatten om de feiten boven tafel te krijgen en gerichte vervolgacties te bepalen. Tijdens de masterclass krijg je daarvoor allerlei tips en tools aangereikt.”
Een audit kan je ook expliciet inzetten als een instrument om als organisatie te leren, voegt Domingus toe. “Het is dan wel belangrijk om het leerdoel van begin tot einde centraal te zetten. Als je start vanuit de ambitie om te snappen hoe de organisatie ervoor staat, dan moet je niet op basis van de aanbevelingen alsnog mensen de maat nemen.”
“Het auditproces geeft je een toolbox om op een andere manier naar je werk te kijken”, concludeert Domingus. “Je kunt bijvoorbeeld documenten onderzoeken, een register inspecteren en interviews uitvoeren. Vervolgens kan je als privacy professionals gezamenlijk verkennen welke dashboards en kengetallen relevant en nuttig zijn om voortgang te monitoren. Je stelt dan gezamenlijk vast waar de organisatie nu staat, wat dat betekent en waar je naartoe werkt. Zo zorg je ervoor dat je niet opereert vanuit een onderbuikgevoel, maar op basis van feiten en cijfers.”
Masterclass Auditing Privacy
Tijdens de masterclass Auditing Privacy van Outvie leert u alle need-to-knows rondom het auditen van privacy en gaat u zelf actief aan de slag met de actuele normenkaders en privacy audits. Kijk voor meer informatie over het programma en tickets op de website van Outvie.
Het Nationaal AI-Congres Compliance & Update
Het Nationaal AI-Congres Compliance & Update op 30 mei 2024. Haal het maximale uit...
Dataprotectie & Privacy
Tijdens de 12e editie van dit actualiteitencongres hoort u visies, aanpak en best practices...
Download de brochure
Share
