Audits om te groeien in privacyvolwassenheid

Audits geven onmisbare inzichten voor de privacy governance van een organisatie. Rachida Loulidi van de Auditdienst Rijk (ADR) vertelt over de privacyrisico’s, trends, best practices en do’s en dont’s van privacy auditing.

“Het privacydomein is continu in ontwikkeling, en veel organisaties zijn verder aan het groeien in privacyvolwassenheid. Door de initiële focus op de implementatie van de meer zichtbare vereisten van de Algemene verordening gegevensbescherming (AVG) is de privacy governance niet altijd goed ingericht. Hierdoor bestaat de kans dat de verwerkingsverantwoordelijke beperkt inzicht heeft in naleving van de andere vereisten. Audits zijn een belangrijke manier om invulling te geven aan de verplichting tot aantoonbare naleving van de AVG”, zegt Rachida Loulidi, senior auditor bij het ministerie van Financiën en coördinator van rijksbrede privacy-onderzoeken van de Auditdienst Rijk (ADR), de onafhankelijke interne auditor van de Rijksoverheid en de Audit Autoriteit in Nederland voor de Europese Commissie. “Om aantoonbaar in control te zijn, moet de mate van beheersing van de privacyrisico’s worden getoetst en onderdeel worden gemaakt van de governance. Audits en andere onafhankelijke onderzoeken maken de effectiviteit van het privacy management inzichtelijk.”

Grip op privacyrisico’s

Loulidi, die gastdocent is van driedaagse masterclass Auditing Privacy van Outvie, voert binnen de Rijksdienst privacy gerelateerde audits uit, en coördineert onderzoeken om te borgen dat alle departementen langs dezelfde meetlat worden gehouden. “Door veranderingen in de wet- en regelgeving, waaronder naast de AVG ook de Richtlijn politiële en justitiële gegevens, groeit de vraag naar privacy-onderzoeken de laatste jaren significant.”

Ook de uitbreiding van de sanctiemogelijkheden van de Autoriteit Persoonsgegevens (AP) en de verhoogde aandacht voor datalekken en de bescherming van persoonsgegevens in de samenleving en de Tweede Kamer dragen volgens Loulidi bij aan deze ontwikkeling. “Er is binnen de Rijksoverheid een groeiend bewustzijn van de maatschappelijke behoefte aan zekerheid over de zorgvuldige omgang met persoonsgegevens van burgers. Bestuurders vinden grip op privacyrisico’s daardoor steeds belangrijker, wat de belangstelling voor audits doet toenemen.”

Audits voor toezicht

Aandacht voor audits sluit aan bij de ambities van organisaties om te groeien in privacyvolwassenheid, aldus Loulidi. “Als je de basis van AVG-verplichtingen eenmaal hebt geïmplementeerd, dan wil je ook inzicht krijgen in de werking van het getroffen stelsel van maatregelen, zodat er tijdig bijgestuurd kan worden. Afhankelijk van de strategie van de organisatie omtrent de bescherming van persoonsgegevens wordt deze informatie opgenomen in het jaarverslag.”

Een audit is een methodiek om systematisch onafhankelijk onderzoek te doen, zegt Loulidi over het belang van privacy auditing. “Als een auditor aangeeft dat een maatregel goed is ingeregeld, dan weegt dat oordeel zwaarder dan als een interne betrokkene dat zegt. Als interne auditor reflecteer je op het management control systeem en maak je – net als voor andere bedrijfsrisico’s – een inschatting van de risico’s en een inventarisatie van de genomen maatregelen. Het resultaat geeft je de mogelijkheid om tijdig bij te sturen op risico’s en vervolgens te zorgen voor passende beheersmaatregelen. Audits zijn daarom informatiebronnen voor Functionarissen voor de Gegevensbescherming (FG’s) en privacy officers om hun toezichttaken uit te voeren. Je kunt nu eenmaal niet alles zelf zien.”

Privacyrisico’s van materieel belang

De ADR besteedt sinds 2016 extra aandacht aan de beheersing van privacyrisico’s. “De sanctiebevoegdheden van de AP hebben de bescherming van persoonsgegevens een risico van materieel belang gemaakt. Je bent als organisatie aansprakelijk als je de zaken niet op orde hebt. Daardoor zijn onderzoeken naar processen om datalekken te voorkomen extra belangrijk geworden.” Na de eerste systematische onderzoeken naar datalekprocedures is in 2017 en 2018 Rijksbreed gekeken naar de voorbereidingen op en de voortgang van de AVG-implementatie. De afgelopen jaren zijn diverse thematische onderwerpen uitgediept, waaronder de kwaliteit van het register van verwerkingsactiviteiten, data protection impact assessments (DPIA’s), rechten van betrokkenen en datalekken.

“Het tool auditing dient in dit verband niet gebruikt te worden als een afrekenmethodiek en een auditor moet er voor waken niet op te treden als een politie-agent”, benadrukt Loulidi. “De bescherming van persoonsgegevens is misschien nog niet overal op het niveau dat we zouden willen of verwachten. Als auditor kan je de organisatie juist meenemen in de verkenning van de risico’s. En door handelingsperspectieven te bieden, kan je bijdragen aan de ontwikkeling naar een organisatie die daar grip op heeft. De implementatie van de AVG is in veel organisaties in een snelkookpan uitgevoerd. Soms is het traject ingestoken vanuit informatiebeveiliging, en ligt de focus op IT-risico’s, waardoor andere soorten risico’s buiten beeld raken. In trajecten die zijn getrokken door juristen zie je eerder dat de ICT-risico’s onvoldoende zijn onderkend. Een audit kijkt van buiten naar binnen en geeft inzicht in mogelijke blinde vlekken.”

Organisaties verder brengen

Auditors kunnen met hun onafhankelijke blik de organisatie daadwerkelijk verder brengen, vindt Loulidi. “Je schetst handelingsperspectieven om risico’s beheersbaar te maken, zonder op de stoel van de manager of bestuurder te gaan zitten. Je kunt bijvoorbeeld constateren dat de kwaliteit van het register van verwerkingsactiviteiten onvoldoende is en adviseren dat er procedures worden ingesteld die de juistheid en volledigheid van het register beter beheren. Maar welke procedures dat precies zijn, is een keuze van de manager en niet van de auditor.”

“Je kunt momenteel alleen aangeven of een organisatie beschikt over een stelsel van maatregelen dat borgt dat de wet- en regelgeving kan worden nageleefd. Je kunt niet vaststellen dat de organisatie compliant is”, zegt Loulidi over de mogelijke uitkomsten van een privacy audit.

Governance framework

Bepaal samen met managers en bestuurders de topics en kaders voor een audit, adviseert Loulidi. “Denk mee over de scope van een audit, en adviseer over de juiste aanpak. Benut de vaak kostbare en schaarse auditcapaciteit specifiek voor thema’s waarover de meeste zorgen bestaan, zoals risico’s met een grote impact op de burger en/of organisatie.” Het agenderen van de potentiële effecten van privacyrisico’s zorgt ook voor een sense of urgency in de organisatie, waardoor het onderwerp uiteindelijk voldoende prioriteit krijgt.

Auditing gaat alleen maar belangrijker worden, voorspelt Loulidi. “Organisaties hebben een goede fundering nodig om stabiel te opereren. Dat vereist voldoende aandacht voor governance van privacy, en die aandacht komt er gelukkig ook steeds meer. Daarnaast staat de organisatie van de interne privacy office steeds meer op de agenda. Wat zijn de taken, bevoegdheden en middelen van de privacy organisatie? Wat verwachten we precies van de FG, van privacy officers en van adviseurs die betrokken zijn bij dataprotectie? Audits leveren belangrijke input voor een data governance framework dat organisaties doet groeien in privacyvolwassenheid. “

De masterclass Auditing Privacy geeft concrete handvatten voor een adequate aanpak en uitvoering van privacy audits. Kijk voor meer informatie en het programma op de eventpagina.