Pragmatische GBA, proactieve VTC GBA, “geen boetes willekeurig rondstrooien”
september 30, 2019
Strategisch plan 2020-2025 van de GBA
januari 24, 2020
Show all

GDPR audit, the next step

Voor veel organisaties is de implementatie van nieuwe privacyregels, de GDPR, een serieuze inspanning geweest. Voor hen stopt het werk echter niet na de implementatie. Deze organisaties zullen ook in de toekomst het handhavingsniveau moeten blijven bewaken. Periodieke audits zijn hierbij dé tool om de aantoonbaarheid te bewaken. We zien bijgevolg in het speelveld van GDPR een toenemende vraag naar audits, vaak ingegeven door een vraag van directie of audit comité.

De plicht om het niveau van handhaving te monitoren is trouwens niet vrijblijvend. De wetgeving legt op om het niveau van gegevensbescherming te evalueren en waar nodig te actualiseren (zie artikel 24 lid 1). De organisatie dient hierbij na te gaan of de genomen maatregelen om persoonsgegevens te beschermen volstaan. Immers, de technieken om gegevens te beveiligen evolueren, evenals de technieken om deze beveiligingssystemen te omzeilen. Ook de hoeveelheid persoonsgegevens waarover men beschikt en wat men er precies mee aanvangt is geen constante in een bedrijf. Periodieke evaluaties zorgen er voor dat alle verwerkingen van persoonsgegevens steeds volgens de wettelijke bepalingen verlopen.

Wanneer een organisatie daarbij het verwerken van persoonsgegevens geheel of gedeeltelijk overlaat aan een externe partij, valt deze firma ook in de scope van de evaluatie. In contracten, de zogenaamde verwerkersovereenkomsten, dient dan ook het recht op het uitvoeren van een audit te worden opgenomen. Het is aangewezen om, daar waar nodig, de handhaving van het afgesproken gegevensbeschermingsniveau te controleren. In deze gevallen is het uitvoeren van zo’n audit een aangewezen methode.

We kunnen dus stellen dat voor bedrijven die een GDPR-implementatie achter de rug hebben, de activiteiten verschuiven naar controle en bijsturing. Dit vergt een serieuze inspanning en permanente kost. Het is dan ook logisch dat bedrijven de inspanningen willen valoriseren, bijvoorbeeld door labels aan te brengen die aantonen dat ze op een succesvolle manier met GDPR aan de slag zijn gegaan en zelfs gecertificeerd zijn.

Hoewel deze labels en certificaten zeker en vast de inspanning tonen, geven ze natuurlijk geen enkele garantie dat het nooit verkeerd kan gaan met het verwerken van persoonsgegevens. Langs de andere kant geeft het wel een zekere vorm van vertrouwen voor klanten en burgers, zeker als de certificaten worden toegekend na een grondige screening en op basis van een door de markt erkende standaard. Deze standaarden vinden langzaam maar zeker hun weg naar de markt, zoals bijvoorbeeld de Britisch Standard 10012 en de ISO 27701 standaard.

Naast het certificeren van organisaties is er ook de mogelijkheid om producten of diensten te onderwerpen aan een screening. Deze mogelijkheid is trouwens ook expliciet opgenomen in GDPR (zie artikels 42 en 43), in tegenstelling tot de certificatie van organisaties. Op dit vlak is de markt nog zeer jong en onontgonnen, maar samen met het voornemen van Europa om ook rond cyber security aan certificering te werken, is hier nog veel potentieel.

Bij DPI hebben we begrepen dat het uitvoeren van GDPR-audits, zowel voor de evaluatie van organisaties als het screenen van producten en diensten, een belangrijk onderdeel is van de activiteiten in dit domein. Anderzijds zijn we er ons van bewust dat niet elke GDPR-specialist kaas heeft gegeten van het voeren van audits. Daarom hebben we het afgelopen anderhalf jaar hard gewerkt aan een opleiding op maat voor iedereen die de basistechnieken van een GDPR-auditor onder de knie wil krijgen. Heb je interesse, neem dan zeker contact op met één van onze coaches of schrijf je in via de website.