- Partner met passie voor data-compliance en integriteit
- Expertise in privacy gecombineerd met gegevensbescherming en AI
- Maatwerk: van advies, naar implementatie tot nazorg
- Volledig ontzorgen bij alle privacy- en cybersecurity-vraagstukken
Zeven vragen over privacy audits aan Joop Jansen
Privacybescherming staat in toenemende mate in de belangstelling. Niet alleen om een boete van de toezichthouder te voorkomen, maar zeker ook om je in positieve zin te onderscheiden. Door te laten zien dat je zorgvuldig om gaat met persoonsgegevens. Joop Jansen is Chief Legal Officer bij Partner in Compliance. Vanuit zijn jarenlange ervaring als advocaat voor kleine en grote bedrijven kent hij dit vakgebied als geen ander en heeft hij veel privacy audits uitgevoerd.
Wat is de aanleiding voor een privacy audit?
Dat is heel wisselend. Bijvoorbeeld de overgang naar een ander IT-systeem, een bedrijfsovername, het outsourcen van HR- of IT-afdeling, de wijziging van diensten, een datalek, een boete willen voorkomen of een boete die is opgelegd door de toezichthouder.
Ik kom ook tegen dat een extra check gevraagd wordt op naleving en interpretatie van de Algemene verordening gegevensbescherming (AVG). Bijvoorbeeld door een notariskantoor omdat ze werken met veel vertrouwelijke gegevens. De vraag was om een controle te doen op basis van de laatste inzichten. In de praktijk blijkt er onduidelijkheid te zijn over de bewaartermijn van gegevens. Wij kunnen daar helderheid over geven.
Wat is het doel van een privacy audit?
Voor het bestuur is dat voldoen aan de verantwoordelijkheid om privacy-compliant te zijn. Voor de afdelingen is het doel een duidelijk kader schetsen over hoe medewerkers hun werk kunnen doen in lijn met privacy wet- en regelgeving. Niet alleen de bewustwording van de vereisten is van belang, maar ook het waarom daarachter.
Ik zie een omslag in het doel. De privacy audit wordt steeds meer gebruikt om aan te tonen dat je het goed doet als organisatie. Ik verwacht dat dit gaat toenemen, ook in het licht van de aandacht in de media voor datalekken.
Van buiten naar binnen kijken – de privacy audit wordt steeds meer een instrument om te laten zien dat je het goed doet als organisatie.
Wat gebeurt er bij een privacy audit?
Dat hangt sterk af van wat de aanleiding is van een audit. In het algemeen kun je zeggen dat we controleren of de organisatie compliant is aan de privacy wet- en regelgeving. We bekijken of de processen juist ingericht zijn: worden er niet teveel gegevens vastgelegd, is de gegevensverwerking zorgvuldig ingericht en is de bescherming van de gegevens goed geregeld. We kijken hoe de processen in de praktijk worden uitgevoerd.
In de praktijk komen we steeds vaker tegen dat er gebruik wordt gemaakt van een extern IT-systeem of van de cloud. In de audit bekijken we of de afspraken met de externe leverancier en de processen privacy-compliant zijn. We zien dat dit voor het melden van een datalek niet altijd het geval is. Beide partijen moeten het datalek melden bij de Autoriteit Persoonsgegevens (AP). Maar wie bepaalt of iets een datalek is? Het is belangrijk om dit goed in te richten. De eindverantwoordelijkheid ligt bij het bestuur van jouw organisatie.
Wat levert het mij als organisatie op?
Na een privacy audit heb je helder inzicht in hoe jouw organisatie ervoor staat. In feite een nulmeting: is jouw organisatie compliant of niet? Hoe is het verkrijgen, de vastlegging, het gebruik, de bescherming en de vernietiging van persoonsgegevens binnen jouw organisatie geregeld? We geven je advies over de aandachtspunten en knelpunten. Je krijgt praktisch advies over hoe nu verder.
Wat vind jij een interessant voorbeeld van een privacy audit?
Een organisator van medische congressen legt persoonlijke data vast van deelnemers, artsen van over de hele wereld. Je hebt dan niet alleen te maken met Europese richtlijnen, maar met wereldwijde privacy wet- en regelgeving. Een van de bevindingen van de audit was dat de klant via de website dieetwensen of voedselallergieën kan opvragen, maar dat ze deze niet kan vastleggen in de database. De enige geldige grondslag van deze informatie is het diner tijdens het congres.
We zien vaker dat:
- meer gegevens verzameld worden dan nodig is
- gegevens te lang bewaard worden
- niet duidelijk is wie verantwoordelijk is voor de persoonsgegevens
- het proces, hoe om te gaan met vragen van consumenten over de van hen vastgelegde gegevens, niet of niet goed is ingericht.
Wat is de leukste audit die je afgelopen tijd hebt gedaan?
Een erg leuke audit was onderzoek voor een organisatie die virtualrealitybrillen voor chirurgen levert. De vraag was: is er toestemming van de patiënt nodig? Door objectief te kijken was snel duidelijk dat dit niet het geval is. Er worden geen opnames vastgelegd. De beelden – waarbij de patiënt niet herkenbaar in beeld komt – worden alleen gebruikt tijdens de operatie zodat andere artsen op afstand mee kunnen kijken om te leren.
Wat maakt jouw werk bij een privacy audit zo leuk?
Ik vind het interessant om mijn kennis toe te kunnen passen. Ik kom door mijn werk bij veel verschillende typen organisaties en leer ze bij het doorlichten van de processen kennen. Iedere organisatie is weer anders. Wat ik leuk vind aan mijn werk is dat ik van buiten naar binnen kan kijken. Ik kan laten zien waar er procesverbeteringen zijn te bereiken en wat besparingen kan opleveren.
In het kort
Meer weten?
Neem contact op met
Joop Jansen
+31 20 30 80 6 80
joop@partnerincompliance.nl
© 2024 Partner in Compliance B.V.