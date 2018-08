Nu GDPR van kracht is, zullen bedrijven namelijk regelmatig interne audits moeten uitvoeren om hun nalevingsniveau te beoordelen. De mogelijkheid om deze audits te documenteren zal van vitaal belang zijn in het geval van een inbreuk of klacht, omdat je een grote straf kunt voorkomen als je kunt aantonen dat je te goeder trouw een inspanning hebt geleverd.

Audits zijn van groot belang, omdat verantwoording een van de uitgangspunten is van het GDPR en omdat van organisaties wordt verwacht dat zij hun privacy- en complianceprogramma monitoren als onderdeel van compliance.

Verder zullen audits ervoor zorgen dat organisaties problemen of fouten in hun programma kunnen opvangen en zo de nodige zorgvuldigheid aan de dag kunnen leggen aan de regelgevers als er schendingen plaatsvinden of aan de orde komen. Naleving is geen kwestie van ''instellen en vergeten''. Van bedrijven wordt verwacht dat ze de verordening naleven en dat ze regelmatig controleren of ze aan de verordening blijven voldoen.

Het is belangrijk om GDPR-audits uit te voeren om te controleren of er processen zijn om de vereiste taken uit te voeren, waaronder het recht om te worden vergeten en gegevensportabiliteit, en zodat functionarissen voor gegevensbescherming en personeel weten wat ze moeten doen in het geval van een inbreuk.

Het volledig doorlichten van processen door middel van een audit levert maatregelen op die gebruikt kunnen worden voor procesverbetering. Maar het biedt ook een belangrijk compliance-element - het bewijs dat je bedrijf dergelijke processen heeft en dat ze goed werken - voordat er zich problemen voordoen zoals de wet dat wil. Specifiek, kan het ook helpen algemene onderzoeksresponse te verbeteren, iets wat alle bedrijven zouden moeten doen om het risico van gegevensverlies te minimaliseren.

Bij GDPR-audits zullen waarschijnlijk mensen van buiten security worden betrokken, waaronder datagovernance, IT, juristen en Personeelszaken. Duidelijk is dat veel aandacht zal uitgaan naar cybersecurityprogramma's. Hier volgen de belangrijkste stappen van een GDPR-audit.

1. Opstellen van een GDPR-auditplan

De eerste stap is het hebben van een gedetailleerd plan en een set van schriftelijke, bruikbare en toewijsbare processen die stap voor stap door de wet zijn vereist. Voor degenen die nieuw zijn in het maken van dergelijke plannen, biedt ISO [International Standards Organization] sjablonen voor hun processen. Hoewel niet specifiek voor de vereisten van GDPR, biedt ISO een sjabloon van hoe je goede plannen kunt maken, inclusief details over wie wat doet, hoe en wanneer.

Als onderdeel van deze eerste fase moeten bedrijven goed kijken welke gegevens ze verzamelen, waar ze worden opgeslagen en hoe en waar ze worden verwerkt. De audit moet ervoor zorgen dat dergelijke gegevens naar behoren worden geïdentificeerd. Eenmaal geïdentificeerd, kunnen compliancy-acties worden gespecificeerd.

Wie is er bijvoorbeeld op verzoek van EU-ingezetenen bezig met het traceren van dergelijke gegevens met het oog op verwijdering of doorgifte? Hoe verzeker je je ervan dat een dergelijk verzoek legitiem is? Hoe zorg je ervoor dat de gegevens correct worden verwerkt? Als gegevens moeten worden verwijderd, moet er een proces zijn om ervoor te zorgen dat alle archieven, inclusief gegevensback-ups, naar behoren zijn bijgewerkt en verantwoord.

In het plan moet worden aangegeven welke gegevens van EU-ingezetenen zijn bekendgemaakt en of deze gegevens met behulp van encryptie zijn beveiligd. Als dat het geval is, zijn de stappen voor kennisgeving dramatisch verschillend. Uit de controle moet blijken hoe elk geval wordt behandeld. De beste praktijk zou ook een volledig forensisch controletraject bieden om vragen te helpen beantwoorden en naleving aan te tonen.

Houd er bij het opstellen van een auditplan voor GDPR rekening mee dat bedrijven moeten weten welke gegevens die ze gedurende hun hele levenscyclus in hun bezit hebben. Helaas is GRPR een vage verordening die veel open vragen laat, waardoor de naleving nog ingewikkelder wordt. Dat gezegd hebbende, is het aanbevelingswaardig dat organisaties een auditplan implementeren rond de levenscyclus van persoonsgegevens. Dat omvat het classificeren van persoonlijke gegevens en het beheren van gegevensrisico's, beveiliging en de toeleveringsketen.

2. Lacunes in de GDPR-naleving opzoeken en verslag uitbrengen van de bevindingen

Bekijk je huidige nalevingsprogramma in het kader van de GDPR. Dit omvat de verwerking van gegevens, het proces voor het verzoek om toegang van de betrokkene, technische en veiligheidscontroles, privacybeginselen en mechanismen voor gegevensoverdracht.

De GDPR heeft invloed op het merendeel van de afdelingen binnen een organisatie. De onderzoeksfase van de audit bestaat uit gesprekken en een documentaire/beleidsbeoordeling met elke afdeling die persoonsgegevens verwerkt of verantwoordelijk is voor het beheer, de werking of de technische controles met betrekking tot persoonsgegevens.

Dit zal bepalend zijn voor het vermogen van de organisatie om zich aan te passen aan de GDPR-regels. In onderzoekssessies dient ook te worden ingegaan op de effectiviteit van de organisatie ten aanzien van onder meer de naleving van eisen:

Toegangsverzoeken

Privacy beginselen

Technische en beveiligingscontroles

DPO toepasselijkheid

Data-transfers naar landen buiten de EU zonder adequacy decision

Toezicht op de verwerker en contracten

Reactie op inbreuken en het melden aan een toezichthoudende autoriteit en de betrokkenen

Methode voor de privacy impact assessment

Demonstratie van gegevensbescherming 'by design & default'

Voortdurende monitoring van het nalevingsprogramma

Zodra de onderzoeksfase is voltooid, moeten auditors het huidige proces en de gebieden die niet meer op één lijn liggen, in kaart brengen. Dit houdt in dat een rapport moet worden opgesteld waaruit blijkt dat de organisatie in staat is zich aan te passen aan de GDPR-regels.

Het verslag kan uitgebreid zijn, met uitputtende bevindingen en aanbevelingen over wijzigingen die moeten worden aangebracht. Of het kan zo eenvoudig zijn als een "uitgelijnd" of "niet uitgelijnd" rating, met dien verstande dat alles onder de "niet uitgelijnd" categorie moet worden gesaneerd.

3. Prioriteiten stellen en lacunes in de naleving van het GDPR opvullen.

Vervolgens moet het auditteam prioriteit geven aan de gebieden die niet aan de eisen voldoen, op basis van het risiconiveau van de specifieke gebieden. Kies voor een risicogebaseerde aanpak bij het werken aan sanering. Zo hebben de regelgevers op conferenties opgemerkt dat zij zich zullen concentreren op inbreuken en het vermogen van een organisatie om legitieme verzoeken om toegang tot subjecten te vergemakkelijken. Als je bedrijf op dit gebied tekortschiet, raden wij je aan het probleem onmiddellijk te verhelpen.

Factoren waarmee rekening moet worden gehouden bij het bepalen van het risico zijn onder meer de waarschijnlijkheid dat een inbreuk zich voordoet, de mate waarin de regelgeving niet wordt nageleefd en de gevolgen voor het bedrijf in geval van een inbreuk. Beginnend met de gebieden met het hoogste risico, begin met het dichten van de GDPR-nalevingstekorten die in de ontdekkingsfase zijn aangetroffen.

Gezien het brede toepassingsgebied van de verordening en de verschillende vereisten is het onwaarschijnlijk dat leemten door één persoon of team zullen worden opgevuld. Verstrek taken aan de juiste eigenaars die verantwoordelijk zijn voor sanering en realistische deadlines.

Het is essentieel om te begrijpen dat sommige saneringspunten langer zullen duren dan andere. Voor technische oplossingen en updates kan bijvoorbeeld een herverdeling van het budget en een uitbreiding van het personeel nodig zijn, of voor de rechten van de betrokkenen kan een opleiding nodig zijn voor de teamleden die verantwoordelijk zijn voor de front-end behandeling van verzoeken van eindgebruikers.

4. Test de saneringsinspanningen

Nu het auditteam de tijd en middelen heeft geïnvesteerd in het vinden en verhelpen van compliance gaps, is het van groot belang dat de processen en systemen van de organisatie voldoen aan de GDPR-eisen.

Test en hertest de controles die de organisatie heeft ingesteld, om ervoor te zorgen dat hiaten worden opgevuld, en eventuele problemen die zich kunnen voordoen op te lossen. Nu de leemten zijn opgevuld, is een audit uitgevoerd om na te gaan of aan de eisen is voldaan.

Vergeet niet dat dit een doorlopend proces is. Voer regelmatig audits uit om er zeker van te zijn dat het privacy- en complianceprogramma naar behoren functioneert. Voer doorlopend audits uit van en testen continu de naleving van het privacy framework om ervoor te zorgen dat alles in orde is. Verantwoordingsplicht is een principe onder het GDPR, en organisaties moeten een doorlopend controle- en handhavingsprogramma implementeren om te testen of het privacyprogramma effectief is in het voldoen aan de GDPR-vereisten.

Elementen van het GDPR en de dataprivacy moeten worden opgenomen in regelmatige risicoanalyses.

Er zijn aspecten van de wet die mogelijk niet op alle bedrijven van toepassing zijn, zoals het benoemen van een functionaris voor gegevensbescherming of het bijhouden van een register van verwerkingsactiviteiten. De audit zelf kan bedrijven helpen de vereisten beter te begrijpen.

Bonusvoordelen van GDPR zelfcontroles

Het uitvoeren van een GDPR-audit kost tijd, geld en andere middelen. Het rendement van die investering kan echter groter zijn dan alleen het verminderen van het risico op een boete. De voordelen van een goede uitvoering van een interne audit wegen veel zwaarder dan de kosten en inspanningen die nodig zijn om de audit uit te voeren.

Zo is de zelfcontrole een manier om aan te tonen dat je om de klant geeft. Elke organisatie die onder de GDPR valt zou zich op de borst moeten kloppen met hoe goed ze hun klanten beschermen en dat ze voor hen opkomen. Het is verbazingwekkend hoeveel organisaties de GDPR eerder als een dictaat zien dan als een kans. Leiders in de markt zullen openhartig en duidelijk zijn over alles wat ze doen om trouwe rentmeesters van klantinformatie te zijn en ze zullen het voortouw nemen door hun klanten specifiek te laten zien hoe en waarom die gegevens worden gebruikt om betere diensten te verlenen.