Het is voor bedrijven en organisaties onmogelijk om per 25 mei 2018 te voldoen aan alle eisen zoals vastgelegd in de nieuw Europese privacywet GDPR (in het Nederlands de AVG) die op die datum ingaat. Dat stelt een meerderheid (65 procent) van de zeventienhonderd it-auditors die verbonden zijn aan beroepsvereniging Norea in een representatieve steekproef. Volgens de it-auditors is de GDPR vooral een stimulans om informatiebeveiliging goed te regelen.
Net als eerder door de Autoriteit Persoonsgegevens is aangegeven, zijn sommige wetswijzigingen nog in ontwikkeling en staat de diepgang ervan nog ter discussie. Vandaar dat het niet haalbaar is om aan alle eisen te voldoen, licht Norea-projectmanager voor kwaliteit en vaktechnische communicatie Jan de Heer toe.
Opvallende uitkomsten uit de enquête: Volgens 97 procent van de it-auditors is de komst van de AVG (GDPR) een extra stimulans om informatiebeveiliging goed te regelen. Toch is er ook kritiek: namelijk, het bewustzijn van de toezichthouders is volgens de it-auditors nog sterk voor verbetering vatbaar.
De it-auditors gaan dieper in op een aantal hoofdonderdelen van de AVG (GDPR). 59 procent van de it-auditors heeft de indruk dat de zogenoemde ‘Pré-Privacy Impact Assessment’ (overeenkomstig artikel 35 – lid 3) misbruikt kan worden om de verplichte volledige impact assessment achterwege te laten.
Assurance-verklaring
Verder is volgens de auditors de ‘privacy-governance’ van organisaties nog onvoldoende of beperkt ingericht om recht te doen aan het ‘accountability beginsel’,(aldus 83 procent van de it-auditors).
Ten aanzien van accreditatie en AVG-certificering voorziet 26 procent van de it-auditors dat het wettelijke traject (conform artikel 42) het meest aan de behoefte zal voldoen, terwijl een assurance-verklaring, die door de it-auditor zelf kan worden afgegeven, door 24 procent als leidende vorm van certificering wordt gezien. Samenvattend trekt 65 procent van de it-auditors de conclusie dat 25 mei 2018 geen enkele organisatie aan alle eisen van de AVG kan voldoen.
Privacy vanuit risicobenadering
Volgens 94 procent van de it-auditors vormt een risico-gedreven benadering het beste vertrekpunt voor onderzoeken naar privacy-beheersing.
De Heer benadrukt dat er onder druk van de ingangsdatum van de GDPR veel onrust is bij bedrijven en organisaties. Het advies namens de Norea-achterban: ‘Richt je eerst op risicobenadering, begin met de context, bedrijfsvoering en het belang en ga daarna pas naar persoonsgegevens kijken, anders optimaliseer je alleen op deelgebieden. Het gaat juist om het geheel.’
Privacy Control Framework
Norea publiceerde eerder het Privacy Control Framework (PCF). Dit raamwerk moet it-auditors helpen bij een objectieve beoordeling van de manier waarop een organisatie persoonsgegevens verwerkt en aan de hand van de belangrijkste onderdelen van de AVG aangeven of een organisatie voldoet aan de gestelde eisen van de Algemene Verordening Gegevensbescherming (AVG ofwel GDPR).
Uitkomsten enquête Norea
De komst van de AVG is een extra stimulans informatie beveiliging goed te regelen.
97 procent Eens
3 procent Oneens
Zijn toezichthouders van organisaties (zoals de Raad van Commissarissen) zich voldoende bewust van het privacyrisico?
18 procent Ja, en de meeste toezichthouders vertalen dit structureel in hun bespreekagenda met de bestuurders
63 procent Ja, maar bij de meeste toezichthouders is dit nog niet verder gekomen dan een keer aandacht vragen van de bestuurders
19 procent Nee, het onderwerp komt bij de meeste toezichthouders niet op hun lijstje met belangrijke onderwerpen voor
Per 25 mei 2018 kan geen enkele organisatie aan alle AVG eisen tegelijkertijd voldoen
65 procent Eens
35 procent Oneens
Het uitvoeren van een ‘Pre PIA’ kan er toe leiden dat oneigenlijk geen PIA wordt uitgevoerd
59 procent Eens
41 procent Oneens
Zijn over het algemeen organisaties in staat om invulling te geven aan het nieuwe privacy accountability principe?
5 procent Ja, de meeste organisaties hebben al een goede privacy governance ingericht
12 procent Nee, bijna geen enkele organisatie heeft al een goede privacy governance ingericht
83 procent Nee, slechts een beperkt deel van de organisaties hebben al een goede privacy governance ingericht
Wat zal de leidende vorm worden om aan te geven dat een organisatie voldoet aan privacy regelgeving?
19 procent Aansluiting bij een gedragscodes (AVG artikel 40)
24 procent Assurance rapportages (zoals Richtlijn 3000)
26 procent AVG Certificering (AVG artikel 42)
11 procent Certificering van het voldoen aan een gedragscode
20 procent Voldoen aan privacy normen zal geen belangrijke communicatie uiting worden
Hoe ziet u de toekomst van het Norea-keurmerk Privacy-Audit-Proof eruit?
83 procent De Norea zou er goed aan doen om de certificering internationaal uit te breiden
17 procent De ontwikkelingen in de markt hebben er voor gezorgd, dat dit product niet meer nodig is
Een risico-gedreven benadering is essentieel bij onderzoeken inzake de beheersing van privacy
94 procent Eens
6 procent Oneens
