Privacy en AVG
Voor de Algemene Verordening Gegevensbescherming (AVG) is een informatiebeveiligings- en privacybeleid met bijbehorende procedures noodzakelijk. Wij kunnen je helpen om je privacyrisico’s in beeld te brengen en te mitigeren en compliant te zijn en te blijven.
Er wordt enorm veel informatie over ons vastgelegd. Daarnaast delen we gezamenlijk ook heel veel informatie, vaak ook onbewust. Uit onderzoek is gebleken dat 94% van de mensen zich zorgen maakt over de bescherming van hun persoonsgegevens.
De privacyregels zijn de afgelopen jaren verder aangescherpt. De Autoriteit Persoonsgegevens (AP) houdt strenger toezicht op juiste naleving ervan. Meerdere bedrijven zijn al beboet, omdat zij niet voldoen aan de privacyregels, zoals opgenomen in de AVG (Algemene Verordening Gegevensbescherming). Daarnaast worden organisaties steeds vaker geconfronteerd met vragen of onderzoek vanuit de AP. Wij kunnen je zeer effectief helpen om goed voorbereid en ingericht te zijn op de AVG.
AVG en sancties
In de AVG zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. Mede door de verbreding van het begrip persoonsgegevens, beschikt vrijwel iedere organisatie over privacygevoelige informatie, zoals klantgegevens, kopie ID bewijzen, creditcard en/of bankgegevens en werknemersgegevens. Om te zorgen dat deze informatie veilig en niet langer dan noodzakelijk wordt opgeslagen, zijn er richtlijnen en procedures opgesteld waar iedere organisatie zich verplicht aan moet houden.
De kans op een datalek is groot als er niet voldoende maatregelen zijn genomen om persoonsgegevens te beveiligen. De AP bestraft datalekken streng. De sancties variëren van waarschuwingen en te nemen verplichte maatregelen tot een maximale boete van € 20 miljoen of 4% van de wereldwijde jaaromzet. Daarnaast loop je het risico van reputatieschade. De AP heeft de mogelijkheid om incidenten publiekelijk bekend te maken. Dat gebeurt steeds frequenter. Ook getroffenen moeten op de hoogte worden gebracht van een datalek, wat kan leiden tot negatieve media aandacht.
Privacy als business enabler
De AVG wordt door organisaties vaak gezien als een verplichting. Terwijl het nadrukkelijk bezig zijn met privacy en security ook vele voordelen met zich mee kan brengen, zoals een veiligere (IT-)omgeving en betere inschatting van risico’s. Daarnaast kunnen er besparingen worden gerealiseerd, bijvoorbeeld door te werken met het privacy by design principe, en kan meer duidelijkheid worden gebracht door het creëren van accountability. Privacy, kan met de juiste aanpak ook een business enabler zijn.
Onze werkwijze
Iedere organisatie moet passende technische en organisatorische maatregelen nemen. Dat betekent dat er sprake moet zijn van een adequaat informatiebeveiligingsbeleid en een gedegen privacybeleid met bijbehorende procedures die worden gemonitord en opgevolgd. Wij kunnen je helpen om je privacyrisico’s in beeld te brengen en te mitigeren en compliant te zijn en te blijven.
ABAB heeft gekwalificeerde IT-auditors die je hands on kunnen adviseren of aan de hand van een best practice of gevalideerd normenkader kunnen certificeren zodat je kunt aantonen dat je compliant bent aan de AVG. Afhankelijk van je eigen behoefte nemen wij je mee in de verplichtingen die gelden volgens de AVG. Wij kunnen een nulmeting doen aan de hand van een eenvoudig stappenplan en je ondersteunen met het opstellen van een informatiebeveiligings- en/of privacybeleid en bijbehorende procedures. Wij hebben een kennisbibliotheek met voorbeelddocumenten en voorbeeldprocedures waardoor wij je snel en tegen lage kosten kunnen helpen.
Daarnaast hebben wij een in eigen beheer ontwikkeld best practice normenkader waarin alle vereisten volgens de AVG zijn opgenomen. Wij kunnen je organisatie toetsen aan de hand van dit normenkader. Dit gaat verder dan alleen de beleidsmatige procedures, wij toetsen ook daadwerkelijk de naleving van de procedures aan de hand van gerichte testwerkzaamheden. Hiermee kun je te allen tijde aantonen dat je in control bent en voldoet aan de AVG. Onze IT auditors hebben ook de mogelijkheid om een privacy impact assessment (PIA) uit te voeren of om je organisatie te toetsen aan het Privacy Control Framework van de Nederlandse Orde van EDP-auditors (NOREA).
De AVG draait ook om het creëren van bewustwording. Wij kunnen je helpen om je medewerkers bewuster te maken van de kansen en risico’s op het gebied van privacy en security aan de hand van op maat gemaakte trainingen. Dit doen wij met behulp van ons privacy en (cyber)security trainingsprogramma.
Meer informatie over de wet AVG?
Voor meer informatie over de wet AVG of over de dienstverlening van ABAB IT-audit en -advies kun je contact opnemen met Max Platvoet, Senior accountant Audit & Assurance, via telefoonnummer 013-4647259 of stuur Max een e-mail.