Privacy audit AVG

Neemt u de privacy van uw klanten serieus? De DMCC Privacy audit geeft u inzicht in de naleving van wet- en regelgeving.

Eén van onze kerntaken is het uitvoeren van privacy audits. Wij doen dit inmiddels voor een groot aantal partijen. Wij merken dat veel bedrijven dit op prijs stellen, omdat er zo meer controle bestaat over de correcte uitvoering van privacy wet- en regelgeving binnen een organisatie. Wilt u meer weten over wat een privacy audit inhoudt, wat u hiermee kunt doen voor uw bedrijf en wat DMCC kan doen voor u? Dan bent u op de juiste pagina!

Wat is een privacy audit?

Een privacy audit, ook wel AVG audit, GDPR audit of GDPR compliance check genoemd, is een uitgebreid onderzoek op verschillende aspecten uit de privacy wet- en regelgeving. Tijdens een privacy audit controleren wij of wetgeving is geïmplementeerd in organisatieprocessen en of de basisprincipes voor een eerlijke en zorgvuldige verwerking van persoonsgegevens worden nageleefd. De resultaten geven inzicht in de bestaande en ontbrekende privacy- en informatiebeveiligingsmaatregelen en hun doeltreffendheid.

Geïnteresseerd in een audit?

Bespreek de mogelijkheden met onze experts tijdens een vrijblijvend consult

Vraag consult aan

Toelichting

Is een privacy (Algemene Verordening Gegevensbescherming, AVG) audit verplicht?

In principe is een privacy audit AVG/compliancy check niet verplicht vanuit de Autoriteit Persoonsgegevens op basis van de AVG/GDPR. De enige uitzondering die hierbij geldt is dat een privacy audit wel verplicht kan worden gemaakt in nationale wetgeving en het kan ook worden overeengekomen tussen partijen die gezamenlijk een verwerkersovereenkomst zijn aangegaan. In zo’n verwerkingsovereenkomst kunnen partijen onderling afspreken dat een privacy audit periodiek uitgevoerd moet worden door de verwerker en de verwerker hierover inzage verleent aan de verwerkingsverantwoordelijke indien deze laatste daarom verzoekt.

Kan een bedrijf besluiten om vrijwillig een privacy audit uit te voeren?

Dat kan zeker! Bedrijven hebben namelijk een verantwoordingsplicht volgens de AVG, waarin zij niet alleen de AVG moeten naleven, maar ook moeten kunnen bewijzen dat zij aan de AVG voldoen. Zo’n privacy audit is daar een handig middel voor. Daarnaast kan het voor bedrijven ook interessant zijn om privacy compliance aan haar interne- en externe stakeholders en potentiële klanten aan te kunnen tonen. Verder, kan het ook voorkomen dat een bedrijf reputatieschade heeft opgelopen door een privacy-incident. Een privacy audit kan dan helpen om te beoordelen wat er nodig is om de kans op herhaling van een vergelijkbaar incident te verkleinen of te voorkomen.

Waar wordt een bedrijf op gecontroleerd?

De audits die door DMCC worden uitgevoerd, richten zich op het gebruik van persoonsgegevens voor marketing, verkoop, fondsenwerving en profilering: van verzamelen tot vernietigen, online en offline, van ingang tot uitgang. Hierbij wordt dus gekeken naar zowel technisch als organisatorisch beleid en daarmee samenhangende maatregelen en documentatie. Bij onze onderzoeken wordt dus de reikwijdte en bijbehorende rechtmatigheid van de verwerking van persoonsgegevens beoordeeld. Dit zijn een aantal voorbeelden van privacy principes waar onze Auditors naar kijken bij de uitvoering van een privacy audit:

Rechten van betrokkenen
Privacy bewustzijn binnen uw organisatie
Transparantie
Limitering van de mate waarin persoonsgegevens worden verzameld

Hoe wordt een privacy audit uitgevoerd door DMCC?

Zodra u bij ons een privacy audit hebt aangevraagd, ontvangt u van ons een bericht met nadere informatie over de aspecten die gecontroleerd worden en worden één of meerdere Auditors toegewezen, afhankelijk van de grootte van uw organisatie. Ook wordt u op de hoogte gebracht van de AVG audit kosten. DMCC werkt met vaste prijsafspraken voor het uitvoeren van de audit(s), zodat u vooraf weet waar u aan toe bent.

Verder worden er verschillende interviews ingepland en wordt de nodige documentatie opgevraagd. Dit wordt vervolgens door ons aandachtig bestudeerd in het licht van de privacy wet- en regelgeving.

DMCC heeft een GDPR Audit Checklist opgesteld, ook wel een AVG Audit Checklist genoemd. Dit is een praktisch toetsingskader, aan de hand waarvan interviews met alle stakeholders die in aanraking komen met persoonsgegevens binnen een organisatie worden afgenomen. Deze is gebaseerd op bestaande wet- en regelgeving, alsook Best Practices en opgedane ervaring bij meerdere klanten.

Na het afronden van ons onderzoek, wordt een gedetailleerd rapport opgesteld die u spoedig van ons ontvangt. Daaruit zal blijken waar uw organisatie goed op scoort en wat nog de nodige aandachtspunten zijn. Het rapport zal daarom doorgaans een aanbevelingen en overwegingen document bevatten. Het rapport wordt vervolgens, in overleg, bij u op locatie gepresenteerd, waarbij ook de gelegenheid bestaat om vragen te stellen en verdere actiepunten af te stemmen.

Ook goed om te weten is dat DMCC een intern quality control proces hanteert. Hetgeen inhoudt dat de audit – inclusief de daaruit voortvloeiende beoordelingen en aanbevelingen – vóór oplevering nauwkeurig wordt gecontroleerd door een andere auditor.

Benieuwd geworden? Vraag een gratis consult aan.

Ik heb de uitkomsten van de privacy audit ontvangen, wat nu?

De uitkomsten van een door DMCC uitgevoerde privacy audit geven u inzicht in de naleving van privacy wet- en regelgeving binnen uw organisatie. Daarnaast verschaft het Data Privacy Audit Report een gedetailleerde momentopname van waar uw organisatie staat op het gebied van privacy compliance. De audit geeft ook aan welke risico’s er zijn. Indien gewenst helpen onze Privacy Consultants veranderingen te implementeren en risico’s te mijden door u te assisteren bij het opstellen en/of aanpassen van relevant beleid en andere documentatie. U kunt ook denken aan het inhuren van één van onze Remote Privacy Officers om u hierbij verder te ondersteunen.

Mag ik klanten na een online aankoop automatisch aanmelden voor de nieuwsbrief?

Ja dat kan, maar u moet wel voldoen aan een aantal voorwaarden.

Mag ik sms-donaties nabellen?

Indien er sprake is van een klantrelatie wel, u dient zich wel aan bepaalde regels te houden.