Privacy audit AVG

Een privacy audit volgens de AVG is een essentieel instrument voor organisaties die willen aantonen dat zij persoonsgegevens op een veilige en wettelijke manier verwerken. Deze pagina is bedoeld voor organisaties die willen weten hoe zij hun privacy compliance kunnen aantonen, risico’s willen identificeren en het vertrouwen van klanten, zakenpartners en toezichthouders willen versterken. Privacy audits zijn essentieel voor het waarborgen van vertrouwen en het voorkomen van boetes.

Talloze organisaties voeren een privacy audit uit vanuit een dringende interne behoefte: controleren of zij daadwerkelijk voldoen aan privacywetgeving en absolute zekerheid verkrijgen over hun compliance. Want onduidelijkheid over compliance kan kostbaar uitpakken.

Een privacy audit helpt organisaties om aan te tonen dat zij voldoen aan de AVG, vertrouwen op te bouwen bij klanten en zakenpartners, en inzicht te krijgen in risico’s en verbeterpunten. Door het uitvoeren van een privacy audit kunnen organisaties bovendien hun positie versterken bij aanbestedingen en laten zien dat zij persoonsgegevens zorgvuldig en volgens de wet verwerken.

Nu u weet voor wie deze pagina bedoeld is en waarom privacy audits belangrijk zijn, gaan we dieper in op wat een privacy audit precies inhoudt.

Wat is een privacy audit?

Een privacy audit is een uitgebreid onderzoek naar de technische en organisatorische maatregelen die ervoor zorgen dat persoonsgegevens voldoende beschermd zijn tegen misbruik. Tijdens zo’n audit controleren wij of wetgeving daadwerkelijk is geïmplementeerd in organisatieprocessen en of de fundamentele basisprincipes voor eerlijke en zorgvuldige verwerking van persoonsgegevens worden nageleefd.

Het doel van een privacy audit is om inzicht te geven in bestaande en ontbrekende privacy- en informatiebeveiligingsmaatregelen en hun doeltreffendheid. Organisaties kunnen hiermee aantonen dat zij voldoen aan de AVG, vertrouwen opbouwen bij klanten en opdrachtgevers, en gericht werken aan het verbeteren van hun privacybeleid.

Technische maatregelen omvatten de beveiliging van computersystemen en databestanden. Organisatorische maatregelen omvatten het beleid, procedures en bewustzijn van medewerkers.

Nu u weet wat een privacy audit inhoudt en welke voordelen het biedt, bespreken we of een privacy audit verplicht is.

Geïnteresseerd in een audit?

Bespreek de mogelijkheden met onze experts tijdens een vrijblijvend consult

Vraag consult aan

Toelichting

Is een privacy audit (Algemene Verordening Gegevensbescherming, AVG) verplicht?

In principe is een privacy audit AVG/compliancy check niet verplicht vanuit de Autoriteit Persoonsgegevens op basis van de AVG/GDPR. De enige uitzondering die hierbij geldt is dat een privacy audit wel verplicht kan worden gemaakt in nationale wetgeving en het kan ook worden overeengekomen tussen partijen die gezamenlijk een verwerkersovereenkomst zijn aangegaan. In zo’n verwerkingsovereenkomst kunnen partijen onderling afspreken dat een privacy audit periodiek uitgevoerd moet worden door de verwerker en de verwerker hierover inzage verleent aan de verwerkingsverantwoordelijke indien deze laatste daarom verzoekt.

Nu duidelijk is of een privacy audit verplicht is, gaan we in op de mogelijkheid om vrijwillig een privacy audit uit te voeren.

Kan een bedrijf besluiten om vrijwillig een privacy audit uit te voeren?

Absoluut! Bedrijven en ondernemingen hebben namelijk een strikte verantwoordingsplicht volgens de AVG, waarin zij niet alleen de AVG moeten naleven, maar ook moeten kunnen bewijzen dat zij aan de AVG voldoen. Zo’n privacy audit is daar een handig middel voor. Daarnaast kan het voor bedrijven ook interessant zijn om privacy compliance aan haar interne- en externe stakeholders en potentiële klanten aan te kunnen tonen. Verder, kan het ook voorkomen dat een bedrijf reputatieschade heeft opgelopen door een privacy-incident. Een privacy audit kan dan helpen om te beoordelen wat er nodig is om de kans op herhaling van een vergelijkbaar incident te verkleinen of te voorkomen.

In de volgende sectie leest u waarop een organisatie wordt gecontroleerd tijdens een privacy audit.

Waar wordt een organisatie op gecontroleerd?

De audits die door DMCC worden uitgevoerd, richten zich op het gebruik van persoonsgegevens voor marketing, verkoop, fondsenwerving en profilering: van verzamelen tot vernietigen, online en offline, van ingang tot uitgang. Hierbij wordt dus uitgebreid gekeken naar zowel technisch als organisatorisch beleid en daarmee samenhangende maatregelen en documentatie. Bij onze onderzoeken wordt dus de reikwijdte en bijbehorende rechtmatigheid van de verwerking van persoonsgegevens beoordeeld. Dit zijn een aantal voorbeelden van privacy principes waar onze Auditors naar kijken bij de uitvoering van een privacy audit:

Rechten van betrokkenen
Privacy bewustzijn binnen uw organisatie
Transparantie
Limitering van de mate waarin persoonsgegevens worden verzameld

Nu u weet waarop wordt gecontroleerd, leggen we uit hoe een privacy audit door DMCC wordt uitgevoerd.

Hoe wordt een privacy audit uitgevoerd door DMCC?

Voorbereiding

Na uw aanvraag voor een privacy audit ontvangt u van ons een bericht met nadere informatie over de aspecten die gecontroleerd worden.
Eén of meerdere Auditors worden toegewezen, afhankelijk van de grootte van uw organisatie.
U wordt op de hoogte gebracht van de AVG audit kosten. DMCC werkt met vaste prijsafspraken voor het uitvoeren van de audit(s), zodat u vooraf weet waar u aan toe bent.
Er worden verschillende interviews ingepland en de nodige documentatie wordt opgevraagd.

Uitvoering

De opgevraagde documentatie wordt aandachtig bestudeerd in het licht van de privacy wet- en regelgeving.
DMCC heeft een GDPR Audit Checklist opgesteld, ook wel een AVG Audit Checklist genoemd. Dit is een praktisch toetsingskader, aan de hand waarvan interviews met alle stakeholders die in aanraking komen met persoonsgegevens binnen een organisatie worden afgenomen. Deze is gebaseerd op bestaande wet- en regelgeving, alsook Best Practices en opgedane ervaring bij meerdere klanten.

Rapportage

Na het afronden van ons onderzoek, wordt een gedetailleerd rapport opgesteld die u spoedig van ons ontvangt.
Het rapport bevat een overzicht van sterke punten en aandachtspunten, inclusief aanbevelingen en overwegingen.
Het rapport wordt, in overleg, bij u op locatie gepresenteerd, waarbij ook de gelegenheid bestaat om vragen te stellen en verdere actiepunten af te stemmen.

Extra controle

DMCC hanteert een intern quality control proces. Dit houdt in dat de audit – inclusief de daaruit voortvloeiende beoordelingen en aanbevelingen – vóór oplevering nauwkeurig wordt gecontroleerd door een andere auditor.

Nu u weet hoe het auditproces verloopt, leest u in de volgende sectie wat u kunt doen met de uitkomsten van de privacy audit.

Ik heb de uitkomsten van de privacy audit ontvangen, wat nu?

Inzicht en rapportage

De uitkomsten van een door DMCC uitgevoerde privacy audit geven u glashelder inzicht in de naleving van privacy wet- en regelgeving binnen uw organisatie. Met deze concrete uitkomsten kunt u overtuigend aantonen dat uw organisatie persoonsgegevens volgens de wet verwerkt en daarmee zorgen voor solide compliance en betrouwbaarheid richting toezichthouders en opdrachtgevers. Daarnaast verschaft het Data Privacy Audit Report een gedetailleerde momentopname van waar uw organisatie precies staat op het gebied van privacy compliance. Cruciaal: de audit geeft ook helder aan welke risico’s er zijn.

Nazorg en implementatie

Indien gewenst helpen onze Privacy Consultants veranderingen effectief te implementeren en risico’s strategisch te mijden door u te assisteren bij het opstellen en/of aanpassen van relevant beleid en andere documentatie. Een alternatieve optie: u kunt ook denken aan het inhuren van één van onze Remote Privacy Officers om u hierbij verder professioneel te ondersteunen.

Wilt u meer weten of direct een consult aanvragen? Neem dan contact met ons op.

Mag ik klanten na een online aankoop automatisch aanmelden voor de nieuwsbrief?

Ja dat kan, maar u moet wel voldoen aan een aantal voorwaarden.

Mag ik sms-donaties nabellen?

Indien er sprake is van een klantrelatie wel, u dient zich wel aan bepaalde regels te houden.