Eén van onze kerntaken is het uitvoeren van privacy audits. Wij doen dit inmiddels voor een groot aantal partijen. Wij merken dat veel bedrijven dit op prijs stellen, omdat er zo meer controle bestaat over de correcte uitvoering van privacy wet- en regelgeving binnen een organisatie. Wilt u meer weten over wat een privacy audit inhoudt, wat u hiermee kunt doen voor uw bedrijf en wat DMCC kan doen voor u? Dan bent u op de juiste pagina!
Neemt u de privacy van uw klanten serieus?
De DMCC Privacy audit geeft u inzicht in de naleving van wet- en regelgeving
Wat is een privacy audit?
Een privacy Audit, ook wel AVG audit of GDPR audit genoemd, is een uitgebreid onderzoek op verschillende aspecten uit de privacy wet- en regelgeving. Tijdens een privacy audit controleren wij of wetgeving is geïmplementeerd in organisatieprocessen en of de basisprincipes voor een eerlijke en zorgvuldige verwerking van persoonsgegevens worden nageleefd. De resultaten geven inzicht in de bestaande en ontbrekende privacy- en informatiebeveiligingsmaatregelen en hun doeltreffendheid.
Is een privacy (AVG) audit verplicht?
In principe is een privacy audit AVG niet verplicht vanuit de Autoriteit Persoonsgegevens op basis van de AVG/GDPR. De enige uitzondering die hierbij geldt is dat een privacy audit wel verplicht kan worden gemaakt in nationale wetgeving en het kan ook worden overeengekomen tussen partijen die gezamenlijk een verwerkersovereenkomst zijn aangegaan. In zo’n verwerkingsovereenkomst kunnen partijen onderling afspreken dat een privacy audit periodiek uitgevoerd moet worden door de verwerker en de verwerker hierover inzage verleent aan de verwerkingsverantwoordelijke indien deze laatste daarom verzoekt.
Kan een bedrijf besluiten om vrijwillig een privacy audit uit te voeren?
Dat kan zeker! Bedrijven hebben namelijk een verantwoordingsplicht volgens de AVG, waarin zij niet alleen de AVG moeten naleven, maar ook moeten kunnen bewijzen dat zij aan de AVG voldoen. Zo’n privacy audit is daar een handig middel voor. Daarnaast kan het voor bedrijven ook interessant zijn om privacy compliance aan haar interne- en externe stakeholders en potentiële klanten aan te kunnen tonen. Verder, kan het ook voorkomen dat een bedrijf reputatieschade heeft opgelopen door een privacy-incident. Een privacy audit kan dan helpen om te beoordelen wat er nodig is om de kans op herhaling van een vergelijkbaar incident te verkleinen of te voorkomen.
Waar wordt een bedrijf op gecontroleerd?
De audits die door DMCC worden uitgevoerd, richten zich op het gebruik van persoonsgegevens voor marketing, verkoop, fondsenwerving en profilering: van verzamelen tot vernietigen, online en offline, van ingang tot uitgang. Hierbij wordt dus gekeken naar zowel technisch als organisatorisch beleid en daarmee samenhangende maatregelen en documentatie. Bij onze onderzoeken wordt dus de reikwijdte en bijbehorende rechtmatigheid van de verwerking van persoonsgegevens beoordeeld. Dit zijn een aantal voorbeelden van privacy principes waar onze Auditors naar kijken bij de uitvoering van een privacy audit:
- Rechten van betrokkenen
- Privacy bewustzijn binnen uw organisatie
- Transparantie
- Limitering van de mate waarin persoonsgegevens worden verzameld
Hoe wordt een privacy audit uitgevoerd door DMCC?
Zodra u bij ons een privacy audit hebt aangevraagd, ontvangt u van ons een bericht met nadere informatie over de aspecten die gecontroleerd worden en worden één of meerdere Auditors toegewezen, afhankelijk van de grootte van uw organisatie. Ook wordt u op de hoogte gebracht van de AVG audit kosten. DMCC werkt met vaste prijsafspraken voor het uitvoeren van de audit(s), zodat u vooraf weet waar u aan toe bent.
Verder worden er verschillende interviews ingepland en wordt de nodige documentatie opgevraagd. Dit wordt vervolgens door ons aandachtig bestudeerd in het licht van de privacy wet- en regelgeving.
DMCC heeft een GDPR Audit Checklist opgesteld, ook wel een AVG Audit Checklist genoemd. Dit is een praktisch toetsingskader, aan de hand waarvan interviews met alle stakeholders die in aanraking komen met persoonsgegevens binnen een organisatie worden afgenomen. Deze is gebaseerd op bestaande wet- en regelgeving, alsook Best Practices en opgedane ervaring bij meerdere klanten.
Na het afronden van ons onderzoek, wordt een gedetailleerd rapport opgesteld die u spoedig van ons ontvangt. Daaruit zal blijken waar uw organisatie goed op scoort en wat nog de nodige aandachtspunten zijn. Het rapport zal daarom doorgaans een aanbevelingen en overwegingen document bevatten. Het rapport wordt vervolgens, in overleg, bij u op locatie gepresenteerd, waarbij ook de gelegenheid bestaat om vragen te stellen en verdere actiepunten af te stemmen.
Ook goed om te weten is dat DMCC een intern quality control proces hanteert. Hetgeen inhoudt dat de audit – inclusief de daaruit voortvloeiende beoordelingen en aanbevelingen – vóór oplevering nauwkeurig wordt gecontroleerd door een andere auditor.
Benieuwd geworden? Vraag een gratis consult aan.
Ik heb de uitkomsten van de privacy audit ontvangen, wat nu?
De uitkomsten van een door DMCC uitgevoerde privacy audit geven u inzicht in de naleving van privacy wet- en regelgeving binnen uw organisatie. Daarnaast verschaft het Data Privacy Audit Report een gedetailleerde momentopname van waar uw organisatie staat op het gebied van privacy compliance. De audit geeft ook aan welke risico’s er zijn. Indien gewenst helpen onze Privacy Consultants veranderingen te implementeren en risico’s te mijden door u te assisteren bij het opstellen en/of aanpassen van relevant beleid en andere documentatie. U kunt ook denken aan het inhuren van één van onze Remote Privacy Officers om u hierbij verder te ondersteunen. U leest er hier meer over.
Benieuwd of u de privacy wet- en regelgeving voldoende naleeft?
Wilt u ook weten hoe het staat met de naleving van privacy wet- en regelgeving binnen uw bedrijf en of er wel correct wordt omgegaan met persoonsgegevens? Dan nodigen wij u uit voor een kennismakingsgesprek om de mogelijkheden bij ons door te nemen.
Wij werken o.a. voor:
DMCC snapt privacy en marketing. Ze weten wat niet mag, en kijken naar wat er wél kan. Met onze DPO kunnen we flexibel gebruik maken van deze expertise.
Decathlon Nederland
DMCC weet privacy leuk te maken. Door met veel enthousiasme en praktijkvoorbeelden de materie in normale mensentaal uit te leggen. Leontien en haar collega’s komen altijd hun afspraken na en doen dit op een persoonlijke en doortastende wijze
Nationaal Jeugdfonds Jantje Beton
Ik werk al bijna 10 jaar met DMCC samen. DMCC heeft ons in deze periode zeer bruikbare handvatten gegeven om onze compliance processen naar een hoger plan te tillen. Dit is en blijft een continu proces. DMCC laat zich in dit proces zien als een echte partner waar je bijna letterlijk 24 uur per dag terecht kan voor raad of voor het beantwoorden van vragen.
Goede Doelen Loterijen
Wij zijn erg blij met de deskundige ondersteuning van DMCC op het gebied van diverse privacy vraagstukken, het kennisniveau is hoog en de aanpak pragmatisch. De intensieve samenwerking met een van de privacy officers - onder andere bij het opstellen van een Data Protection Impact Assessment - hebben wij als deskundig, proactief en geïnteresseerd ervaren. Ook werden de vaak abstracte regels in business taal uitgelegd. Een aanrader!
Independer
Onze DMCC Remote Privacy Officer is echt betrokken bij onze organisatie en helpt ons met het vinden van praktische en haalbare oplossingen voor privacy vraagstukken.
Vogelbescherming Nederland
Hele prettige samenwerking waarin veel ruimte is voor onze specifieke wensen, zoals reports en inzichten. Een ervaren sparringpartner die meedenkt om de next step te maken en ons proactief informeert over veranderingen in wet- en regelgeving. En altijd bereid en bereikbaar voor inhoudelijke vragen. Grote passie voor het vak, de branche en de klant.
Vattenfall
Meer weten over dit onderwerp?
Dit schreven wij over Neemt u de privacy van uw klanten serieus?
Opnieuw boete voor TikTok wegens privacy schending van kinderen? 
Karlijn Terheijden Dat persoonsgegevens beschermd dienen te worden is iets waar de meesten het vandaag de dag wel over eens zijn. Dat hier ook de gegevens van kinderen onder vallen, zal eveneens niet tot discussie leiden. Echter, gebeurt dit ook daadwerkelijk? Dat is de vraag, zo blijkt onder meer uit de verklaring die de Engelse ACM (de ICO) richtte aan TikTok. Een boete van 27 miljoen pond, omgerekend zo’n 30 miljoen euro, ligt hiermee op de loer.
Autoriteit Persoonsgegevens krijgt volgend jaar budget van 35 miljoen euro De Autoriteit Persoonsgegevens (AP) krijgt volgend jaar een budget van 35 miljoen euro, een stijging van zes miljoen ten opzichte van de begroting van dit jaar. Daarnaast wordt er een algoritmetoezichthouder opgericht die bij de AP wordt ondergebracht. Dat blijkt uit de gepresenteerde begroting van het ministerie van Justitie en Veiligheid voor 2023.
Meta krijgt miljoenenboete voor delen gegevens minderjarige Instagramgebruikers De Data Protection Commission in Ierland legt Meta een boete op van 405 miljoen euro voor het publiceren van persoonlijke gegevens van kinderen. Het gaat om e-mailadressen en telefoonnummers van minderjarige gebruikers die werden gedeeld via Instagram-accounts.
