Een Privacy Audit uitvoeren?

De Algemene Verordening Gegevensbescherming (AVG) legt organisaties allerlei verplichtingen op met betrekking tot de verwerking van persoonsgegevens. Wil je zeker weten dat jouw organisatie voldoet aan deze privacywetgeving? Neem dan contact met ons op om een privacy audit in te plannen. Wij vertellen je graag wat jouw organisatie nodig heeft om te voldoen aan de AVG, en kunnen ook helpen met de implementatie van de benodigde stappen na de audit. 

Privacy Compliance

Privacy compliance kent verschillende fases:

  1.     De aanwezigheid van de wettelijk vereiste documenten (inclusief beleid) en een eerste basis van privacy awareness onder de managers van de organisatie;
  2.     Het juiste gebruik van de vereiste documenten en het opgestelde beleid;
  3.     Het evalueren en aanscherpen van het beleid, inclusief een hoger level van privacy awareness binnen de organisatie als geheel;
  4.     Het integreren van privacy in de werkwijze: privacy wordt meegewogen in alle beslissen op basis van het opgestelde beleid.

Maar wat nou als jij net een start-up bent begonnen, en je voor het eerst in aanraking komt met privacy wetgeving? Dan klinken de verschillende fases wellicht overweldigend. En terecht, want het proces om volledig aan de AVG te voldoen kan soms jaren in beslag nemen. Gelukkig is het niet nodig om je als startende ondernemer zorgen te maken. De Autoriteit Persoonsgegevens (AP) is zich namelijk bewust van de ontwikkeling die organisaties moeten doormaken, en gunt ondernemers daarvoor de tijd. Het is wel van belang dat jouw organisatie kan aantonen dat er wordt gewerkt aan beleid, om uiteindelijk volledig in overeenstemming met de AVG te handelen. 

Wat is een privacy audit?

Aan de hand van een privacy audit controleren wij of jouw organisatie voldoet aan de eisen uit de AVG. Onze audit helpt jouw organisatie enerzijds om te voldoen aan de verplichtingen uit de AVG, en anderzijds om draagvlak te creëren voor privacy compliance. Wij geven jouw organisatie een rapport met conclusies, concrete aanbevelingen en prioriteiten. Wij helpen je vervolgens ook graag met de uitvoering van de benodigde stappen om aan de AVG te voldoen. 

Waarom een privacy audit?

Hoewel het in principe geen verplichting is, kiezen veel organisaties er desondanks voor om een privacy audit te laten uitvoeren. Een audit kan een organisatie namelijk ook veel opleveren. Er kan bijvoorbeeld een interne behoefte bestaan om te testen of jouw organisatie voldoet aan privacy wetgeving. Als je weet dat jouw organisatie de AVG correct toepast, dan kun je dit ook aantonen richting partijen waar je zaken mee doet. Dat kweekt vertrouwen bij de zakenpartners van jouw organisatie, wat ten goede komt aan de onderlinge relaties. Daarnaast kan privacy compliance ook bijdragen aan de PR-positie van jouw organisatie. Denk bijvoorbeeld aan het tonen van een privacy certificaat op de website van jouw organisatie, wat potentiële klanten kunnen raadplegen.

Wat is onze aanpak?

Hoewel het in principe geen verplichting is, kiezen veel organisaties er desondanks voor om een privacy audit te laten uitvoeren. Een audit kan een organisatie namelijk ook veel opleveren. Er kan bijvoorbeeld een interne behoefte bestaan om te testen of jouw organisatie voldoet aan privacy wetgeving. Als je weet dat jouw organisatie de AVG correct toepast, dan kun je dit ook aantonen richting partijen waar je zaken mee doet. Dat kweekt vertrouwen bij de zakenpartners van jouw organisatie, wat ten goede komt aan de onderlinge relaties. Daarnaast kan privacy compliance ook bijdragen aan de PR-positie van jouw organisatie. Denk bijvoorbeeld aan het tonen van een privacy certificaat op de website van jouw organisatie, wat potentiële klanten kunnen raadplegen.

  Hieronder lees je hoe wij een audit uitvoeren:

1. Inventarisatie

Als eerste stap brengen wij graag het grote plaatje visueel in beeld. We analyseren de werkwijze van jouw organisatie door te focussen op de verschillende processen, samenwerkingen, de betrokken persoonsgegevens en de onderliggende contracten. Omdat privacy doorgaans raakt aan alle aspecten van een onderneming, hanteren we in deze fase een brede blik. 

2. Rapport

Na de inventarisatie hebben we een goed beeld van jouw organisatie. Vervolgens controleren we of de werkwijze van jouw organisatie overeenstemt met de AVG. Op basis van deze conclusies lichten we toe wat welke concrete acties er vereist zijn om aan de AVG te voldoen, en wat de prioriteit van elke actie is. Deze analyse wordt uiteindelijk samengevat in een rapport, wat bijvoorbeeld de volgende acties kan bevatten:

  • Privacy Policy
    Aanpassen van de huidige Privacy Policy of het opstellen van een nieuwe versie. 
     
  • Verwerkersovereenkomst
    Aanpassen van huidige Verwerkersovereenkomst(en) en/of het opstellen van nieuwe versies. 
     
  • Cookies
    Aanpassen van de huidige cookieverklaring en/of het opstellen van een nieuwe versie.
  • Intern
    Aanpassen of opstellen van interne privacy documentatie, zoals een:
    -   verwerkingsregister;
    -   beveiligingsbeleid;
    -   datalekbeleid;
    -   datalekregister;
    -   privacy handboek (personeel);
    -   dataminimalisatie en dataretentie beleid. 
     
  • Risicomanagement
    Het uitvoeren van een Data Protection Impact Assessment (DPIA) bij verwerkingen van persoonsgegevens met een hoog risico.
     
  • Training
    Het trainen van personeel, om bewustwording te creeëren op de werkvloer met betrekking tot privacy.
     
  • Doorgifte
    Het uitvoeren van een Data Transfer Impact Assessment (DTIA) om het risico van de doorgifte van persoonsgegevens vast te stellen en te beperken.  

 3. Implementatie

De werkzaamheden die volgen uit het rapport kun je zelf oppakken, maar je kan daarvoor ook ons privacy team inschakelen. Na de implementatie van de actiepunten uit het rapport, kun je aantonen dat jouw organisatie voldoet aan de AVG. Je kunt ons vervolgens ook inschakelen om privacy compliance binnen jouw organisatie periodiek te controleren.

Over ons kantoor

De naam zegt het al, Legalloyd Advocaten & Legal Tech combineert klassiek advies met technologie. En nee, dat is geen marketingpraat. Sinds 2009 staat Legalloyd aan de frontlinie van Legal Tech in Nederland en hebben wij doorlopend geïnvesteerd in het toegankelijk maken van degelijk juridisch advies, contracten en overeenkomsten. Wij zetten onze technologie in waar mogelijk en geven advies en leveren maatwerk waar noodzakelijk. Onze klanten besparen tot 50% op hun juridische kosten door onze online legal housekeeping services en de informatieuitwisseling tussen advocaat en klant is daardoor optimaal. Meer weten of kennismaken? Neem contact met ons op. We helpen je graag verder.



Loi Gawel 28 maart 2024
Deel deze post