In het voorjaar van 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Het niet naleven van de eisen uit de AVG kan tot hoge boetes leiden. In de afgelopen jaren hebben bedrijven dan ook maatregelen getroffen en in veel gevallen aantoonbaar gemaakt dat ze in control zijn als het gaat om de bescherming van privacygevoelige informatie.
Vertrouwen opbouwen
De AVG eist dat ‘passende technische en organisatorische maatregelen’ worden getroffen om een veilige en correcte wijze van gegevensverwerking te waarborgen (artikel 24 AVG) en te voldoen aan principes als ‘privacy by design & default’ (artikel 25 AVG) en ‘passende beveiliging’ (artikel 32 AVG). Vertrouwen opbouwen in een tijd van toenemende bezorgdheid over gegevensbescherming is cruciaal. Veel organisaties worden geconfronteerd met vragen van kritische klanten over hoe ze ervoor zorgen dat persoonsgegevens correct worden verwerkt.
AVG-audit
Tijdens een AVG-audit neemt Kiwa onder meer processen en beleid rondom gegevensbescherming onder de loep. Zo wordt gekeken of u een data protection impact assessment (DPIA) heeft uitgevoerd en wat de hieruit voortvloeiende maatregelen (en de effectiviteit daarvan) zijn. Ook wordt gelet op de doelmatigheid van de informatieverwerking, de verantwoordelijkheden van relevante functionarissen binnen de organisatie (waaronder de Functionaris Gegevensbescherming (FG)) en de getroffen systeemtechnische en fysieke beveiligingsmaatregelen.
Praktische benadering
Kiwa’s AVG-audits worden gekenmerkt door een praktische benadering. De auditor kijkt niet alleen naar uw beleidsdocumenten en theoretische naleving van de AVG, maar ook naar de daadwerkelijke implementatie en uitvoering van uw privacy beleid in de praktijk. De auditor kijkt bijvoorbeeld naar hoe uw organisatie omgaat met persoonsgegevens en hoe deze worden verzameld, verwerkt, opgeslagen en beveiligd. Daarnaast wordt geëvalueerd of uw personeel voldoende getraind is om privacygerelateerde taken uit te voeren en of er passende maatregelen zijn genomen om datalekken te voorkomen en te reageren op mogelijke inbreuken.
AVG-certificaat
Het uiteindelijke doel van deze praktische benadering is ervoor te zorgen dat uw organisatie niet alleen op papier voldoet aan de eisen van de Europese privacywetgeving, maar ook in de dagelijkse gang van zaken. Hierdoor wordt de focus gelegd op daadwerkelijke naleving en de bescherming van de privacy van individuen, wat cruciaal is in een tijd waarin gegevensbescherming een steeds belangrijker onderwerp wordt voor zowel consumenten als regelgevers. Op basis van de bevindingen en een positief advies zal Kiwa een certificaat uitreiken. Met deze AVG-verklaring geeft u vertrouwen aan medewerkers, klanten en andere stakeholders en laat u zien dat u voldoet aan de eisen en privacy hoog in het vaandel hebt staan.
Kiwa’s AVG-audit is een perfecte basis voor verdere certificering volgens normen als ISO 27001 en NEN 7510. Maar ook voor organisaties die reeds conform deze normen zijn gecertificeerd, is een AVG-audit interessant, omdat hierin – meer dan in ISO 27001 en NEN 7510 – aandacht is voor specifieke privacyvraagstukken binnen organisaties.