NOREA presenteert Privacy Control Framework
AVG en Privacy Control Framework: Optimale zekerheid over privacybeheersing.
De Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacywet, staat volop in de belangstelling. Over de AVG wordt veel zinnigs gezegd, maar de claims van adviseurs en privacyconsultants moeten genuanceerd worden bekeken. De AVG is een complexe wet, die op basis van algemene uitgangspunten en principes is geformuleerd. Bovendien is specifieke deskundigheid op automatiseringsgebied geboden om de noodzakelijke informatiebeveiliging te kunnen beoordelen.
Het Privacy Control Framework: beheersingsdoelstellingen en -controles voor privacyaudits en assurance-opdrachten
NOREA, de beroepsorganisatie van IT-auditors, heeft een Privacy Control Framework (PCF) ontwikkeld dat kan worden gebruikt voor een objectieve beoordeling van de manier waarop er in een organisatie met persoonsgegevens wordt omgegaan. De beoordeling is gebaseerd op een risicobenadering en een informatie-levenscyclusmodel rondom de verwerking van persoonsgegevens. Aan de hand van de doelstellingen van de organisatie en het register van verwerkingen worden de noodzakelijke controlemaatregelen systematisch geëvalueerd.
Het primaire doel van het PCF, een Engelstalige handreiking, is het bieden van een handreiking aan (audit) professionals bij het beoordelen of de controledoelstellingen van een entiteit met betrekking tot privacy en bescherming van persoonsgegevens worden bereikt. Naast de kernelementen van de Algemene Verordening Gegevensbescherming (AVG) is rekening gehouden met ‘best practices’ op het gebied van privacy- en gegevensbescherming en informatie lifecycle management. Als zodanig kan het PCF worden gebruikt als startpunt voor op maat gemaakte privacyaudits. Het PCF bevat de voorgeschreven doelstellingen en elementen voor privacy-opdrachten op basis van de NOREA Assurance richtlijn 3000.
Een gekwalificeerde IT-auditor (RE) kan een assurance-verklaring opstellen, overeenkomstig de internationaal erkende assurance-standaarden (ISAE). Er wordt dan een evenwichtig oordeel gegeven of is voldaan aan de belangrijkste eisen die op grond van de privacywet aan de verwerking van persoonsgegevens worden gesteld. Bovendien wordt rekening gehouden met het specifieke risicoprofiel van uw organisatie. De verwerking van persoonsgegevens kan op basis van een positief assurance-rapport desgewenst worden gecertificeerd als 'Privacy Audit Proof™ '.
