Raamwerk Privacy Audit - College bescherming persoonsgegevens
Raamwerk Privacy Audit - College bescherming persoonsgegevens
Raamwerk Privacy Audit - College bescherming persoonsgegevens
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
In het kader van de <strong>Privacy</strong> <strong>Audit</strong> zijn de volgende kwaliteitsaspecten relevant<br />
voor de borging van de door de WBP gestelde eisen en de controle daarop:<br />
1 Exclusiviteit<br />
Uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken<br />
van <strong>persoonsgegevens</strong>.<br />
2 Integriteit<br />
De <strong>persoonsgegevens</strong> moeten in overeenstemming zijn met het afgebeelde deel<br />
van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn<br />
verdwenen.<br />
3 Continuïteit<br />
De <strong>persoonsgegevens</strong> en de daarvan afgeleide informatie moeten zonder belemmeringen<br />
beschikbaar zijn overeenkomstig daarover gemaakte afspraken en de<br />
wettelijke voorschriften. Continuïteit wordt gedefinieerd als de ongestoorde<br />
voortgang van de gegevensverwerking.<br />
4 Controleerbaarheid<br />
De controleerbaarheid is de mate waarin het mogelijk is kennis te verkrijgen over<br />
de structurering (documentatie) en werking van een object. Tevens omvat het<br />
kwaliteitsaspect controleerbaarheid de mate waarin het mogelijk is vast te stellen<br />
dat de verwerking van <strong>persoonsgegevens</strong> in overeenstemming met de eisen ten<br />
aanzien van de hiervoor genoemde kwaliteitsaspecten is uitgevoerd.<br />
De mate waarin deze aspecten in een concrete situatie gehanteerd moeten<br />
worden, is mede afhankelijk van de door de auditor uitgevoerde risicoanalyse.<br />
De keuze voor de kwaliteitseisen per onderzoeksobject dient in het auditplan<br />
gemotiveerd weergegeven te worden. In welke mate de genoemde kwaliteitsaspecten<br />
relevant zijn voor het verkrijgen van een certificaat wordt uitgewerkt<br />
in het certificeringschema.<br />
Het is mogelijk om in een opdrachtbevestiging voor een <strong>Privacy</strong> <strong>Audit</strong> een bredere<br />
reikwijdte te hanteren dan zoals in dit <strong>Raamwerk</strong> is aangegeven. Zo kan een opdrachtgever<br />
er belang bij hebben dat de auditor ook de efficiency van de getroffen<br />
maatregelen en procedures beoordeelt. Een dergelijke uitbreiding van de reikwijdte<br />
tast het fundament van de audit niet aan. Het beperken van de reikwijdte<br />
van het onderzoek is niet toegestaan.<br />
Voorbereiding van het onderzoek<br />
Onderzoek organisatie en controleomgeving<br />
Voor een doeltreffende en efficiënte uitvoering van het onderzoek dient de<br />
auditor inzicht te hebben in de organisatie en de controleomgeving. Deze<br />
activiteit vormt het fundament voor het in deze fase te ontwikkelen auditplan.<br />
Dit onderzoek omvat in ieder geval een beoordeling van de volgende elementen:<br />
organisatie (kennis van de bedrijfsactiviteiten, concernstructuur,<br />
organisatieschema, informatiebeleid, privacybeleid, aanwezigheid<br />
functionaris voor de gegevens<strong>bescherming</strong>);<br />
leiding van de organisatie (integriteit, houding ten opzichte<br />
van privacy<strong>bescherming</strong> en gegevensverwerking in het algemeen,<br />
gebruik beheersingsinstrumenten);<br />
overige relevante wetgevingsvereisten (specifieke sectorale of 17<br />
III<br />
<strong>Raamwerk</strong> <strong>Privacy</strong> <strong>Audit</strong> / III / Introductie <strong>Raamwerk</strong> <strong>Privacy</strong> <strong>Audit</strong>