De bescherming van persoonsgegevens werd in de EU geregeld door de richtlijn bescherming persoonsgegevens sinds 1995. De samenleving is enorm in ontwikkeling; digitalisering, globalisering, de kredietcrisis en gewijzigde geopolitieke verhoudingen. Een belangrijk gevolg hiervan is de toename in het digitaal opslaan, verwerken en delen van gegevens.

Hierdoor is ook cybercriminaliteit toegenomen; identiteitsdiefstal, phishing en de opkomst van nepnieuws. Volgens de Europese Commissie was de wetgeving aan vernieuwing toe en is in 2012 de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) ontwikkeld. Alle organisaties in de EU moeten per 25 mei 2018 voldoen aan deze Algemene Verordening Gegevensbescherming.

Voorbereiden op de AVG

Veel organisaties hebben al belangrijke vorderingen gemaakt in de voorbereiding op de AVG per 25 mei 2018. Deze voorbereiding begint met een impact- en GAP analyse; In welke processen van de organisatie worden persoonsgegevens verwerkt? Wat is de documentatieplicht en welke vereisten zijn er aan communicatie naar individuen? Diverse organisaties bieden AVG tooling voor de implementatie van de AVG, hierin kan deze impact analyse worden gemaakt en zijn vaak AVG toolkits opgenomen die praktisch helpen met templates voor processen en gedragscodes. Na de impact analyse dient een verwerkingsregister te worden opgezet en moeten procedures worden ingericht.

Rechten en plichten

Bij de inrichting van deze procedures en gedragscodes moet rekening gehouden worden met dataportabiliteit, recht van vergetelheid en de relatie met bewaartermijnen. Belangrijke voorbeelden van dergelijke beleidsdocumenten en procedures zijn de procedure datalekken, beleid en de inrichting van informatiebeveiliging en gedragscodes voor medewerkers. Naast deze procedures is ook awareness van belang; hiervoor bestaan diverse AVG trainingen waarin de invulling van de privacy principles wordt toegelicht. Organisaties die voldoen aan specifieke criteria moeten ook een Data Protection Impact Assesment (DPIA) verrichten en een Functionaris voor gegevensbescherming (FG) aanstellen.

Privacy principes

De AVG is gebaseerd op zes basisbeginselen waaraan iedere verwerking van persoonsgegevens moet voldoen. In hoofdlijnen betekent dit dat verwerking van gegevens rechtmatig (1) moet zijn, er moet een gerechtvaardigd doel (2) zijn, gegevensverwerking moet geminimaliseerd (3) zijn, gegevens moeten juist (4) zijn, opslag moet beperkt worden (5) en integriteit en vertrouwelijkheid moet gewaarborgd (6) zijn. Veel organisaties hebben moeite een praktische invulling aan de privacy beginselen te geven, bovenvermelde tooling of certificering kan hierbij praktische hulp of meer zekerheid bieden. Het is volgens artikel 43 van de AVG ook mogelijk om een AVG certificaat te verkrijgen. Een alternatief hiervoor is ISAE 3000 assurance.

ISAE 3000 en de AVG

ISAE 3000 is de standaard voor assurance over niet-financiële informatie. Indien het governance framework en de te hanteren privacy strategie is bepaald, dan kan de beheersing van privacy risico's worden ingericht. Het is gebruikelijk om hiervoor een framework in te richten waarbij risico's structureel worden geanalyseerd en beheersmaatregelen worden ingericht die waarborgen dat persoonsgegevens worden beveiligd en een passend antwoord wordt gegeven op de gesignaleerde risico's. Een externe auditor kan dan deze maatregelen toetsen en een ISAE 3000 assurance rapportage verstrekken waarin zekerheid wordt gegeven dat wordt voldaan aan de criteria en regelgeving die is opgenomen in de AVG-wetgeving. Naast de formele vereisten vanuit de AVG zal de auditor ook toetsen of het systeem voor fysieke- en informatiebeveiliging zodanig is ingericht dat risico's met betrekking tot privacy worden gewaarborgd.

SOC2 en de AVG

In SOC2 rapportages die gebaseerd zijn op de privacy criteria van de Trust Service Principles voldoen ook voor een belangrijk deel aan de vereisten vanuit de Algemene Verordening Gegevensbescherming. Belangrijke onderdelen die niet overeen komen zijn formele vereisten die specifiek gelden voor de AVG. Het uitbreiden van een SOC2 rapportages met specifieke vereisten vanuit de AVG kan een goed alternatief zijn voor certificering met ISO 27001.