Managed hosting door True

It-auditors: GDPR-eisen niet haalbaar voor 25 mei

Nieuwe wet is voor it-auditors Norea stimulans om informatiebeveiliging goed te regelen

Dit artikel delen:

Het is voor bedrijven en organisaties onmogelijk om per 25 mei 2018 te voldoen aan alle eisen zoals vastgelegd in de nieuw Europese privacywet GDPR (in het Nederlands de AVG) die op die datum ingaat. Dat stelt een meerderheid (65 procent) van de zeventienhonderd it-auditors die verbonden zijn aan beroepsvereniging Norea in een representatieve steekproef. Volgens de it-auditors is de GDPR vooral een stimulans om informatiebeveiliging goed te regelen.

Net als eerder door de Autoriteit Persoonsgegevens is aangegeven, zijn sommige wetswijzigingen nog in ontwikkeling en staat de diepgang ervan nog ter discussie. Vandaar dat het niet haalbaar is om aan alle eisen te voldoen, licht Norea-projectmanager voor kwaliteit en vaktechnische communicatie Jan de Heer toe.

Opvallende uitkomsten uit de enquête: Volgens 97 procent van de it-auditors is de komst van de AVG (GDPR) een extra stimulans om informatiebeveiliging goed te regelen. Toch is er ook kritiek: namelijk, het bewustzijn van de toezichthouders is volgens de it-auditors nog sterk voor verbetering vatbaar.

De it-auditors gaan dieper in op een aantal hoofdonderdelen van de AVG (GDPR). 59 procent van de it-auditors heeft de indruk dat de zogenoemde ‘Pré-Privacy Impact Assessment’ (overeenkomstig artikel 35 - lid 3) misbruikt kan worden om de verplichte volledige impact assessment achterwege te laten.

Assurance-verklaring

Verder is volgens de auditors de ‘privacy-governance’ van organisaties nog onvoldoende of beperkt ingericht om recht te doen aan het ‘accountability beginsel’,(aldus 83 procent van de it-auditors).

Ten aanzien van accreditatie en AVG-certificering voorziet 26 procent van de it-auditors dat het wettelijke traject (conform artikel 42) het meest aan de behoefte zal voldoen, terwijl een assurance-verklaring, die door de it-auditor zelf kan worden afgegeven, door 24 procent als leidende vorm van certificering wordt gezien. Samenvattend trekt 65 procent van de it-auditors de conclusie dat 25 mei 2018 geen enkele organisatie aan alle eisen van de AVG kan voldoen.

Privacy vanuit risicobenadering

Volgens 94 procent van de it-auditors vormt een risico-gedreven benadering het beste vertrekpunt voor onderzoeken naar privacy-beheersing.

De Heer benadrukt dat er onder druk van de ingangsdatum van de GDPR veel onrust is bij bedrijven en organisaties. Het advies namens de Norea-achterban: ‘Richt je eerst op risicobenadering, begin met de context, bedrijfsvoering en het belang en ga daarna pas naar persoonsgegevens kijken, anders optimaliseer je alleen op deelgebieden. Het gaat juist om het geheel.’

Privacy Control Framework

Norea publiceerde eerder het Privacy Control Framework (PCF). Dit raamwerk moet it-auditors helpen bij een objectieve beoordeling van de manier waarop een organisatie persoonsgegevens verwerkt en aan de hand van de belangrijkste onderdelen van de AVG aangeven of een organisatie voldoet aan de gestelde eisen van de Algemene Verordening Gegevensbescherming (AVG ofwel GDPR).   

Uitkomsten enquête Norea

De komst van de AVG is een extra stimulans informatie beveiliging goed te regelen.
97 procent    Eens
3 procent    Oneens

Zijn toezichthouders van organisaties (zoals de Raad van Commissarissen) zich voldoende bewust van het privacyrisico?
18 procent    Ja, en de meeste toezichthouders vertalen dit structureel in hun bespreekagenda met de bestuurders
63 procent    Ja, maar bij de meeste toezichthouders is dit nog niet verder gekomen dan een keer aandacht vragen van de bestuurders
19 procent    Nee, het onderwerp komt bij de meeste toezichthouders niet op hun lijstje met belangrijke onderwerpen voor

Per 25 mei 2018 kan geen enkele organisatie aan alle AVG eisen tegelijkertijd voldoen
65 procent    Eens
35 procent    Oneens

Het uitvoeren van een 'Pre PIA' kan er toe leiden dat oneigenlijk geen PIA wordt uitgevoerd
59 procent    Eens
41 procent    Oneens

Zijn over het algemeen organisaties in staat om invulling te geven aan het nieuwe privacy accountability principe?
5 procent      Ja, de meeste organisaties hebben al een goede privacy governance ingericht
12 procent    Nee, bijna geen enkele organisatie heeft al een goede privacy governance ingericht
83 procent   Nee, slechts een beperkt deel van de organisaties hebben al een goede privacy governance ingericht

Wat zal de leidende vorm worden om aan te geven dat een organisatie voldoet aan privacy regelgeving?
1
9 procent    Aansluiting bij een gedragscodes (AVG artikel 40)
24 procent    Assurance rapportages (zoals Richtlijn 3000)
26 procent    AVG Certificering (AVG artikel 42)
11 procent    Certificering van het voldoen aan een gedragscode
20 procent    Voldoen aan privacy normen zal geen belangrijke communicatie uiting worden

Hoe ziet u de toekomst van het Norea-keurmerk Privacy-Audit-Proof eruit?
83 procent    De Norea zou er goed aan doen om de certificering internationaal uit te breiden
17 procent    De ontwikkelingen in de markt hebben er voor gezorgd, dat dit product niet meer nodig is

Een risico-gedreven benadering is essentieel bij onderzoeken inzake de beheersing van privacy 
94 procent    Eens
6 procent     Oneens

Dit artikel delen:

Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.