• darkblurbg

Privacy is het recht is om met rust gelaten te worden: Compliance kunt op verschillende niveaus aantonen.

Gepubliceerd op: 12-07-2018

Het recht om met rust gelaten te worden, vormt het fundament van de AVG. U dient maatregelen te treffen om aan deze eis te kunnen voldoen. Compliance kunt u echter op verschillende niveau's aantonen.

Vaak gehoord de laatste jaren: Data zijn het nieuwe goud. Onze persoonsgegevens zijn geld waard. In ruil voor onze privacy verkrijgen we toegang tot ongekende mogelijkheden. De vergelijking tussen data en goud of geld gaat echter niet op. Geld is een anoniem middel om een transactie te vergemakkelijken. We kopen er goederen of diensten voor die voor ons van waarde zijn.

Dit gaat niet op bij het betaalmiddel data. Als we daarmee betalen geven we toegang tot ons diepste zelf, ook nog lang nadat de transactie is afgerond. “De kracht van data is dus precies tegenovergesteld aan de kracht van geld: Geld ontleent zijn kracht aan het algemene karakter; de kracht van data is dat ze specifieke kenmerken onder woorden brengen” (1) Zo wijst een onderzoek van Faceboek uit dat hun algoritme nu al beter is in het beoordelen van iemands persoonlijkheid en karakter dan de vrienden, ouders en huwelijkspartner van die persoon (2). Het is moeilijk voor te stellen dat we blijkbaar meer over onszelf prijs geven aan het algoritme dan aan onze naasten.

Algoritmes zullen zelfs beter dan wijzelf weten wat wij willen (3). Daardoor wordt manipulatie een reëel gevaar. Juist hierin zit een belangrijke grond voor de totstandkoming van de AVG/ GDPR. Door vergaande digitalisering weten we vaak niet meer met wie of wat we te maken hebben of waar we aan toe zijn. Het recht om met rust gelaten te worden, vormt dan ook het fundament van deze wet.

Het grote verschil met eerdere privacywetgeving is dat organisaties actief aan de volledige wetgeving moeten voldoen. Dat betekent dat je als organisatie te allen tijde in control moet zijn over de persoonsgegevens die je beheert. Vandaar dat de nadruk ook ligt op Privacy by Design en Privacy by Default. Verder moet je volledig transparant zijn over wat je met de gegevens doet. En je moet ook nog eens aan kunnen tonen dat je aan de wet voldoet (compliance).

Compliance kan op een drietal niveaus bepaald worden:

  1. Een scan: Ik wil weten in welke mate ik momenteel aan de wet voldoe.
  2. Een Assessment: Ik wil weten welke maatregelen ik nog moet treffen om aan de wet te voldoen.
  3. Een Audit: Ik wil zeker weten dat ik alle maatregelen getroffen heb om aan de wet te voldoen en wil dit aan kunnen tonen met een assurance.

Om in deze drie niveaus te kunnen voorzien, hebben The Perfect fit, 3angels en Data Kitchen de handen ineengeslagen. Waarbij Data Kitchen als specialist in Data Governance in een Privacy Scan en Privacy Assessment voorziet. Beide zijn samen met Juristen van My Privacy Solutions ontwikkeld en geven snel en tegen lage kosten een helder beeld van de mate waarin u compliant bent en wat u eventueel nog te doen staat. Het assessment is een zeer effectieve manier om een audit voor te bereiden.

Om het ‘Wij van WC eend..-effect’ te voorkomen dient de Privacy Audit door volledig onafhankelijke derden te worden uitgevoerd. De audit is een intensiever traject waarbij het ook meer draait om bewijsvoering. De audit is gebaseerd op het NOREA Privacy Control Framework (PCF) en Richtlijn 3000 (Assurance-opdrachten door IT-auditors). Doel van deze richtlijn is grondslagen vast te stellen en aanwijzingen te geven voor de uitvoering van assurance-opdrachten. De scope van de opdracht kan zowel zijn het vaststellen van het feitelijk bestaan van de getroffen maatregelen, maar ook het vaststellen dat deze maatregelen hebben gewerkt gedurende een bepaalde periode.

De IT audit wordt uitgevoerd door The Perfect Fit die hiervoor samenwerkt met 3angles, een klein niche buro voor IT audit-, risk- en assurance-opdrachten. Bij 3angles zijn 8 personen werkzaam waarvan 7 gecertificeerd IT auditor zijn. Wanneer u niet alleen zelf wilt vaststellen of aan de vereisten ten aanzien van privacy is voldaan, maar dit ook onafhankelijk en deskundig wilt laten toetsen, komt 3angles met het auditteam langs voor de Privacy Audit. Bij een positief oordeel kan na afloop van de audit aan u toestemming worden verleend het keurmerk (logo) 'Privacy-Audit-Proof' te gebruiken. Op deze wijze kunt u onafhankelijk en deskundig aantonen dat u op het thema Privacy "in control"  bent. 

Welke vorm van compliance voor u volstaat, hangt af van de aard en omvang van uw organisatie en welke rol persoonsgegevens hierin spelen. Voor zowel grote als kleine organisaties geldt echter: Neem privacy serieus. Niet alleen om aan de wet te voldoen maar ook om daarmee klanten beter te bedienen en daarmee gelukkiger te maken. “want gelukkige klanten zijn loyaler, verstrekken betere referenties en vergroten het winstpotentieel van een organisatie”(4). Zo gezien biedt compliance dus volop kansen!  

 

Weten hoe het staat met uw compliance? Neem nu contact met ons op dan bespreken we de mogelijkheden.  

  1. Marcel Becker & Bart Jacobs: Je Geld of je Data: Letter & Geest, zaterdag 23 juni 2018
  2. Yuval Noah Harari: Homo Deus, Een kleine geschiedenis van de toekomst, 2015, P.3504
  3. Vikto Mayer-Schönberger &Thomas Ramge: De Data-economie: Waarom data geld gaat vervangen, wat dit betekent voor de economie en hoe je hierop in kunt spelen, 2018  
  4. Thijs Pepping, Menno van Doorn & Sander Duivestein: Digital Happiness ¼: The Happiness Advantage, Vint/ Sogety, 2018