AVG en IT-audit: hoe toetst een auditor de privacycompliance van je organisatie?

De Algemene Verordening Gegevensbescherming (AVG) is sinds 2018 van kracht en stelt vergaande eisen aan de verwerking van persoonsgegevens. Hoewel de AVG primair een juridisch kader biedt, is de naleving ervan in hoge mate afhankelijk van technische en organisatorische maatregelen die binnen het domein van IT-audit vallen.

Een IT-auditor beoordeelt bij een privacyaudit of de technische beveiligingsmaatregelen passend zijn voor het type gegevens dat wordt verwerkt. De AVG spreekt van "passende technische en organisatorische maatregelen" zonder een specifieke lijst voor te schrijven. De auditor beoordeelt of de gekozen maatregelen in verhouding staan tot het risico.

Toegangscontrole is een kerngebied. De auditor controleert of alleen geautoriseerde medewerkers toegang hebben tot persoonsgegevens, of het principe van least privilege is toegepast, en of toegangsrechten periodiek worden gereviewed. Bij gevoelige gegevens zoals gezondheidsdata of BSN-nummers worden strengere eisen gesteld.

Versleuteling is een ander belangrijk aandachtspunt. De AVG noemt pseudonimisering en versleuteling expliciet als mogelijke beveiligingsmaatregelen. De auditor beoordeelt of persoonsgegevens versleuteld zijn in opslag en tijdens transport, en of de sleutelmanagementprocedures adequaat zijn.

Het verwerkingsregister is een wettelijke verplichting die de auditor toetst. Zijn alle verwerkingen vastgelegd met de vereiste informatie: doel, rechtsgrond, categorieën betrokkenen, bewaartermijnen en technische maatregelen? Is het register actueel en wordt het periodiek gereviewed?

Data Protection Impact Assessments (DPIA's) zijn verplicht bij verwerkingen met een hoog risico. De auditor controleert of DPIA's zijn uitgevoerd waar nodig, of de geïdentificeerde risico's zijn gemitigeerd, en of er een proces is om te bepalen wanneer een DPIA vereist is.

Het recht op vergetelheid en dataportabiliteit stelt technische eisen aan systemen. Kan de organisatie persoonsgegevens daadwerkelijk verwijderen uit alle systemen, inclusief back-ups en logs? Kan data in een gestructureerd, gangbaar formaat worden geëxporteerd?

Tot slot beoordeelt de auditor het incidentresponsproces. De AVG vereist melding bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking van een datalek. Is er een datalekprocedure? Wordt deze regelmatig getest? Zijn medewerkers getraind in het herkennen van datalekken?

Secure Audit combineert IT-auditexpertise met kennis van privacywetgeving om een integrale beoordeling te geven van de technische AVG-compliance. Neem contact op voor een privacyaudit of assessment.