voorzitter NOREA Adri de Bruijn NIVRA-NOREA-aanpak privacy-certificering privacy-audit

Transcriptie

1 Adri de Bruijn voorzitter NOREA NIVRA-NOREA-aanpak privacy-audit privacy-certificering Platform Informatiebeveiliging, 13 april 25

2 Nr Waarom een privacy-certificaat? Reden % Het aantoonbaar voldoen aan de wet 85 Voorkomen imago schade 7 Inzicht in beveiliging voor derden 64 Inzicht in beveiliging voor medewerkers 61 Naamsbekendheid/reputatie verbeteren 53 Voorkomen schadeclaims 49 Voorkomen rechtzaken 49 Nieuwe klanten winnen 42 Klanten binden 39 Voorkomen van boetes 39

3 Waarom een privacy-certificaat? Signalen vanuit stakeholders - eisen : nee: 79% - verwachting : nee: 7% Minder snel onderzoek door CBP reden om te doen: 24 %

4 wetgever Wet bescherming persoonsgegevens handhaving feitenonderzoek verantwoordelijke interventie Raamwerk + handreiking onderzoek Samenhang Accreditatie-instellingen Audit-organisaties Privacy-auditor certificering

5 De invulling door Nivra/Norea Raamwerk Privacy- Audit Accreditatie-instellingen Audit-organisaties Koninklijk NIVRA NOREA Richtlijn privacy-audit (ontwerp) Privacy-audit Privacy-auditor certificering Handreiking bij Raamwerk

6 Accreditatie-instellingen Samenwerking beroepsorganisaties Koninklijk Nederlands Instituut van Register accountants (NIVRA) Nederlandse Orde van Register EDP-auditors (NOREA)

7 Eisen accreditatie-instelling Belang Eisen aan accreditatie-instelling CI heeft geheimhoudingsverplichting CI is volledig onafhankelijk CI is volledig onpartijdig CI is door het CBP erkend CI is gehouden aan gedrags- en beroepsregels CI is onderworpen aan een vorm van kwaliteitstoezicht CI is een gerenommeerde organisatie CI is onderworpen aan tuchtrecht Groot (%) 78,8 66,7 66,7 69,7 45,5 36,4 51,5 3,3 Normaal (%) 18,2 27,3 24,2 27,3 48,5 51,5 24,2 42,4 Niet echt (%), 3, 6,1 3, 3, 12,1 21,2 24,2 Niet (%) 3, 3, 3,, 3,, 3,1 3,1

8 De invulling door Nivra/Norea Raamwerk Privacy- Audit Accreditatie-instellingen Audit-organisaties Koninklijk NIVRA NOREA Richtlijn privacy-audit (ontwerp) Privacy-audit Privacy-auditor certificering Handreiking bij Raamwerk

9 Richtlijn Privacy-audit Richtlijn voor de RA s en RE s die deze opdrachten uitvoeren Gebaseerd op internationale standaarden Aanvullend op de reeds geldende beroepsregels (onafhankelijkheid, deskundigheid, tuchtrecht, etc.)

10 Richtlijn privacy-audit Doelstelling & afbakening opdracht - per melding Deskundigheid conform de normale regels Opdrachtaanvaarding wat als FG opdrachtgever is

11 Richtlijn privacy-audit Beoordeling Opzet, bestaan en werking Opzet & uitvoering werkzaamheden mate van zekerheid Rapportage mededeling prospectief element

12 Opzet, bestaan, werking Reikwijdte Profit / Non-profit organisatie Non profit (22) Profit (11) Opzet (%), 18,2 Opzet Bestaan (%) 22,7 45,5 Opzet Bestaan Werkin g (%) 77,3 36,4 Anders (%),,

13 Geldigheidsduur certificaat Verwachte geldigheidsduur Privacycertificaat % Het certificaat is een jaar geldig. Daarna moet opnieuw een privacy-audit plaatsvinden (hercertificering). 3, Het certificaat is twee jaar geldig. Na een jaar moet een tussentijdse herbeoordeling plaatsvinden om het certificaat te mogen behouden en iedere twee jaar moet een hercertificering plaatsvinden. 18,2 Het certificaat is drie jaar geldig. Ieder jaar moet een herbeoordeling plaatsvinden om het certificaat te mogen behouden en na drie jaar moet een hercertificering plaatsvinden. 63,6 Het certificaat wordt eenmalig afgegeven en is onbeperkt geldig. 6,1 Anders. 9,1

14 En dat mag kosten Verschil kostenindicatie profit versus non-profit (in Euros) < > 1. Anders Niet bekend Profit (%) 81,8 9,1 9,1 Nonprofit (%) 52,4 19 4,8 23,8 Eerder onderzoek overwogen? Nee (54%) 76,5 5,9 17,6 Ja, intern (36%) ,3 8,3 8,4 Ja, extern (1%) 33,3 33,3 33,4

15 De invulling door Nivra/Norea Raamwerk Privacy- Audit Accreditatie-instellingen Audit-organisaties Koninklijk NIVRA NOREA Richtlijn privacy-audit (ontwerp) Privacy-audit Privacy-auditor certificering Handreiking bij Raamwerk

16 Handreiking Privacy-audit Contouren voor Compliance Handreiking Privacy-audit (concept) CBP in samenwerking met NIVRA/NOREA Handreiking voor auditors/interne evaluaties Verdieping Raamwerk Privacy-audit Op basis diverse pilots

17 Handreiking Privacy audit Onderverdeling naar non conformiteiten deficienties incidenten Weging op basis risico-klassen A&V 23 Professioneel oordeel auditor

18 Definities Non-conformiteit een structurele (stelselmatige), materiële tekortkoming ten opzichte van de van toepassing zijnde wet- en regelgeving c.q. de daarvan afgeleide gedragscodes waardoor de bescherming van de persoonsgegevens van een of meer betrokkene(n) in ernstige mate is of kan worden geschaad. Deficiëntie een structurele (stelselmatige), niet-materiële tekortkoming ten opzichte van de van toepassing zijnde wet- en regelgeving c.q. de daarvan afgeleide gedragscodes waardoor de bescherming van persoonsgegevens van een of meer betrokkene(n) niet in ernstige mate is of kan worden geschaad. Incident een incidentele, niet-materiële tekortkoming ten opzichte van de van toepassing zijnde wet- en regelgeving c.q. de daarvan afgeleide gedragscode waardoor de bescherming van persoonsgegevens van een of meer betrokkene(n) niet in ernstige mate is of kan worden geschaad.

19 1 I 2 DeficiÎ ntie II 4 Schema punten Incident Punten per risicoklasse III I II III

20 Voorbeeld V7: non conformiteiten De verantwoordelijke heeft geen goedgekeurd lang termijn beveiligingsbeleid, dan wel in dit beleid is geen expliciete aandacht voor de bescherming van persoonsgegevens. De verantwoordelijke vertaalt het beveiligingsbeleid niet regelmatig in geactualiseerde beveiligingsplannen. De implementatie van het stelsel van procedures en maatregelen door de verantwoordelijke spoort niet met het beveiligingsplan. Door de verantwoordelijke is in onvoldoende mate de afweging gemaakt tussen het nemen van technische (Privacy-Enhancing Technologies) en organisatorische maatregelen. Er is niet voorzien in een duidelijke functiescheiding tussen de uitvoering van taken en de controle daarop. De werknemers zijn zich niet bewust van hun taak beveiligingsincidenten aan de verantwoordelijke te melden. Van nieuwe werknemers wordt onvoldoende vastgesteld of zij van onbesproken gedrag zijn.

21 Voorbeeld V7: deficientie/incident Deficiënties en Incidenten Het beleid zoals dat door de verantwoordelijke is vastgesteld bevat onjuistheden en tekortkomingen die in onvoldoende mate rekening houden met de vastgestelde risicoklasse; Het beveiligingsbeleid houdt in onvoldoende mate rekening met het feit dat een deel van de verwerking van persoonsgegevens zich buiten het ICT-domein bevindt;

22 Vervolgstappen Afronden Richtlijn Formuleren oordeel/mededeling Ontwikkeling logo Onderzoek naar oordelen voor Bewerkers Kleinere organisaties

23 De invulling door Nivra/Norea Raamwerk Privacy- Audit Accreditatie-instellingen Audit-organisaties Koninklijk NIVRA NOREA Richtlijn privacy-audit (ontwerp) Privacy-audit Privacy-auditor certificering Handreiking bij Raamwerk