Nieuws 02 mei 2018

Norea publiceert Privacy Control Framework

De beroepsorganisatie van IT-auditors (Norea) heeft een handreiking gepubliceerd voor auditprofessionals in het kader van de nieuwe privacywetgeving.

Het primaire doel van het Privacy Control Framework (PCF) is "het bieden van een handreiking aan (audit) professionals bij het beoordelen of de controledoelstellingen van een entiteit met betrekking tot privacy en bescherming van persoonsgegevens worden bereikt", aldus Norea.

Naast de kernelementen van de Algemene Verordening Gegevensbescherming (AVG) is rekening gehouden met best practices op het gebied van privacy- en gegevensbescherming en informatie lifecycle management. "Als zodanig kan het PCF worden gebruikt als startpunt voor op maat gemaakte privacyaudits. Het PCF bevat de voorgeschreven doelstellingen en elementen voor privacy-opdrachten op basis van de NOREA Assurance richtlijn 3000."

Gebruikers

Norea onderscheidt drie soorten gebruikers van het PCF:

1. De IT-auditor die de privacymaatregelen van een entiteit en het behalen van privacydoelstellingen beoordeelt, met als doel de mate van privacybeheersing of AVG-voorbereiding te beoordelen en tot een advies te komen;
2. De IT-auditor die een privacy assurance-opdracht uitvoert op basis van NOREA richtlijn 3000 en op basis van deze werkzaamheden een assurance rapport afgeeft;
3. Andere professionals (zoals risicomanagers, functionarissen voor de gegevensbescherming, beveiligings- en/of privacymedewerkers) die de privacy-impact of de stand van zaken van de AVG-implementatie in een entiteit wensen te beoordelen.

Met de introductie van het PCF komt de richtlijn 3600 'Assurance-opdrachten met betrekking tot de bescherming van persoonsgegevens (Privacy-audits)’ te vervallen.