Dit hoofdstuk gaat in op deelvraag 6: Wat is de rol van de IT auditor: welke typen (privacy gerelateerde) opdrachten kan een IT auditor uitvoeren en welke standaarden en guidance zijn hiervoor beschikbaar? Door in te zoomen op de verschillende opdrachten vindt verduidelijking plaats van de verschillende rollen die een IT auditor in kan nemen.
Paragraaf 6.2 gaat in op de assurance opdrachten die een IT auditor kan uitvoeren.
Een IT auditor zou in dienst van een certificerende instantie certificeringsopdrachten kunnen uitvoeren. Paragraaf 6.3 behandelt dit.
Tenslotte kan een IT auditor adviesopdrachten uitvoeren en een rol als adviseur bekleden. Dit is onderwerp van paragraaf 6.4
Voor dit hoofdstuk is gebruik gemaakt van het artikel IT assurance versus IT certifcering: wat
biedt mij voldoende zekerheid? van R.F. Koorn en S. Stoof (Koorn, R. en Stoof, S., 2013).
6.2 Assurance opdrachten
6.2.1 Algemeen
In een assurance-opdracht is het doel om derde partijen die vertrouwen op een dienst of product de zekerheid te bieden dat die voldoet aan een overeengekomen normenkader. Assurance opdrachten zijn gericht op een situatie in het verleden. Bij een assurance- opdracht is sprake van drie partijen: de (IT) auditor, de partij die verantwoordelijk is voor het object van onderzoek (de auditee) en de beoogde gebruiker. De beoogde gebruiker zal de directie zijn, maar in het geval van privacy audits kan dit ook de toezichthouder zijn, de Autoriteit Persoonsgegevens.
Een auditor zal toetsingsnormen gebruiken om het object van onderzoek te evalueren. Hij kan gebruik maken van een standaard normenkader of als dit niet beschikbaar is, zelf een normenkader ontwikkelen.
Een assurance opdracht voor het recht op gegevenswissing houdt in dat de IT auditor objectieve zekerheid geeft over het functioneren van het stelsel van maatregelen dat een organisatie heeft ingericht en geïmplementeerd.
6.2.2 Standaarden
Richtlijn 3600
Er is een specifieke standaard beschikbaar voor privacy gerelateerde opdrachten: de richtlijn 3600: ‘opdrachten met betrekking tot de bescherming van persoonsgegevens (privacy-audits)’. Deze richtlijn dateert uit 2006 en is dus nog niet gebaseerd op de AVG. In 2016 is een addendum bij deze richtlijn verschenen. Als een privacy audit leidt tot een positief oordeel, wat inhoudt dat de privacy- auditor tot het oordeel komt dat het beoordeelde stelsel voldoet aan het normenkader, wordt het keurmerk ‘privacy audit proof’ afgegeven door het NOREA. In 2016 mochten 5 organisaties het ‘privacy audit proof’ certificaat voeren, namelijk: stichting Bureau Krediet Registratie (BKR), Centraal
Bureau voor de Statistiek (CBS), Liander, Nationaal Forensisch Instituut (NFI) en de Rijksdienst Wegverkeer (RDW) (NOREA, 2016).
Het uitvoeren van assurance-opdrachten onder deze richtlijn is voorbehouden aan een accountant (RA) of IT auditor (RE). Een aanvullende voorwaarde is dat de privacy auditor moet beschikken over voldoende kennis van ICT controls en voldoende praktische en theoretische kennis moet hebben van privacywetgeving.
Volgens artikel 6 van deze richtlijn kan een privacy audit zich richten op:
• Het stelsel van maatregelen gericht op een specifiek aangegeven verwerking van persoonsgegevens.
• Een bestuursverklaring van de verantwoordelijke die aangeeft welke maatregelen en procedures (het stelsel) gericht op een specifiek aangegeven verwerking van
persoonsgegevens door de verantwoordelijke zijn getroffen (Nivra/Norea, 2006).
De Richtlijn geeft aan welke documenten gebruikt moeten worden als normenkader. Dit is echter ook op de oude wetgeving gebaseerd.
Het onderzoek wordt afgesloten met een assurance-rapport waarin een conclusie is opgenomen.
Service Organisatie Control Report (SOC1 en SOC2)
De Amerikaanse beroepsorganisatie AICPA heeft de internationale standaard ISAE 3402 opgenomen in haar standaarden onder de naam SOC-1. SOC staat voor Service Organisation Control report. Een SOC-1 rapport is gericht op het beheersen van risico’s die betrekking hebben op financiële
rapportages. SOC-2 lijkt op SOC-1, echter SOC-2 is breed toepasbaar op IT gerelateerde processen. Daarnaast maakt SOC-2 gebruik van vast gedefinieerde beheersingsdoelstellingen voor security, confidentiality, availability, integrity en privacy.
Volgens de Norea website: de IT auditor (https://www.deitauditor.nl/beroepsontwikkeling- reglementering/nederlandse-handreiking-voor-soc-2-komt-eraan/) sluit het privacy principe dat gehanteerd wordt niet aan op de Nederlandse / Europese wetgeving.
6.3 Certificeringsopdrachten
Certificatie is het door een onafhankelijke, geaccrediteerde partij laten vaststellen of het managementsysteem van de betreffende organisatie voldoet aan alle eisen op dat gebied. Het managementsysteem is de wijze waarop een organisatie of proces bestuurd wordt (Koorn, 2013). Certificeringsopdrachten zijn evenals assurance opdracht gericht op een situatie in het verleden. Er zijn vier typen van certificering: organisatie- of procescertificering, productcertificering, attest en persoonscertificering. Een bekende certificeringsorganisatie is de International Organisation for Standardisation (ISO). Er bestaan geaccrediteerde certificeringsinstellingen die gerechtigd zijn om ISO certificaten te verstrekken. Belangrijke ISO normen voor privacy en de AVG zijn ISO 29100 Privacy framework en ISO 27001 Informatiebeveiliging.
Een belangrijk verschil tussen assurance- en certificeringsopdrachten is de grotere diepgang waarmee een assurance-opdracht wordt uitgevoerd. Daarnaast is de wijze van rapporteren verschillend: assurance-rapport vs. certificaat. Een certificaat wordt meestal afgegeven voor een periode van drie jaar.
De Amerikaanse beroepsorganisatie AICPA biedt ook een certificaat, een zogenoemd SOC-3 rapport. Een SOC-3 rapport is een verkorte rapportage die bedoeld is voor brede publicatie, bijvoorbeeld voor
plaatsing op de website van een service-organisatie. Echter SOC-3 is gebaseerd op SOC-2 en is niet aangepast aan Europese wetgeving, dus niet goed bruikbaar.
Een IT auditor kan in dienst van een certificeringsinstelling certificeringsaudits uitvoeren. De
verwachting is dat het recht op gegevenswissing / vergetelheid deel uitmaakt van het normenkader dat wordt gehanteerd. Dit is het geval bij het normenkader van Europrise, hieronder vermeld.
6.4 Certificering AVG
Er zijn in Europa verschillende initiatieven gestart voor certificering. De organisatie Europrise heeft een certificeringsproces ingericht voor IT producten en IT based services, gebaseerd op de AVG. Europrise komt voort uit de gegevensbeschermingsautoriteit van de Duitse deelstaat Sleeswijk- Holstein. Aan Europrise nemen 9 organisaties deel uit 8 EU landen. Certificering leidt tot het European Privacy Seal.
In Frankrijk houdt de Franse autoriteit persoonsgegevens, CNIL zich bezig met certificering. Er bestaan certificaten voor privacy audits, privacy trainingen en digital safe24.
In Nederland is een soortgelijk initiatief gestart, onderzoeksorganisatie TNO verricht een studie hoe certificering eruit zou kunnen zien.
Daarnaast bestaat ‘Privacy Waarborg’ van de brancheorganisatie voor Data en Marketing (DDMA). De DDMA Privacy-autoriteit beoordeelt het dataprivacy- en security beleid van de 300 aangesloten leden door middel van een privacy en security check.
6.5 Adviesopdrachten
De IT auditor kan vanuit zijn deskundigheid op het gebied van risico’s en beheersingsmaatregelen een adviserende rol aannemen in het implementatietraject van de AVG. In tegenstelling tot assurance-opdrachten geeft een auditor bij een adviesopdracht geen oordeel af en zijn er twee partijen betrokken: de opdrachtgever en de IT auditor in zijn rol als adviseur.
Hij zou bijvoorbeeld kunnen adviseren over de inrichting van het proces voor gegevenswissing. Hij moet er daarbij wel op bedacht zijn dat deze adviesopdrachten niet in conflict komen met assurance opdrachten.
6.6 Guidance vanuit de beroepsorganisatie NOREA
De beroepsorganisatie NOREA heeft onderstaande documenten beschikbaar, van belang voor een IT auditor:
• Handreiking Privacy Impact Assessments.
• Handreiking Werkprogramma Meldplicht Datalekken. • Privacy control framework.
Deze documenten zijn al volledig gebaseerd op de AVG.
6.7 Open normen in de AVG
Momenteel is in de AVG nog sprake van veel ‘open normen’, begrippen die niet duidelijk zijn gedefinieerd en waarvoor nadere toelichting nodig is. De AVG onderscheidt bijvoorbeeld de begrippen ‘hoog risico’ en ‘risico’, maar geeft niet duidelijk aan wat deze begrippen inhouden. Hetzelfde geldt voor begrippen als ‘privacy by design’ en ‘privacy by default’. Het is mogelijk dat
24Een digitale kluis verschilt van een opslagruimte in die zin dat de gegevens die daar worden opgeslagen (documenten en
organisaties daar een verschillende invulling aan gaan geven. De verwachting is dat de komende tijd voor deze begrippen meer guidance zal komen en daarnaast jurisprudentie voor meer verduidelijking zal zorgen.
Het bestaan van open normen zal het uitvoeren van een privacy audit bemoeilijken. Een IT auditor zal moeten beoordelen of organisaties een goede invulling aan deze begrippen hebben gegeven en hier ook een oordeel over moeten geven. De afwezigheid van duidelijke normen bemoeilijkt dit.
6.8 Tot slot
In dit hoofdstuk is ingegaan op de verschillende opdrachten die een IT auditor kan uitvoeren: assurance-opdrachten, certificeringsopdrachten en adviesopdrachten. Daarnaast is ingegaan op de verschillen in rol: geven van objectieve assurance met een uitgebreide scope/ diepgang. Het
uitvoeren van cerificeringsaudits met een beperktere scope / diepgang dan de assurance opdrachten en het optreden als adviseur, waarbij gewaakt moet worden dat dit niet conflicteert met assurance opdrachten.
Belangrijke standaarden voor privacy-opdrachten zijn de Richtlijn 3600 en de SOC 1 en 2. Echter de huidige assurance standaards zijn niet gebaseerd op de AVG. Er is certificering ontwikkeld (en in ontwikkeling) die wel gebaseerd is op de AVG, onder meer van de Duitse Europrise en de Franse CNIL. Daarnaast zijn ISO 27001 en ISO 29100 belangrijk voor privacy gerelateerde opdrachten. In adviesopdrachten kan veel variatie bestaan. Hierbij geeft een auditor geen oordeel af.