Nieuwe handreiking voor Data Protection Impact Assessment
De Nederlandse Orde van Register EDP Auditors (NOREA), de beroepsorganisatie van IT-Auditors, heeft een nieuwe handreiking gepubliceerd voor het uitvoeren van een Data Protection Impact Assessment (DPIA).
Als een organisatie persoonsgegevens wil gaan verwerken, terwijl het privacyrisico hoog is, zijn assessments verplicht. Dit volgt uit de Algemene Verordening Gegevensbescherming (AVG). De DPIA-handreiking van NOREA kan gebruikt worden voor bescherming van persoonsgegevens, waaronder het voorkomen van datalekken.
In de vorige versie, de PIA-handreiking van november 2015, stonden veel gesloten vragen. In de nieuwe handreiking wordt gevraagd om een onderbouwde risicoanalyse uit te voeren. Hierdoor biedt het een meer systematische en gestructureerde, op de praktijk gebaseerde aanpak. De handreiking sluit ook aan bij ISO 31000/31010, de internationale standaard voor risicomanagement.
Zowel opdrachtgevers als opdrachtnemers van DPIA’s, waaronder de IT-auditor in de rol van adviseur, kunnen aan de slag met de nieuwe handreiking. De aanpak is geschikt voor elk type organisatie.
De nieuwe handreiking van de NOREA bestaat uit twee documenten:
- De NOREA Handreiking Data Protection Assessment, bestaande uit een introductie omtrent DPIA’s en een toelichting op de vragen uit het DPIA Raamwerk en enkele bijlagen;
- Het NOREA Data Protection Raamwerk, bestaande uit de te beantwoorden vragen, waarmee wordt voldaan aan de vereisten uit de AVG met betrekking tot de DPIA, wat leidt tot een DPIA-rapportage.