MENU

AVG-en-audits-Blog-imageU wilt dat uw externe audit zo soepel mogelijk verloopt. Maar hoe zit het eigenlijk met de AVG? Mag u documenten waarin persoonsgegevens zijn verwerkt wel laten inzien? En hoe zorgt u ervoor dat dit uw audit niet in de weg staat? Het onderwerp zorgt voor de nodige onzekerheden die u er tijdens een audit niet bij kunt hebben. In dit blog geven we u daarom de handvatten en inzichten die u nodig heeft om goed op voorbereid te zijn op privacywetgeving tijdens externe audits. 

De Algemene Verordening Gegevens-bescherming

De Algemene Verordening Gegevensbescherming (AVG), of in het Engels de GDPR, is bedoeld om burgers te beschermen tegen het misbruik van persoonsgegevens. Ook regelt het rechten en plichten omtrent het verwerken van deze gegevens (door derden). In de kern gaat het dus om persoonsgegevens.

Wanneer u tijdens een externe audit gevraagd wordt documenten te laten inzien waar persoonsgegevens in verwerkt staan, geeft dit twijfel. Mag u dit wel laten inzien? Is dit niet in strijd met de AVG?

Wanneer u kunt aantonen dat u de juist onderbouwing heeft om persoonsgegevens te verwerken en dus te laten inzien, heeft u niets te vrezen. Dit is echter makkelijker gezegd dan gedaan, want de AVG is een gecompliceerde verordening met veel artikelen en vraagt veel tijd en energie om te doorgronden. 

Krijg in één oogopslag helder wat de AVG van u vraagt - Download de checklist

Wilt u de AVG breder aanpakken en al uw bedrijfsinformatie beveiligen? Dan kan het opzetten van een managementsysteem voor informatiebeveiliging u hierbij helpen. Het implementeren van een managementsysteem helpt u gestructureerd te werk te gaan. Het legt de risico's bloot zodat u hier tijdig op kunt inspelen. Ook voldoet u hiermee voor een deel aan de AVG.

Hoe zorgt u dat de AVG uw audit niet in de weg staat?

Als werkgever bent u verantwoordelijk voor de bescherming van de gegevens van uw werknemers. Wanneer u een externe audit instapt is het van belang dat u al heeft nagedacht over de AVG en wanneer nodig u bepaalde zaken regelt. Een van de zaken die u dient te regelen om te zorgen dat u bent voorbereid op een audit, is de privacyverklaring (ook wel de privacy statement).

1. Een privacyverklaring opstellen

De AVG stelt dat u de personen van wie u (als werkgever) gegevens verwerkt - informeert over welke gegevens u verwerkt en met welk doel u dit doet. Het informeren hiervan kan gaan via de privacyverklaring.

In een privacystatement legt u dus vast welke persoonsgegevens u verzamelt en met welk doel. De beginselen in de AVG geven aan op basis waarvan u deze gegevens bewaart:

  • Rechtmatigheid
  • Eerlijkheid
  • Transparantie
  • Doelbinding
  • Dataminimalisatie
  • Juistheid
  • Opslagbeperking
  • Integriteit en vertrouwelijkheid
  • Verantwoordingsplicht

Dit zijn als het ware de voorwaarden waaraan u zich dient te houden als het gaat om de verwerking van persoonsgegevens. In artikel 12, 13 en 14 van de AVG staan alle voorgeschreven regels welke u dient te benoemen in het privacystatement.

Standaard opgezette versies of voorgeschreven privacyverklaringen bestaan niet. Voor iedere organisatie ziet dit document er anders uit. Om tot het juiste resultaat te komen, kunt u bijvoorbeeld in gesprek gaan met de betrokken partijen binnen de organisatie en onderzoek verrichten welke gegevens u verwerkt en wat u hiermee doet.

Een voorbeeld van een persoonsgegeven kan bijvoorbeeld zijn dat u in het bezit bent van kopieën van identiteitsbewijzen van uw werknemers.

2. Gegevens aan het juiste doel koppelen

Hebt u helder welke gegevens u verwerkt? Dan is het nu zaak dat u de persoonsgegevens koppelt aan het juiste doel (artikel 5 in de AVG). Denk hierbij aan pensioenregelingen, salariëring en audits. Met andere woorden, welke persoonsgegevens gebruikt u om deze doelen te bereiken?

Wanneer u alle mogelijke uitwisselingen van persoonsgegevens en het doel hiervan in kaart heeft gebracht, gaat u alle gegevens die u bewaart onderbouwen. Dit is het onderdeel waar u ook tijdens een externe audit op terug kunt vallen.

Als het goed is legt u alle gegevens vast en de bijbehorende onderbouwing van inzage. U zou dus te allen tijde moeten kunnen achterhalen of u toestemming heeft de gevraagde gegevens ook te laten inzien. Wanneer u twijfelt of u documenten met persoonsgegevens tijdens een audit mag inzien, pakt u de privacyverklaring erbij.

3. De verwerking van persoonsgegevens onderbouwen

U gaat de gegevens die u uitwisselt baseren op een van de rechtsgronden uit artikel 6 uit de AVG – de rechtmatigheid van verwerking:

De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

  • De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  • De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken. 
    (Bron: Algemene Verordening Gegevensbescherming, artikel 6) 


Een onderbouwing voor het verwerken van persoonsgegevens - gerelateerd aan een audit - is bijvoorbeeld:

Ik geef auditoren toestemming documenten in te zien. Deze toestemming baseer ik op de grondslag ‘overeenkomst’.

In dit geval wordt verwezen naar de overeenkomst, ofwel de arbeidsovereenkomst tussen bedrijf en medewerker. U toont hiermee aan dat u (in de arbeidsovereenkomst) toestemming heeft gekregen om de gegevens van deze persoon te verwerken en te laten inzien. 

4. De privacyverklaring voor iedereen toegankelijk maken

Tijdens een externe audit, en daarnaast op ieder ander moment, dient u de privacyverklaring direct te kunnen raadplegen. Zorg er daarom voor dat u hierop bent voorbereid en lokaliseer de privacyverklaring op een plek waar alle betrokkenen toegang tot hebben.

U kunt het bijvoorbeeld online beschikbaar stellen, op een server of een plek in uw managementsysteem geven. Hiermee heeft u altijd de juiste onderbouwing wanneer u in aanraking komt met persoonsgegevens. 

Conclusie

Er komt veel kijken bij certificering en de bijkomende aspecten rondom privacywetgeving kunt u er eigenlijk niet bij hebben. Daarom helpt het om bovenstaande zaken op orde te hebben, zodat u weet wat u te doen staat wanneer u in aanraking komt met de privacywetgeving. Zoals tijdens externe audits wanneer u gevraagd wordt documenten in te laten zien. Op die manier zorgt u dat u met zekerheid de audit instapt. 

Maak het uzelf makkelijker, download de checklist:

Het voldoen aan de privacywetgeving omvat natuurlijk een veel breder scala aan onderwerpen dan we in dit blog behandelen. Het kan een aardige klus zijn al deze onderwerpen op een rij te krijgen en concreet te weten wat u moet doen. Om het u in de volledige breedte te helpen, hebben wij voor u alle AVG onderwerpen gekaderd in één totaaloverzicht. Zodat u alles binnen handbereik heeft en u zich kunt focussen op de belangrijke zaken: voldoen aan privacywetgeving.

Download hier de AVG Checklist.


New Call-to-action

Onderwerpen:

ISO 27001 informatiebeveiliging privacywetgeving Alle onderwerpen

Auteur

Deel deze pagina

Algemene vragen en opmerkingen

Tüv kantoor

TÜV Nederland

0499 - 339 500

Voor al uw algemene vragen en opmerkingen