Eind januari was het weer een nieuwe Dag van de Europese Privacy, om de noodzaak van de bescherming van persoonlijke gegevens te benadrukken. Voor Norea is het belang van privacy en databescherming allang een vanzelfsprekendheid. De beroepsorganisatie van it auditors biedt een instrumentarium waarmee organisaties hun privacybeheersing op orde kunnen krijgen. Want, hoewel het onderwerp tegenwoordig veel meer op de radar van organisaties staat, is de praktijk nog weerbarstig.

Privacy is niet iets van de laatste tijd. De term is in de jaren zestig overgewaaid vanuit de Verenigde Staten naar Europa. In Nederland geldt de veertiende algemene volkstelling op 28 februari 1971 als een ijkpunt. Computers werden ingezet voor de gegevensverwerking en dat vonden sommige critici een inbreuk op hun persoonlijk leven. Er brak een discussie los die nu gezien wordt als het eerste brede maatschappelijke debat over privacy in Nederland. Nadien is het privacyvraagstuk alleen maar groter geworden door de toenemende automatisering en  het verwerken van persoonlijke gegevens op grote schaal. Norea, Nederlandse Orde van Register EDP Auditors, tegenwoordig it auditors, heeft daar sinds de oprichting in 1992 volop aandacht voor. Zoals de beroepsvereniging het tegenwoordig stelt: Privacy en online security zijn voorwaarden voor het online vertrouwen, economische groei en maatschappelijk welzijn.

Nederland heeft niet alleen een sterke digitale infrastructuur maar kent dus ook een sterk ontwikkelde it audit beroepsgroep. Zo n it auditor acteert onafhankelijk van it leveranciers en toetst de kwaliteit, veiligheid en continuiteit van it systemen en infrastructuren, inclusief de bijbehorende, it-organisatie en processen. En spreekt daarover met de materiedeskundigen en het verantwoordelijk management, ceo, cio en-of ciso, van klanten.

Het Norea Reporting Initiative

Organisaties helpen om een robuuste ict te creeren, dat is een rol die voor een it auditor is weggelegd, zegt Jan Roodnat, voorzitter van de werkgroep Privacy bij Norea. Hij wijst in dit kader op een belangrijk product van de vereniging: het Norea Reporting Initiative, NRI. Bedrijven leggen verantwoording af over hun financien en tegenwoordig ook over het duurzaamheidsbeleid, ESG standaard: Environmental, Social and Governance. Norea pleit ervoor dat een organisatie zich ook moet verantwoorden voor goed ondernemingsbestuur op het gebied van ict, licht Roodnat toe. Laat een register it auditor optrekken met een registeraccount. De eerste stelt een rapport op over de robuustheid van de it, de tweede checkt de financiele verslaglegging.

De NRI is dan een verslaggevingsstandaard om zo n it beheerverslag op te stellen en belanghebbenden te informeren over zaken als it regelgeving, uitbesteding, cybersecurity en continuiteit. Zo n ict verantwoording, die nog niet verplicht is, heeft de nodige raakvlakken met internationale regelgeving, zoals de herziene, aangescherpte netwerk en informatiebeveiligingsrichtlijn NIS2 en Dora, Digital Operational Resilience Act, voor financiele instellingen en hun leveranciers, met aanvullende eisen op het gebied van cyberbeveiliging en veerkracht. Roodnat verwacht dat het NRI in de nabije toekomst hierop aansluit.

Deze versturen we 3-4x per jaar.