Op drie plaatsen in de AVG wordt gesproken over audit:
- Artikel 28 lid 3.h AVG, de (sub-)verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen uit artikel 28 AVG aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken.
- Artikel 39 lid 1.b AVG, de functionaris voor gegevensbescherming ziet toe op naleving van de Avg en het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits.
- Artikel 47 lid 2.j Arg, als onderdeel van bindende bedrijfsvoorschriften dienen procedures beschikbaar zijn die gericht zijn op de controle op naleving van de bindende bedrijfsvoorschriften. Dergelijke procedures omvatten gegevensbeschermingsaudits en -methoden om te zorgen voor corrigerende maatregelen ter bescherming van de rechten van de betrokkene.
Accountability is evidence based en faciliteert compliance gericht op het nakomen van de AVG en het beleid.
Auditability is risk based en faciliteert assurance gericht op het vaststellen van de accountability van de effectieve werking van gegevensbescherming- en privacybeleid.
