Audyty
Standardy
Audyt wykonuje zgodnie z międzynarodowymi standardami audytu wewnętrznego IIA i wytycznymi normy ISO 27001:2017.
Podejście do samego wykonywania audytu mam dość nowatorskie, gdyż opiera się w dużej mierze na podejściu metodycznym, a nie na check listach. Moje wieloletnie doświadczenie jako Project Manager Prince2 Foundation wykorzystuję właśnie w audycie, co szczególne znaczenie ma w kontekście audytów RODO, gdyż są realizowane w oparciu o ryzyko.
Istotą wymagań RODO jest podejście oparte na ryzyku, jednak ryzyko to ma odnosić się do naruszenia praw i wolności osób fizycznych, a nie materialnych Administratora.
Czytelność
Wynik Audytu musi być jasny i zrozumiały dla każdego jego odbiorcy, aby to zapewnić po za samymi dokumentami audytu przygotowuje wykaz niezgodności i zaleceń, są one oczywiście jako dobre rady lub wskazówki, a wypełnić je można wieloma rozwiązaniami.
Nie zalecam zakładania RODOzamków czy RODOszyb, gdyż nie o to w RODO „chodzi”.
Audyt to najlepsza droga, aby wiedzieć co jest teraz i jak powinna wyglądać przyszłość, nie można chronić danych ani dostosowywać procesów w celu ochrony praw i interesów osób fizycznych, gdy nie wiemy jakie i czyje dane przetwarzamy oraz jakie mechanizmy gwarantują nam ich poufność, integralność oraz dostępność.
Cykl deminga
Audyt wykonywany wg. Cyklu Deminga pozwala nie tylko wykryć nieprawidłowości lub braki, ale również w sposób ciągły i systematyczny udoskonalać System Ochrony Danych Osobowych. W tym celu należy nie tylko wykonać audyt, ale co najważniejsze prawidłowo go zaplanować (wybrać właściwe obszary oraz przedmiotowy obszar), wykonać audyt i dać zalecenia, sprawdzić czy zalecenia zostały wykonane, poprawić to co nie wykonane i ponownie zaplanować...