Terugwerkende kracht
Voor
dit
onderdeel
is een wijziging met terugwerkende kracht gepubliceerd. Zie
opmerking onder de tekst voor nadere informatie.
Naast de controle van de jaarrekening en de daarin opgenomen subsidieverantwoording
wordt aan de accountant gevraagd om specifiek overeengekomen werkzaamheden te verrichten
en daarover de rapporteren in overeenstemming met de NBA Standaard 4400N. De werkzaamheden
zijn afgestemd met de subsidieverstrekker en betreffen geen controle- of beoordelingsopdracht
of enige andere assurance-opdracht uitgevoerd in overeenstemming met Nederlandse controle-
en overige standaarden. In het rapport van feitelijke bevindingen wordt door de accountant
gerapporteerd over de onderzoeksbevindingen zonder dat de accountant hierover een
oordeel uitspreekt. De beoordeling van de onderzoeksbevindingen wordt overgelaten
aan de gebruiker (lees: subsidieverstrekker) van het rapport. De specifiek overeengekomen
werkzaamheden hebben betrekking op het treffen van waarborgen met betrekking tot privacywetgeving.
a. Privacywetgeving (AVG richtlijn)
Vanuit de subsidiegever is het van belang om inzicht te hebben in het voldoen door
het COA aan de Algemene Verordening Gegevensbescherming (AVG). Daarom wordt aan de
accountant gevraagd specifieke werkzaamheden te doen gericht op de onderstaande vragen.
Per onderstaand(e) onderwerp (in casu register, analyse, assessment, procedure, ontwerp,
functionaris, matrix, beheersmaatregelen, test) wordt gevraagd een beknopte beschrijving
van de inhoud van dat onderwerp te geven. Indien de vraag ontkennend wordt beantwoord
wordt gevraagd de reden aan te geven waarom dit niet van toepassing is. Indien een
alternatieve oplossing wordt gebruikt, wordt gevraagd de inhoud hiervan beknopt te
beschrijven.
Werkzaamheden: De accountant stelt door middel van inzage in het register van verwerkingsactiviteiten
vast of het COA een register van verwerkingsactiviteiten heeft.
Werkzaamheden: De accountant verkrijgt door middel van een interview inlichtingen
bij de projectleider AVG en overige relevante functionarissen en stelt op basis van
inzicht in ondersteunde documentatie vast dat het COA heeft geanalyseerd of er sprake
is van een hoger risico met betrekking tot gegevensverwerkingsactiviteiten.
Werkzaamheden: De accountant verkrijgt door middel van een interview inlichtingen
bij de projectleider AVG en/of overige relevante functionarissen en stelt op basis
van inzicht in drie willekeurige voorbeelden (één nieuwe project, één beleidsvoornemens
en één implementatie van nieuwe wet- en regelgeving) vast of het COA een Privacy Impact
Assessment (PIA) uitvoert bij nieuwe projecten, beleidsvoornemens en implementatie
van nieuwe wet- en regelgeving. Daarnaast stelt de accountant, op basis van dit voorbeeld,
vast of naar aanleiding van de uitkomsten van de PIA beheersmaatregelen nodig zijn
en indien dat zo is, of die maatregel getroffen is om persoonsgegevens beschermen
en het recht van een individu om zijn/haar gegevens niet te delen met anderen te waarborgen
(privacy-maatregelen).
Werkzaamheden: De accountant verkrijgt door middel van een interview inlichtingen
bij de projectleider AVG en/of overige relevante functionarissen en stelt op basis
van inzicht in drie willekeurige voorbeelden (één nieuw project, één beleidsvoornemens
en één implementatie van nieuwe wet- en regelgeving) vast of het COA een Data Protection
Impact Assessment (DPIA) voor gegevensbescherming heeft uitgevoerd met betrekking
tot activiteiten met een hoger risico. Daarnaast stelt de accountant, op basis van
dit voorbeeld, vast of naar aanleiding van de uitkomsten van de DPIA er door het COA
ontwerp-hiaten of andere vervolgacties (als gevolg van deze beoordeling) zijn aangepast,
geïmplementeerd of gepland.
Werkzaamheden: De accountant verkrijgt door middel van een interview inlichtingen
bij de projectleider AVG en/of overige relevante functionarissen en stelt op basis
van inzicht in de procedurebeschrijving en het register vast of het COA een datalekprocedure
en een datalekregister heeft?
Werkzaamheden: De accountant verkrijgt door middel van een interview inlichtingen
bij de projectleider AVG en/of overige relevante functionarissen en stelt op basis
van inzicht in drie willekeurige casussen (waarvan twee met significante impact en
één met niet-significante impact) van ontwerp/ontwikkelplan van nieuwe gegevensprocessen
vast of het COA rekening heeft gehouden met het privacy-principe. Hiermee wordt bedoeld
het principe dat er al bij de ontwikkeling van systemen, producten en diensten aandacht
is voor privacy (ICT en organisatorisch). De accountant stelt vast of er in het ontwerp/ontwikkelplan
een paragraaf is opgenomen die toeziet op het privacy-principe.
Werkzaamheden: De accountant stelt op basis van besluitvorming vast dat het COA een
functionaris voor gegevensbescherming heeft aangesteld.
Werkzaamheden: De accountant stelt door middel van inzage in de risicobeheermatrix
met betrekking tot AVG vast of het COA beschikt over een risicobeheermatrix met betrekking
tot de AVG.
Werkzaamheden: De accountant verkrijgt door middel van een interview inlichtingen
bij de CISO en/of overige relevante functionarissen en stelt op basis van inzicht
in ondersteunde documentatie vast of de interne beheersingsmaatregelen binnen het
COA op het gebied van algemene IT beheersingsmaatregelen door het COA zijn beoordeeld
en of deze effectief zijn bevonden. Het gaat om: Logische Toegangsbeveiliging, Veilige
gegevensuitwisseling (encryptie), Logging en monitoring, Patch en vulnerability management,
incidentmanagement, Wijzigingsbeheer (borging privacy dmv PIA)
Werkzaamheden: De accountant stelt op basis van de uitkomstenrapportage vast of het
COA in 20XX een penetratietest (‘pentest’) heeft uitgevoerd of heeft laten uitvoeren
inzake de eventuele kwetsbaarheid van de website en achterliggende systemen. Als er
in 20XX geen pentest is uitgevoerd wordt de datum van de laatst uitgevoerde pentest
gerapporteerd.
De mate van detail van de beschrijving van de feitelijke bevindingen per vraag is
zodanig dat de gebruiker (in casu de subsidieverstrekker) in staat wordt gesteld om
zelf een eigen afweging te maken over de betekenis van de feitelijke bevindingen voor
het onderhavige onderwerp.
Terugwerkende kracht
Stcrt. 2024, 4673, datum inwerkingtreding 20-02-2024, bevat een wijziging met terugwerkende
kracht van deze tekst. Deze wijziging werkt terug tot en met 01-01-2023.