Het Privacy Control Framework is ontworpen om professionals te ondersteunen bij het evalueren van beheersdoelstellingen met betrekking tot privacy en de bescherming van persoonsgegevens. Het framework is speciaal opgezet vanuit het perspectief van een auditor, die beoordeelt of een organisatie aantoonbaar voldoet aan haar beheersdoelstellingen op het gebied van privacy.
Het Privacy Control Framework omvat de voorgeschreven beheersingsdoelstellingen van de NOREA-richtlijn 3000 en kan ook worden gebruikt om het privacygedeelte van een SOC 2 assurance-rapport in te vullen voor entiteiten die moeten voldoen aan de AVG. Het is gebaseerd op een informatielevenscyclusmodel en heeft als referentie gediend voor verschillende raamwerken, waaronder:
- GAPP (AICPA/CICA)
- NIST SP800-R53 Privacy Control Catalog
- Norea Raamwerk Privacy Audit
- EuroPriSe raamwerk.
De beheersdoelstellingen en maatregelvoorbeelden zijn gekoppeld aan 13 kernelementen van de AVG. Door de implementatie en uitvoering van deze maatregelen kan met een redelijke mate van zekerheid worden gewaarborgd dat de beheersdoelstellingen worden behaald.