De drie veel gestelde vragen over het AVG-certificaat (met de antwoorden!)

Een van de nieuwe onderdelen van de Algemene verordening gegevensbescherming (AVG) is het zogenoemde AVG-certificaat. Met dit keurmerk kunnen organisaties laten zien dat een product, proces of dienst voldoet aan eisen uit de AVG. Hoe zit dat precies? De antwoorden op de drie meest gestelde vragen.

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) staat dataprotectie bij steeds meer organisaties bovenaan de prioriteitenlijst. Niet in de laatste plaats vanwege de forse boetes die toezichthouder Autoriteit Persoonsgegevens (AP) kan opleggen. Er zijn marktpartijen die met hun dienstverlening slim inspelen op de angst voor boetes. Daarbij komt nogal eens het zogenoemde AVG-certificaat voorbij, waarschuwde de AP eerder dit jaar. De toezichthouder krijgt signalen dat bedrijven naar organisaties bellen met het aanbod de AVG-compliance op orde te brengen en hiervoor ook een privacykeurmerk te leveren. Maar het AVG-certificaat is er nog helemaal niet. Bovendien werkt de AP niet samen met de bedrijven, ook al zeggen die van wel.

Het AVG-certificaat is een nieuw instrument van de AVG en het is dan ook geen wonder dat er nog onduidelijkheid over bestaat. Drie zaken om te weten.

Wat is een AVG-certificaat eigenlijk?

De AP omschrijft een AVG-certificaat als “een schriftelijke verklaring dat een product, proces, of dienst aan alle of bepaalde specifieke eisen uit de AVG voldoet”. Organisaties kunnen met het certificaat laten zien dat ze persoonsgegevens zorgvuldig verwerken en beschermen. Het is trouwens niet verplicht om verwerkingen van persoonsgegevens te laten certificeren.

Het certificeringsstelsel van de AVG is nog in ontwikkeling. In de toekomst kunnen organisaties een AVG-certificaat aanvragen bij een certificatie-instelling die is geaccrediteerd door de Raad voor accreditatie (RvA). De AP geeft dus zelf geen certificaten uit. De AP is wel betrokken bij de beoordeling van certificatie-instellingen die de bevoegdheid willen krijgen om de certificaten verstrekken. Op dit moment zijn er in Nederland – en overigens ook elders in de Europese Unie – nog geen certificatie-instellingen. Als dit verandert, wordt dit bekend gemaakt via de websites van de AP en de RvA.

Wat is het verschil tussen een AVG-certificaat en een privacykeurmerk?

Het AVG-certificaat heeft een grondslag in de AVG en is gebaseerd op een onafhankelijk certificeringsstelsel. Dit staat los van de initiatieven van allerlei marktpartijen die inmiddels een eigen privacykeurmerk hebben ontwikkeld. Zo heeft Privacy Company een Privacy Keurmerk voor organisaties die willen laten zien dat zij verantwoord met persoonsgegevens omgaan. Keurmerkhouders worden hierbij door auditors beoordeeld.

Volgens critici is de feitelijke waarde van de privacykeurmerken van commerciële partijen omstreden. Er is namelijk geen onafhankelijk toezicht op de audits die in het kader van dergelijke keurmerken worden uitgevoerd. Daarnaast verschillen de criteria waaraan keurmerkhouders moeten voldoen.

Hoe kan een AVG-certificaat bijdragen aan compliance?

Als een organisatie een AVG-certificaat heeft behaald, is dat geen garantie dat de verwerking van persoonsgegevens altijd voldoet aan de AVG. De toezichthouder kan dus ook bij organisaties met een AVG-certificaat controlerend en handhavend optreden.

De AP waarschuwt ook dat een AVG-certificaat geen eeuwigdurende waarde heeft. Gegevensverwerkingen kunnen nu eenmaal veranderen, hetgeen invloed kan hebben op de manier waarop persoonsgegevens worden verwerkt en beschermt. Daarnaast kunnen technologische ontwikkelingen ertoe leiden dat beveiligingsinstellingen moeten worden gewijzigd.

Op de hoogte blijven van de ontwikkelingen met het AVG-certificaat – en andere actuele trends? Volg dan een van de opleidingen, trainingen of seminars van IIR.

Geplaatst op: 5 oktober 2018