Het is op 25 mei 2023 vijf jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. In een vijfdelige reeks lichten we een aantal onderwerpen toe die ons in deze periode zijn opgevallen. In dit perspectief geen terugblik op de afgelopen 5 jaar, maar een vooruitblik: wanneer kunnen bedrijven eindelijk een echt AVG-certificaat krijgen?
AVG certificering
U weet waarschijnlijk dat de AVG eist dat “passende technische en organisatorische maatregelen” worden getroffen om een veilige en correcte wijze van gegevensverwerking te waarborgen (artikel 24 AVG) en aan principes zoals “privacy by design & default” (artikel 25 AVG) en passende beveiliging (artikel 32 AVG) te voldoen.
Certificering speelt hierin een belangrijke rol: met het juiste certificaat zorgt u voor een correcte inrichting van uw processen en kunt u dit ook bewijzen. Specifiek bij bovengenoemde artikelen in de AVG is certificering genoemd als een van de mogelijkheden om naleving aan te kunnen tonen.
Hoe wordt certificering mogelijk?
De roep om een certificeringsstandaard is niet onopgemerkt gebleven. In diverse landen zijn daarom initiatieven ontplooid. Een standaard kan echter pas worden gebruikt als deze is goedgekeurd conform de mechanismes van de AVG. In Nederland heeft Brand Compliance een standaard ontwikkeld, de BC 5701. Na jaren van ontwikkeling heeft de BC 5701 recent een belangrijke mijlpaal gehaald: een positief ontwerpbesluit van de Autoriteit Persoonsgegevens (AP). Dit betekent dat de AP van mening is dat toepassing van de BC 5701 leidt tot een aantoonbaar passende uitwerking van de AVG. De volgende stappen in het proces zullen leiden tot advies van het overkoepelende orgaan van nationale toezichthouders, de EDPB en beoordeling van het certificeringsproces van Brand Compliance door de Raad voor Accreditatie (RvA). Na ontvangst van de adviezen van de EDPB en de RvA zal de AP een definitief besluit nemen over goedkeuring van deze standaard. Dat zou mogelijk nog in de loop van dit jaar kunnen plaatsvinden.
Wat houdt de certificering in?
De organisatie zal de eisen uit de norm moeten implementeren. Deze eisen zien met name op beschrijving van de context van de verwerkingen, opzet van organisatorische aspecten van gegevensbescherming, in kaart brengen van verwerkingen en AVG beginselen, uitwerken van technische en organisatorische bescherming en operationele uitvoering en opzet van het managementsysteem.
Na implementatie moet de organisatie vaststellen dat alle geïmplementeerde maatregelen werken zoals beoogd. De vaststelling vindt plaats via een interne audit, gevolgd door een directiebeoordeling. Daarna kan de certificatieaudit plaatsvinden. Bij succesvolle afronding kan de organisatie aantonen dat de betreffende verwerkingen van persoonsgegevens in overeenstemming met de AVG worden uitgevoerd en dat de organisatie alle processen met betrekking tot die verwerkingen op een beheerste en gecontroleerde wijze uitvoert. Het certificaat is in principe drie jaar geldig en iedere twaalf maanden vindt een tussentijdse beoordeling plaats: de AVG compliance wordt dus blijvend gewaarborgd.
Start einde 2023?
Het wordt naar verwachting dit jaar mogelijk om een AVG-certificering te starten waarmee organisaties kunnen aantonen dat ze aan de AVG voldoen. Daarmee verminderen ze niet alleen hun eigen risico’s maar vergemakkelijken ze ook het zakendoen en vergroten ze het vertrouwen van hun relaties, klanten en betrokkenen.
Parallel aan het huidige goedkeuringsproces bij de toezichthoudende autoriteiten, lopen implementatie pilots. Er is nog ruimte voor enkele organisaties om tegen gunstige condities in te stappen. Wanneer de definitieve goedkeuring een feit is, komen de organisaties die meedoen aan de pilots als eerste in aanmerking voor het officiële AVG-certificaat. Laat u die kans liggen?
Breed perspectief
BDO heeft een Engelstalige update geschreven over de Europese richtlijnen en regels rondom dit onderwerp. Wat onze internationale collega’s geleerd hebben en denken, leest u via onderstaande button.