MENU

AVG certificeringU wilt graag dat klanten weten dat u persoonsgegevens van werknemers en contactpersonen goed beschermt. Daarom heeft u de zaken goed ingericht, zodat u voldoet aan de privacywetgeving. Maar hoe maakt u dit aantoonbaar? Kunt u een certificering aanvragen voor de AVG? En wat levert dit op? In dit blog geven we antwoord op de vragen rondom AVG en certificering.

Wat zegt de AVG over certificeren?

Wat zegt de Algemene Verordening Gegevensbescherming eigenlijk over certificering? En wat kunnen we hieruit concluderen? Wat we weten is dat de mogelijkheid tot certificeren onderdeel is van de Algemene Verordening Gegevensbescherming. De Europese Unie wil de naleving van de AVG bevorderen en transparantie aan betrokkenen geven over het gegevensbeschermingsniveau van activiteiten, producten en diensten.

De belangrijkste AVG onderwerpen altijd bij de hand - Download de AVG Checklist

Eén van de manieren waarop de Europese Unie dit wil bereiken is het bevorderen van de invoering van certificeringsmechanismen voor gegevensbescherming, waarmee kan worden aangetoond dat verwerkingsverantwoordelijken in overeenstemming met de AVG handelen. In artikel 42 zegt de AVG de volgende zaken over certificering:

  • Een certificering voor het voldoen aan privacywetgeving is te allen tijde vrijwillig
  • Goedgekeurde certificeringsmechanismen kunnen worden ingevoerd, met als doel om aan te tonen dat de bedrijven die niet onder deze verordening vallen, passende waarborgen (garanties) bieden en deze kunnen toepassen
  • Een (mogelijke) certificering staat los van de verantwoordelijkheid om aan de eisen in de AVG te voldoen
  • Een certificering dient rekening te houden met kleine, middelgrote en micro-ondernemingen

De exacte inhoud van een AVG-certificaat is niet voorgeschreven. In de AVG stelt dat een certificering kan worden gebruikt om aan te tonen dat aan enkele artikelen wordt voldaan:

  • Artikel 25: Gegevensbescherming door ontwerp en standaardinstellingen
  • Artikel 32: Het treffen van passende technische en organisatorische maatregelen
  • Artikel 46: Het treffen van passende waarborgen bij doorgifte van persoonsgegevens


Bestaat er een certificaat voor de AVG?

Er bestaat tot op heden nog geen AVG certificaat. Wat we wel weten is dat de AVG het creëren van een algemene normering voor het voldoen aan privacywetgeving toestaat, mits deze is goedgekeurd voor de gehele Europese Unie.

Hoe een dergelijke norm tot stand komt leggen we later in dit blog uit. Het verwachtingspatroon is dat er in de toekomst wel normeringen worden ontwikkeld waarmee het voldoen aan de AVG kan worden gecertificeerd. Hier is op dit moment (december ‘18) nog geen uitsluitsel over.

Wilt u niets missen rondom certificatie updates, tips en tricks rondom certifi

Hoe kan een AVG-certificaat mijn organisatie helpen?

Er staan een aantal aanwijsbare zaken in de AVG waaruit kan worden opgemaakt wat een AVG-certificaat precies zou omvatten. Deze zaken nemen we onder de loep.

Artikel 42 van de AVG stelt dat er transparantie dient te zijn voor betrokkenen over het gegevensbeschermingsniveau van activiteiten, producten en diensten. Dit betekent dat u bijvoorbeeld een AVG-certificaat zou kunnen verkrijgen voor:

Certificering  Voorbeeld
Een product hardware, software en internetapplicaties 
Een dienst  Financiële diensten, betaaldiensten, administratie, verzekeringen, onderzoek en analyse, diensten in de gezondheidszorg (gezondheidsgegevens), beveiliging en bewaking
Activiteiten Dataverwerking, gegevensverrijking, personaliseren van drukwerk en digitale media
Hotels en restaurants  Niet iedereen wil dat zijn of haar locatiegegevens voor iedereen bekend zijn
Vrije tijd sector  Privacy van kinderen en wellness
   


Anders dan met gebruikelijke normeringen en certificering - waarbij een geheel managementsysteem wordt beoordeeld - worden in dit geval specifieke diensten, processen, producten of specifieke activiteiten beoordeeld.

Het voordeel hiervan voor u is dat u aan klanten kunt laten zien dat u zo goed mogelijk omgaat met kwetsbare informatie – wanneer u het product of dienst op de markt brengt.

Hoe gaat het ontwikkelen van een certificatie schema in zijn werk?

Stap 1

De Autoriteit Persoonsgegevens heeft ervoor gekozen om de accreditatie te laten verzorgen door de nationale accreditatie-instantie (de Raad voor Accreditatie, RvA). Een certificerende instelling of een externe schemabeheerder ontwikkelt een certificatieschema.

Stap 2

In het certificatieschema wordt door de schemaontwikkelaar vastgesteld aan welke eisen het te certificeren product, proces of dienst moeten voldoen. De schemaontwikkelaar dient vervolgens een aanvraag tot accreditatie in bij de RvA. De RvA beoordeelt de aanvraag en het certificatieschema.

Stap 3

Daarna beoordeelt de Autoriteit Persoonsgegevens of het schema in overeenstemming is met de AVG en stemt haar besluit af met de European Data Protection Board. Pas hierna kan men het certificatieschema officieel gebruiken.

Stap 4

Als laatste stap beoordeelt de RvA of de certificerende instelling ook werkelijk certificeert in overeenstemming met het certificatieschema.

image

Wat kan ik doen om voorbereid te zijn op AVG certificering?

Bent u ervan overtuigd dat een certificering voor privacywetgeving uw organisatie gaat helpen - vanuit strategisch oogpunt of vanuit de eis van opdrachtgevers? Dan is het goed hier alvast bij stil te staan.

U kunt twee routes kiezen:

  • Wachten tot het moment daar is en nog niets investeren
  • Zorgen dat u startklaar bent - door actief in te blijven zetten op het continu verbeteren van informatiebeveiliging

Hoe soepel een certificering verloopt is mede afhankelijk van hoe ver een organisatie is op het betreffende onderwerp. Wat kunt u doen om goed voorbereid te zijn? Door tijdig te investeren in het opzetten van een managementsysteem voor bescherming van informatie heeft u zaken al op orde en heeft u een hele hoop voorwerk gedaan.

Dit betekent dat u soepel kunt doorpakken wanneer het AVG-certificaat op de markt komt. U krijgt hierdoor onder andere de kans onderscheidend vermogen te creëren en een sterkere marktpositie in te nemen.

Zelf aan de slag: 

We begrijpen goed dat er heel wat komt kijken bij het continu bezig zijn met de beveiliging van informatie en AVG compliance. Met name de AVG bestaat uit een hele hoop artikelen en onderwerpen waar u aan moet denken. Hierbij geldt: hoe meer overzicht hoe beter. Daarom hebben wij een AVG Checklist ontwikkeld waarin alle belangrijke AVG-zaken zijn opgenomen. U heeft alle belangrijke onderwerpen altijd bij de hand. Print hem bijvoorbeeld uit en hang hem bij uw bureau.

Download hier de AVG Checklist.  

 

New Call-to-action

Onderwerpen:

privacywetgeving Wetgeving Certificeren Alle onderwerpen

Auteur

Deel deze pagina

Algemene vragen en opmerkingen

Tüv kantoor

TÜV Nederland

0499 - 339 500

Voor al uw algemene vragen en opmerkingen