AVG-certificering een stap dichterbij
De mogelijkheid om als organisatie een AVG-certificering te krijgen is een stap dichterbij. De Autoriteit Persoonsgegevens (AP) en de Raad voor Accreditatie (RvA) ondertekenden op 17 december 2019 een informatieprotocol met betrekking tot accreditatie van AVG-certificeringsorganen. Het informatieprotocol is vervolgens op 27 februari 2020 gepubliceerd in de Staatscourant en daarmee bij wet bekrachtigd.
Informatieprotocol
Met het informatieprotocol is gekozen voor een integrale aanpak van onderlinge informatie-uitwisseling, bedoeld om het toezicht op certificering efficiënt en effectief te laten verlopen.
‘In het protocol zijn afspraken opgenomen over de manier waarop en de kaders waarbinnen de RvA en de AP informatie uitwisselen. Beide organisaties doen dit vanuit hun eigen verantwoordelijkheid en bevoegdheid op basis van de wet- en regelgeving’, aldus de Raad voor Accreditatie.
Toepassing van AVG-certificering
Waarvoor kun je nu precies een AVG-certificering verkrijgen? In de AVG is dit verduidelijkt onder artikel 42. Hierin wordt aangegeven dat er transparantie dient te zijn voor betrokkenen over het gegevensbeschermingsniveau van activiteiten, producten en diensten. Bij producten kun je denken aan hardware en software, bij diensten aan verzekeringen en beveiliging, en bij activiteiten aan dataverwerking en gegevensverrijking.
Meerwaarde voor jouw organisatie
Het hebben van een AVG-certificaat heeft verschillende voordelen:
- Je verlaagt het risico op privacy incidenten en daarmee eventuele financiële- en imagoschade.
- Je kunt eenvoudig en in een keer aantoonbaar maken dat je veilig omgaat met kwetsbare informatie.
- Met deze aantoonbaarheid onderscheid je jezelf nog beter van de concurrentie.
Is er al een geaccrediteerde AVG-certificering?
Het korte antwoord is ‘nee’. Op dit moment zijn er nog geen geaccrediteerde AVG-certificeringen. Echter, een aantal organisaties zijn hier wel mee bezig. Organisaties die een certificatieschema willen laten accrediteren doen dit conform de eisen zoals gesteld in de ISO/IEC 17065:2012 ‘Conformity assessment’.
Klaar voor certificering
Ondanks het feit dat geaccrediteerde AVG-certificering nog niet mogelijk is, brengen we hier een aantal tips onder de aandacht om AVG-compliant te blijven, zodat je straks efficiënt een certificeringtraject kunt starten.
- Ken de 6 grondslagen van de AVG. Je mag alleen gegevens verwerken als dit op grond van minimaal een van deze grondslagen is toegestaan.
- Wees je bewust van je verantwoordingsplicht: inventariseer hoe en waarom je persoonsgegevens verwerkt en leg deze activiteiten vast in een verwerkingsregister;
- Attendeer klanten en medewerkers op hun privacy rechten, bijvoorbeeld het recht op inzage en het recht op verwijdering. Lees de privacyverklaring op je website nog eens na en neem het bespreken van rechten van medewerkers bijvoorbeeld op in de in-dienstprocedure.
- Maak je gebruik van outsourcing, waarbij je persoonsgegevens deelt met derde partijen? Zorg dan voor een getekende verwerkersovereenkomst met deze partijen.
- Laat AVG niet ‘zweven’ in de organisatie en maak iemand verantwoordelijk voor het toezicht op AVG . Je blijft als werkgever verantwoordelijk, maar het helpt als iemand in de organisatie de vinger aan de pols houdt en eventuele acties uitzet en opvolgt. Voor sommige organisaties is het aanstellen van een verantwoordelijke, in de vorm van een Functionaris Gegevensbescherming, zelfs verplicht .
Hulp bij AVG-compliance?
Wil je zekerheid over de mate waarin jouw organisatie voldoet aan de AVG? Laat ons helpen! Wij ontzorgen je volledig, van nulmeting tot implementatie van een geïntegreerd management inclusief AVG-compliance. Meer weten? Neem contact op.
