De Algemene verordening gegevens bescherming (AVG), is een van de zaken waar u als ondernemer regelmatig mee te maken krijgt. Een belangrijk onderdeel is het AVG-certificaat. Hiermee laat u zien op de hoogte te zijn van de wetgeving op het gebied van de verwerking van persoonsgegevens, bovendien zien uw relaties dat de verwerking en bescherming van persoonsgegevens op de juiste manier gebeurt. Met andere woorden, u laat met het AVG-certificaat zien dat de diensten, processen of producten die u levert voldoen aan de eisen van de AVG.
Bescherming persoonsgegevens
Dataprotectie, de bescherming van gegevens, staat bij de meeste organisaties centraal. Nu de Algemene verordening gegevensbescherming (AVG) al enige tijd van kracht is, heeft dit voor deze meeste organisaties een hoge prioriteit gekregen. Dat is in feite logisch, de toezichthouder op dit gebied, de Autoriteit Persoonsgegevens (AP) kan forse boetes opleggen. Voor sommige bedrijven is dit aanleiding om zelf een privacy keurmerk aan te bieden en een aanbod te doen om de onderneming te laten voldoen aan de vereisten van de AVG. Vaak wordt er dan geschermd met de mededeling dat men samenwerkt met de AP. De werkelijkheid is echter anders. Zo bestaat er nog geen AVG-certificaat en van samenwerking met de AP is ook geen sprake. Toch kan een AVG-certificaat een goede meerwaarde hebben voor een organisatie. Om helderheid te scheppen is het belangrijk om drie zaken helder te hebben.
Wat is een AVG-certificaat?
De AP definieert het AVG-certificaat als volgt:
een schriftelijke verklaring dat een product, proces, of dienst aan alle of bepaalde specifieke eisen uit de AVG voldoet.
Voor ondernemingen en organisaties is een dergelijk certificaat van groot belang. Men kan zo eenvoudig laten zien dat de manier van het verwerken en beschermen van persoonsgegevens in lijn is met de vereisten die voortvloeien uit de AVG. Overigens betekent het niet dat het bezit van een AVG-certificaat een vereiste is. Het kan echter wel een goede manier zijn om relaties ervan te overtuigen dat de organisatie de verwerking van persoonsgegevens serieus neemt.
Op dit moment is het nog niet zover dat bepaalde certificatie-instellingen beschikken over de juiste accreditatie voor de uitgifte van een AVG-certificaat. Dit hele proces is nog volop in ontwikkeling. In de toekomst zullen organisaties wel een AVG-certificaat kunnen aanvragen bij de daartoe geaccrediteerde certificatie-instellingen. De Raad voor accreditatie speelt hierbij een sleutelrol en is de enige instelling die een geldige accreditatie kan verstrekken. De rol van de AP is bij de uitgifte van een AVG-certificaat beperkt en men geeft zelf dus geen certificaten uit. De AP is wel betrokken bij de uiteindelijke beoordeling van een aanvraag om AVG-certificaten te mogen verstrekken. Op dit moment is het dus nog niet zo ver dat een instelling is geaccrediteerd om een AVG-certificaat aan te bieden. Dit geldt zowel voor Nederland als de gehele Europese Unie. Op het moment dat deze situatie wijzigt, zal dit via de websites van zowel de AP, als de RvA worden gecommuniceerd.
Een AVG-certificaat? Een privacykeurmerk? Wat zijn de verschillen?
De basis van het AVG-certificaat ligt besloten in de AVG. Een van de belangrijkste eigenschappen is een onafhankelijk certificeringsstelsel. Initiatieven van derden, hoe goed bedoeld ook, staan hier dus volkomen los van. Per saldo voegt een dergelijk product zoals een AVG-keurmerk weinig waarde toe.
Een goed voorbeeld is het Privacy Keurmerk van het bedrijf Privacy Company. Door middel van dat keurmerk kunnen organisaties laten zien dat zij op een verantwoorde wijze omgaan met de verwerking van persoonsgegevens. De keurmerkhouders worden voor dit keurmerk beoordeeld door auditors. De kritiek op de uitgifte van dit soort keurmerken spitst zich vooral toe op het ontbreken van een onafhankelijk toezicht. Een ander punt van kritiek is de manier waarop een aanvraag wordt getoetst, zo gelden er verschillende criteria voor de aanvragers.
Wat is een AVG-certificaat en AVG-compliance?
Het toekennen van een AVG-certificaat betekent in feite alleen dat een organisatie de juiste kennis in huis heeft om persoonsgegevens op een correcte manier te beschermen en te verwerken. In tegenstelling tot wat vaak wordt gedacht, is het geen garantie dat het ook altijd goed gebeurt. Ook al bezit een organisatie op een bepaald moment een AVG-certificaat, de AP kan, indien noodzakelijk, nog steeds een boete opleggen of op een andere manier handhavend optreden. Het bezit van een AVG-certificaat verandert daar niks aan.
Met die kennis in het achterhoofd heeft een AVG-certificaat geen onbeperkte meerwaarde. Dit is vooral een gevolg van mogelijke wijzigingen in de relevante wetgeving. Het is nooit helemaal uit te sluiten dat de huidige wetgeving op dit punt zal worden aangepast. Aan de andere kant kunnen technologische ontwikkelingen het mogelijk maken dat persoonsgegevens in de toekomst op een andere manier worden verwerkt.
Heeft u interesse in ISO2HANDLE? Vraag dan een gratis demo aan!
[addtoany]
