Waarom certificeren en welke eisen?
De AVG is bijzondere wetgeving, want op basis van deze verordening moet je als bedrijf aantonen dat je je aan de regels houdt. Maar die regels zijn vaak niet eenduidig en op zijn minst abstract. En hoe je ze toepast hangt af van de situatie, de prijs, de risico’s en de omstandigheden. Om organisaties te helpen is in art. 42 AVG dan ook opgenomen dat alle betrokken partijen (landen, EC, toezichthouders) gedragscodes en certificering bevorderen t.b.v. transparantie, richting en naleving.
In artikel 24 (maar ook in 28 en 32) is opgenomen dat gedragscodes en certificering gebruikt kunnen worden om naleving aan te tonen.
Daarnaast kan het al of niet gecertificeerd zijn de transparantie in de keten vergroten. Zo kan het voor een verwerker helpen als deze gecertificeerd is. Maar ook een verantwoordelijke kan er baat bij hebben om gecertificeerd te zijn richting zijn (potentiële) klanten. Ook kan certificering helpen om inhoud te geven aan de regels door de normen die daarvoor ontwikkeld worden.
Ook kan certificering helpen om inhoud te geven aan de regels door de normen die daarvoor ontwikkeld worden. In de praktijk zie je veel bedrijven worstelen met de vraag hoe de AVG ingevuld moet worden. Door certificering vergroot je het uniforme handelen en de transparantie. En dat is op haar beurt weer goed voor de relaties tussen handelspartijen.
De Autoriteit Persoonsgegevens heeft laten weten dat ze zelfregulering waaronder certificering ziet als een goede manier om naleving te bevorderen en dat dit ontlastend kan werken voor hun handhavingskalender. Overigens doet een certificering niets af aan de verplichtingen van bedrijven of de bevoegdheden van de toezichthoudende autoriteiten. Bij een eventuele boete wordt bij de vaststelling van de hoogte wel rekening gehouden met het al of niet gecertificeerd zijn.
Op grond van de AVG dient de Autoriteit Persoonsgegevens de certificeringsnorm goed te keuren. De Raad voor Accreditatie zal controle-instellingen accrediteren op basis van ISO 17065.