Het AVG Keurmerk

Handboek AVG-norm Stichting AVG Garant

Waarom certificeren en welke eisen?

De AVG is bijzondere wetgeving, want op basis van deze verordening moet je als bedrijf aantonen dat je je aan de regels houdt. Maar die regels zijn vaak niet eenduidig en op zijn minst abstract. En hoe je ze toepast hangt af van de situatie, de prijs, de risico’s en de omstandigheden. Om organisaties te helpen is in art. 42 AVG dan ook opgenomen dat alle betrokken partijen (landen, EC, toezichthouders) gedragscodes en certificering bevorderen t.b.v. transparantie, richting en naleving.

In artikel 24 (maar ook in 28 en 32) is opgenomen dat gedragscodes en certificering gebruikt kunnen worden om naleving aan te tonen.

Daarnaast kan het al of niet gecertificeerd zijn de transparantie in de keten vergroten. Zo kan het voor een verwerker helpen als deze gecertificeerd is. Maar ook een verantwoordelijke kan er baat bij hebben om gecertificeerd te zijn richting zijn (potentiële) klanten. Ook kan certificering helpen om inhoud te geven aan de regels door de normen die daarvoor ontwikkeld worden.

Ook kan certificering helpen om inhoud te geven aan de regels door de normen die daarvoor ontwikkeld worden. In de praktijk zie je veel bedrijven worstelen met de vraag hoe de AVG ingevuld moet worden. Door certificering vergroot je het uniforme handelen en de transparantie. En dat is op haar beurt weer goed voor de relaties tussen handelspartijen.

De Autoriteit Persoonsgegevens heeft laten weten dat ze zelfregulering waaronder certificering ziet als een goede manier om naleving te bevorderen en dat dit ontlastend kan werken voor hun handhavingskalender. Overigens doet een certificering niets af aan de verplichtingen van bedrijven of de bevoegdheden van de toezichthoudende autoriteiten. Bij een eventuele boete wordt bij de vaststelling van de hoogte wel rekening gehouden met het al of niet gecertificeerd zijn.

Op grond van de AVG dient de Autoriteit Persoonsgegevens de certificeringsnorm goed te keuren. De Raad voor Accreditatie zal controle-instellingen accrediteren op basis van ISO 17065.

Meer informatie?

Als u meer informatie wenst te ontvangen of belangstelling hebt om de norm te gebruiken neem dan contact met ons.

Frequently Asked Questions

Voor het AVG Garant Keurmerk wordt getoetst of ondernemingen voldoen aan de AVG.
Het keurmerk is op dit moment specifiek bedoeld voor ondernemingen die actief zijn in de sector arbeidsbemiddeling, facilitaire dienstverlening, dienstverlening voor de landbouw en overige zakelijke dienstverlening. In de loop van de tijd zal het AVG Garant keurmerk ook geschikt gemaakt worden voor andere sectoren.

  • Onderhouden van het certificeringsschema.
  • Bijhouden van het register van aangemelde en gecertificeerde ondernemingen.
  • Bewaken van de kwaliteit van inspecties.
  • Organiseren van kennis (o.a. trainingen. webinars et cetera).
  • Het bieden van een platform om kennis te delen en te komen harmonisatie.
  • Het zijn van een neutrale spreekbuis naar autoriteiten en derde partijen.

AVG Garant toetst of het beheer van persoonsgegevens voldoet aan de AVG. Op alle overige elementen van de AVG. Er wordt gekeken naar de inrichting van de processen binnen organisaties maar ook naar de effectieve werking daarvan: kan een organisatie aantonen dat de AVG ‘in control’.

  • In de sectoren waarvoor AVG Garant bedoeld is, worden veel persoonsgegevens (ID, CV’s, loonstroken, urenregistratie et cetera) gebruikt, hier moet goed mee worden omgegaan.
  • Als deze persoonsgegevens niet goed beheerd worden, bestaat het risico op misbruik van deze gegevens met als mogelijke gevolgen: imagoschade voor de onderneming, boetes van de AP, claim van ‘gedupeerden’.
  • Een AVG audit geeft inzicht in bedrijfsprocessen en informatiebeveiliging.
  • De AVG audit kan gebruikt worden om verbeteringen in de bedrijfsvoering aan te brengen.
  • De AVG audit kan bijdragen aan de verdere professionalisering van de organisatie van de onderneming.
  • Om tegemoet te komen aan eisen van afnemers en contractspartijen om aantoonbaar aan de AVG te voldoen.
Nee, een DPIA (Data Protection Impact Assessment) is een instrument dat gebruikt wordt voordat een onderneming met risicovolle verwerkingen begint. Met de DPIA worden risico’s in kaart gebracht voor de betrokken personen en worden maatregelen genomen om die risico’s te beperken. AVG Garant kijkt of dit instrument is toegepast en/of eventuele maatregelen juist zijn geïmplementeerd.

Je hebt binnen de AVG verwerkers en verwerkingsverantwoordelijken. AVG Garant richt zich primair op verwerkingsverantwoordelijken. Dat zijn organisaties die in de uitoefening van hun diensten persoonsgegevens verwerken. Verwerkers doen dat ook, maar doen dat in opdracht van derden. Als je een verwerker bent adviseren we contact met je auditor op te nemen om na te gaan hoe een audit kan worden ingericht.

Je moet een verwerkingsovereenkomst sluiten met een dienstverlener als je die partij opdracht geeft om persoonsgegevens te verwerken. Denk bijvoorbeeld aan hosting/cloud opslag, cloud software solutions, het gebruik maken van een verloningssoftwarepakket, of het uitbesteden van de salarisadministratie.

  • Hiermee toon je aan dat je aan de AVG voldoet.
  • De wet stelt dat er bij eventuele boetes rekening wordt gehouden met het hebben van een certificaat.
  • In praktische zin kun je met een certificaat aan (toekomstige) klanten en medewerkers aantonen dat je aan de AVG voldoet. Het aantoonbaar voldoen aan de AVG wordt als eis steeds vaker opgenomen in aanbestedingen.
Het secretariaat van AVG Garant kan je helpen aan de juiste adviseur voordat je het keurmerktraject ingaat.

Het certificatieschema bevat eisen waaraan een onderneming moet voldoen, maar tevens ook voorbeelden en hulpmiddelen. De auditor licht het rapport toe. Als uit de audit blijkt dat niet aan alle onderdelen van het schema is voldaan, wordt er tijd geboden om aanpassingen door te voeren.

Voorafgaand aan de audit moeten er bewijsstukken aangeleverd worden. De audit duurt normaal gesproken 1 tot 2 dagen. Een auditor zal gesprekken voeren met interne stakeholders, nagaan hoe verwerkingen in de praktijk worden vastgelegd en de bewijsvoering toetsen, o.a. door middel van steekproeven.

 

Als de onderneming voldoet aan het certificatieschema wordt een certificaat verstrekt en zal AVG Garant de onderneming inschrijven in het register. Mocht alles nog niet op orde zijn, dan is er, afhankelijk van de aard van afwijkingen, nog een bepaalde periode om zaken aan te passen.

De inschrijfkosten bedragen € 425,00 en jaarlijkse kosten € 500,00 (per kalenderjaar). De Kosten voor de audit zelf worden door de onafhankelijke certificerende instelling geoffreerd. Een offerte kan opgevraagd worden bij een van de goedgekeurde certificerende instellingen.

Nee, als je een AVG certificaat hebt, kun je dit gebruiken om aan te tonen dat je aan de AVG voldoet. Wel zal er jaarlijks een nieuwe audit plaatsvinden.

Wanneer je een certificeringsaudit wilt laten uitvoeren, is het van belang je de AVG geïmplementeerd hebt. Een audit is geen adviesgesprek.

Je krijgt geen certificaat als er afwijkingen zijn; bij lichtere afwijkingen krijg je de tijd om deze te corrigeren. De audit wordt afgerond en er wordt een rapport opgemaakt met de afwijkingen. Dan ga je samen met de auditor in overleg hoeveel tijd je nodig hebt om de afwijking op te lossen en plant een tweede audit in. Als de tweede audit succesvol wordt afgerond wordt je opgenomen in het register van gecertificeerde ondernemingen AVG Garant.