Een van de uitgangspunten van de Algemene Verordening Gegevensbescherming (beter bekend als de AVG) is dat je naleving moet kunnen aantonen. Hou je je daar niet aan dan loop je kans op een boete uit de hoogste categorie.

Primair is deze naleving natuurlijk van belang voor alle betrokkenen van wie je als bedrijf persoonsgegevens verwerkt, bijvoorbeeld je werknemers. Maar als je kunt bewijzen dat je de AVG naleeft is dat ook handig richting je klanten, en richting de Autoriteit Persoonsgegevens.

Een manier om naleving aan te tonen is het behalen van een AVG certificaat. Dit zijn certificaten die afgegeven worden door certificerende instellingen. Deze instellingen voeren dan periodiek een audit uit om vast te stellen of jouw gegevensverwerkingen voldoen aan de wet.

Op dit moment bestaat er in Nederland geen AVG certificering. Deze komt er pas als de Autoriteit Persoonsgegevens het certificeringschema goed keurt. In Nederland heeft de Stichting AVG Garant toestemming gevraagd voor een schema. Omdat AVG certificering voor de toezichthouders nog een onontgonnen gebied is, worden er zo nu en dan nieuwe richtlijnen uitgevaardigd waar je als schemabeheer dan weer rekening mee moet houden. Dat maakt het traject er niet eenvoudiger op.

Het is natuurlijk logisch dat de AVG de lat hoog legt. Betrokkenen en andere derden moeten er immers vanuit kunnen gaan dat bedrijven met een certificaat alle regels ook echt naleven. Voorkomen moet echter worden dat deze certificering alleen maar interessant wordt voor de grotere bedrijven. De wet roept immers niet voor niets op bij de certificeringen rekening te houden met de belangen van de kleinere bedrijven.

Nederland loopt niet echt achter op de andere landen, simpelweg omdat die ook nog geen goedgekeurde AVG certificeringsschema’s kennen. Op één uitzondering na: Luxemburg. De toezichthouder is daar akkoord gegaan met het CARPA schema. Voor meer informatie lees hier.

Jeroen van Puijenbroek (bestuurder AVG Garant)
“Het is goed nieuws dat Europa zijn eerste certificering heeft. Ik hoop dat Nederland het tweede land wordt met een AVG Certificering. Met AVG Garant zetten we daar in ieder geval op in.”

Een AVG certificering richt zich niet op een managementsysteem zoals dat bijvoorbeeld wel het geval is bij ISO27001 maar op het feitelijke AVG product. Centraal staat de vraag of in scope zijnde verwerkingen conform AVG worden uitgevoerd. Bij een audit wordt dan ook zowel gekeken naar de opzet (is er beleid?), het bestaan (is dit vertaald naar procedures en processen?) en de werking (wordt het beoogde effect gerealiseerd?). Tijdens een audit wordt dan ook (steekproefsgewijs) gecontroleerd op de naleving van de AVG beginselen bij de verwerking van persoonsgegevens, de systemen die gebruikt worden en de relevante bedrijfsprocedures.

Bureau Cicero is door de Stichting AVG Garant aangewezen om audits uit te voeren. Om deze audits uit te voeren zal ze moeten beschikken over een relevante accreditatie. Het is sinds 2021 mogelijk om geïnspecteerd te worden en het AVG keurmerk te ontvangen bij een positief resultaat. Een certificaat kan pas worden uitgereikt als AVG Garant door de lopende aanvraag procedure bij het AP is en goedkeuring heeft ontvangen.

Vraag hier meer informatie op over ons keurmerk.