AVG certificaat en AVG beheertool

Veel bedrijven willen een AVG-certificaat als bewijs dat ze aan alle privacy-eisen voldoen. Een officieel certificaat is er helaas niet. De autoriteit persoonsgegevens heeft geen enkel certificaat officieel erkend. Bedrijven kunnen dus niet vooraf goedkeuring krijgen op hun privacybeleid. Net als bij de belastingdienst wordt er achteraf gecontroleerd. Gelukkig zijn er wel manieren om de kans op boetes te verkleinen: door het gebruik van een AVG-beheertool wordt het eenvoudiger om aantoonbaar te voldoen aan alle eisen.

AVG-compliance en certificering

De Autoriteit Persoonsgegevens heeft geen certificaten goedgekeurd. Het is dus niet mogelijk om een officiële goedkeuring te krijgen op uw privacybeleid. U kunt wel de kans op een boete verkleinen door te zorgen dat u aantoonbaar voldoet aan de AVG. Door uw dossier op orde te hebben, kunt u eenvoudig aantonen dat u voldoet als de toezichthouder of klanten hierom vragen, Zodra u alle documentatie op orde hebt bent u compliant. U hoeft dan niet extra gecertificeerd te worden. U kunt uiteraard wel een externe partij laten controleren of u compliant bent: Dit kan bijvoorbeeld ICT Institute doen met behulp van de compliancescan, of een ander onafhankelijk adviesbureau.

Hulp bij compliance

De online omgeving van ISO2HANDLE help om ervoor te zorgen dat u geen AVG-eisen vergeet. In deze tool kunt u namelijk alle acties en verwerkingen bijhouden. Ook kunt u met meerdere personen binnen uw bedrijf de privacy-documentatie bijhouden. Dit doet u aan de hand van een dashboard waarin u ziet wat u al goed doet, en waar u nog stappen moet zetten. Deze verbeterpunten kunt u aan een collega toewijzen, zodat u er samen voor kunt zorgen dat uw organisatie weer helemaal in control is.

Het verwerkingsregister

In het ISO2HANDLE verwerkingsregister kunt u alle nodige informatie over bedrijfsprocessen met persoonsgegevens opslaan. Zo slaat u bijvoorbeeld op wat u precies doet, welke andere partijen hierbij betrokken zijn, of u overeenkomsten met deze partijen heeft, en of u een DPIA (risicobeoordeling) heeft gedaan. Volgens de AVG moet u het register aan de Autoriteit Persoonsgegevens kunnen laten zien als deze daar om vraagt. ISO2HANDLE heeft daar rekening mee gehouden. Het volledige register is namelijk te exporteren naar PDF.

Risicogebaseerd werken

Geen enkele organisatie heeft oneindige middelen, mankracht en tijd beschikbaar om alle verbeteringen tegelijk door te voeren. Dit hoeft van de AVG gelukkig ook niet. Er wordt namelijk, net als bij de informatiebeveiligingsnorm ISO27001, nadruk gelegd op risicogebaseerd werken. Dit betekent dat u na het ontdekken van een nieuw verbeterpunt kijkt hoe belangrijk dit punt is. Als het risico groter is dan bij een andere geplande verbetering, zult u het nieuwe item eerst moeten oppakken. Zo voorkomt u dat onbelangrijke zaken de prioriteit krijgen over kritieke zaken.

Een voorbeeld AVG-tool

Stel, de tool vertelt u na een korte analyse dat u niet goed op de hoogte bent van de privacyrechten die uw klanten hebben. De tool zal dit aangeven door het hoofdstuk rood te maken. U kunt in het compliancescan op Extra Info klikken, om meer te lezen over “de rechten van betrokkenen”. Zodra u meer weet over het onderwerp en klaar bent om dit punt aan te pakken, wijst u het aan uzelf of een collega toe. De aangewezen persoon keert, na actie in uw organisatie zelf ondernomen te hebben, terug naar het compliancescan-rapport. Hij of zij klikt dan op “Aanpassen”, om dit deel van de compliancescan opnieuw in te vullen. Als de wijziging goed is, kleurt het hoofdstuk automatisch groen in het rapport.