Wat is een AVG certificaat?

De bescherming en de correcte verwerking van persoonsgegevens binnen organisaties wordt steeds belangrijker. Uitgangspunt voor een veilige verwerking van deze gegevens ligt besloten in de AVG, de Algemene verordening persoonsgegevens. De Autoriteit Persoonsgegevens (AP) heeft onlangs via een nieuwsbericht aandacht gevraagd voor een nieuw fenomeen. Naar nu blijkt zijn er organisaties die zogenaamde AVG-keurmerken uitgeven en hierbij stellen dat men samenwerkt met de AP. Dergelijke keurmerken zijn volgens het nieuwsbericht misleidend. Zo is er geen enkele vorm van samenwerking door dit soort bedrijven met de toezichthouder, bovendien is er geen sprake van accreditatie door de AP van een dergelijk keurmerk. Ondanks die kritische geluiden kan een dergelijk ongeautoriseerd keurmerk wel degelijk nut hebben.

Wat is het AVG-Certificaat

Een certificaat om aan te tonen dat een organisatie voldoet aan de vereisten van de AVG vloeit direct voort uit de AVG. Voor organisaties is het met een AVG-certificaat mogelijk om aan te tonen dat een specifieke dienst, een product of een proces voldoet aan specifieke eisen uit de AVG. De organisatie kan met het AVG-certificaat aantonen dat de persoonsgegevens om de juiste manier worden verwerkt en beschermd. In tegenstelling wat men geneigd is te denken, wordt het AVG-certificaat niet verstrekt door de toezichthouder. De instelling die het AVG-certificaat kan uitgeven zal moeten beschikking over een accreditatie van de Raad voor accreditatie. Dergelijke accreditaties zijn tot op heden nog niet verstrekt.

Accreditatieproces

De uitgifte van een geldig AVG-certificaat kan alleen geschieden door een certificatie-instelling met de juiste accreditatie. Voordat een dergelijke instelling kan beschikken over de juiste accreditatie, moet zowel de AP als de RvA een positief besluit hebben genomen omtrent de aanvraag. Bij de gehele procedure rondom de aanvraag is ook de mening van de EDPB (European Data Protection Board) van belang. Nadat de goedkeuring is verkregen, kan de instelling het AVG-certificaat uitgeven. Bedrijven kunnen dan een certificaat aanvragen voor een bepaalde dienst, een product of proces.

Meerwaarde van het AVG-certificaat

Heeft een bedrijf een AVG-certificaat verkregen, dan betekent dit niet automatisch dat men voldoet aan de vereisten voor de veilige verwerking en bewaring van persoonsgegevens. Indien de wetgeving wijzigt, technologische mogelijkheden beschikbaar komen of de gebruikte beveiligingsmaatregelen niet langer afdoende zijn, kan het noodzakelijk zijn om een nieuw AVG-certificaat aan te vragen. De levensduur van een eenmaal afgegeven certificaat is dus niet oneindig.

De stand van zaken in Nederland

In Nederland zijn er geen bedrijven die momenteel beschikken over de juiste accreditatie om een AVG-certificaat te verstrekken. Bedrijven die stellen geldige AVG-certificaten uit te geven zijn dus misleidend bezig. Op het moment dat de RvA een instelling accrediteert voor de uitgifte van VGA-certificaten zal dit op de website van zowel de AP als op de website van de RvA worden gepubliceerd.

Heeft u interesse in ISO2HANDLE? Vraag dan een gratis demo aan!