AVG-certificaat voor privacy

[ privacy-certificaat.nl ]

Zie ook: Algemene Verordening Gegevensbescherming (AVG) | Bescherming persoonsgegevens | Persoonsgegevens | Privacy | Privacy by Default | Privacy by Design | Privacy Shield

Wat is een AVG-certificaat?

AVG-certificering voor privacy Het AVG-certificaat (privacycertificaat) is een officieel keurmerk dat aangeeft dat een product, proces of dienst voldoet aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG). Het toont aan dat een organisatie persoonsgegevens zorgvuldig verwerkt en beschermt. Zowel een verwerkingsverantwoordelijke als een verwerker kan een certificaat aanvragen.
De certificering verloopt middels een accreditatieproces, waarin de Raad voor Accreditatie en de Autoriteit Persoonsgegevens een rol spelen. Artikel 42 van de AVG schetst de kaders.

Hoe worden privacycertificaten uitgegeven?

Een organisatie moet een certificaat aanvragen bij een certificerende instantie of certificatie-instelling (CI). Certificering is vrijwillig en doet niets af aan de verantwoordelijkheid van de organisatie om de AVG na te leven. Het AVG-certificaat wordt afgegeven voor een maximale periode van drie jaar en kan onder dezelfde voorwaarden worden verlengd. Wanneer de organisatie niet (meer) voldoet aan de eisen voor certificering, wordt het certificaat ingetrokken.
De CI wordt gecontroleerd door de RvA, in samenwerking met de AP. Er kunnen dus meerdere certificerende instanties ontstaan, die alle dezelfde privacycertificaten uitgeven. Dit zal de herkenbaarheid en acceptatie van het privacykeurmerk een boost geven.

Raad voor Accreditatie

De certificatie-instellingen controleren of de 'leveranciers' van de relevante producten, processen of diensten werken volgens de toepasselijke richtlijnen. De lidstaten van de Europese Unie dienen een instantie aan te wijzen die deze certificerende instellingen kan accrediteren. In Nederland is de RvA aangewezen om deze rol te vervullen.
De RvA houdt onafhankelijk, onpartijdig en deskundig toezicht op de certificatie-instellingen. Op die manier wordt gewaarborgd dat de 'afnemers' van de gecertificeerde producten, processen en diensten erop kunnen vertrouwen dat de kwaliteit in orde is.
Overigens vindt accreditering plaats op veel gebieden: gezondheid, milieu, bouw, energie, voeding, transport en financiŽn. Meer informatie is te vinden op de website van de Raad voor Accreditatie.
Artikel 43 van de AVG gaat nader in op het hoe en wat van certificatie-instellingen ofwel certificeringsorganen.

Wat is accreditatie - het accreditatieproces

Accrediteren betekent: vertrouwen geven. Bij de beoordeling van certificatie-instellingen worden bekende normen gebruikt zoals ISO. Om een certificaat te verkrijgen, moet de certificatie-instelling een certificatieschema opstellen en dat aan de RvA voorleggen.
Een certificatieschema is een stelsel van voorschriften en procedures. Dat schema kan worden opgesteld en beheerd door een externe schemabeheerder
Wanneer de RvA het vooronderzoek bij een accreditatie-aanvraag positief heeft afgerond of nadat de schemabeheerder het schema positief heeft geŽvalueerd, komt de Autoriteit Persoonsgegevens (AP) in beeld. Deze beoordeelt het certificatieschema vanuit het perspectief van de privacyverordening: is er voldoende invulling gegeven aan de relevante eisen uit de AVG? Na goedkeuring van het certificatieschema door de AP kan het accreditatieproces bij de RvA verder gaan.

Accreditaties RvA

Op de website van de RvA is een lijst te vinden met alle geaccrediteerde instanties. Enkele bekende zijn: Nederlandse Voedsel- en Warenautoriteit, Kema BV, Nederlands Forensisch Instituut, Kiwa en RIVM.
Gecertificeerde organisaties kunnen zich buiten Nederland bevinden. De accreditatie-instanties zijn te verdelen in enkele disciplines. Persoonscertificatie is de uitreiking van een kwaliteitskeurmerk aan een persoon. Het heeft niets te maken met privacy of persoonsgegevens. Medio 2020 zijn nog geen privacycertificaties afgerond.
Let op: Kiwa (Nederland) is op diverse gebieden gecertificeerd. Zij heeft een eigen AVG GDPR certificering in het leven geroepen. Omdat Kiwa niet is aangewezen als een certificerende instelling voor uitgifte van het AVG-certificaat, betreft dit Kiwa-certificaat niet een privacycertificaat als bedoeld in de AVG.

AVG-certificaat: wetenswaardigheden

  • De AP stemt de eisen voor de privacy-accreditatie af met de EDPB ofwel de European Data Protection Board (het Europese samenwerkingsverband van toezichthouders).
  • Een gemeenschappelijk certificaat, het Europees gegevensbeschermingszegel, vergt afgifte van een certificaat op grond van criteria die zijn goedgekeurd door de EDPB overeenkomstig artikel 63 van de AVG (coherentiemechanisme).
  • Voor accreditatie door de RvA is in de AVG het gebruik van de norm ISO/IEC 17065 voorgeschreven.
  • ISO-normen betreffen internationale standaarden. NEN-normen zijn nationale normen.
  • ISO 27001 is een norm voor informatiebeveiliging, ISO 27701 is de norm voor beheersmaatregelen voor privacy (in het kader van informatiebeveiliging).

Historie: European Privacy Seal

Al in 2003 heeft de Europese Commissie een eerste stap gezet op het gebied van een privacykeurmerk. Hiervoor werd het begrip European Privacy Seal gebruikt, net als Data Protection Seal. Dit bracht enkele initiatieven op gang, diverse keurmerken werden ontworpen. Geen van deze certificeringen werd gedragen door bekende of officiŽle instanties waardoor ze niet erg populair werden. Er was duidelijk behoefte aan een privacycertificaat dat alom werd gerespecteerd en geaccepteerd. De komst van de AVG / GDPR in 2018 schepte een kader voor officiŽle certificering.