Wat is de stand van zaken?

Voor alle duidelijkheid: op dit moment bestaat er nog geen AVG-keurmerk of -certificaat. Wel is de verwachting dat nog dit jaar (2020) enkele organisaties de accreditatie krijgen om AVG-audits te beoordelen. Vervolgens kunnen dan bepaalde processen in organisaties een officieel keurmerk “AVG-proof” meekrijgen. Het is een beetje vergelijkbaar met een ISO certificaat en in ieder geval gebaseerd op de ISO 17065 norm die eisen stelt aan de certificatie-organisaties. De Autoriteit Persoonsgegevens (AP) waarschuwt trouwens voor bedrijven die nu al zeggen een keurmerk te kunnen aanbieden en daarbij samen te werken met de AP. Dit is niet juist en hoewel de AP natuurlijk betrokken is bij die certificeringsnormen, bepaalt de Raad voor Accreditatie uiteindelijk welke bedrijven en instanties die officiële keurmerken mogen uitgeven.

Wat heb je als organisatie aan zo’n Keurmerk?

In de AVG wordt het gebruik van certificeringen aangemoedigd. Daardoor zijn betrokkenen (u en ik) snel in staat om het beschermingsniveau van hun privacy bij bepaalde producten en diensten te beoordelen. Een organisatie levert daarmee het officiële bewijs dat ze haar verplichtingen ten aanzien van bescherming van persoonsgegevens nakomt. Handig, want het gunnen van business in deze tijd is vooral gebaseerd op vertrouwen. Een AVG-certificaat kan dus helpen om klanten te werven en te behouden.

Waar heeft een AVG-keurmerk betrekking op?

Het is een misverstand om te denken dat een organisatie als zodanig een certificaat kan verwerven. Het certificaat zal uitgegeven worden voor:

  • Processen, bijvoorbeeld dataverwerking in de salarisadministratie
  • Producten, zoals bijvoorbeeld software en internetapplicaties
  • Diensten; denk bij dat laatste aan webshops of loyalty-toepassingen

Wat zou u nu al kunnen doen?

Organisaties die straks zo’n AVG-keurmerk willen verwerven doen er goed aan op tijd te beginnen met de benodigde maatregelen. Zo bestaat in diverse branches een achterstand als het gaat om het uitvoeren van verplichte Data Protection Impact Assessments (DPIA). Vaak is dat een tijdrovende “klus” en kun je er maar beter nu mee beginnen; dan kun je straks vlot en soepel dat begeerde keurmerk aan al je relaties en prospects laten zien. Op de site van de Autoriteit Persoonsgegevens staat een lijst met zestien verwerkingen waarvoor een DPIA verplicht is.  

Meer weten? Zoek Contakt!

Wil je meer informatie? Neem dan contact op met Ronald van Putten +31 6 29 09 1602  of ronald.van.putten@contakt.nl