audit

Is er al een AVG-keurmerk?

Wat is de stand van zaken?

Voor alle duidelijkheid: op dit moment bestaat er nog geen AVG-keurmerk of -certificaat. Wel is de verwachting dat nog dit jaar (2020) enkele organisaties de accreditatie krijgen om AVG-audits te beoordelen. Vervolgens kunnen dan bepaalde processen in organisaties een officieel keurmerk “AVG-proof” meekrijgen. Het is een beetje vergelijkbaar met een ISO certificaat en in ieder geval gebaseerd op de ISO 17065 norm die eisen stelt aan de certificatie-organisaties. De Autoriteit Persoonsgegevens (AP) waarschuwt trouwens voor bedrijven die nu al zeggen een keurmerk te kunnen aanbieden en daarbij samen te werken met de AP. Dit is niet juist en hoewel de AP natuurlijk betrokken is bij die certificeringsnormen, bepaalt de Raad voor Accreditatie uiteindelijk welke bedrijven en instanties die officiële keurmerken mogen uitgeven.

Wat heb je als organisatie aan zo’n Keurmerk?

In de AVG wordt het gebruik van certificeringen aangemoedigd. Daardoor zijn betrokkenen (u en ik) snel in staat om het beschermingsniveau van hun privacy bij bepaalde producten en diensten te beoordelen. Een organisatie levert daarmee het officiële bewijs dat ze haar verplichtingen ten aanzien van bescherming van persoonsgegevens nakomt. Handig, want het gunnen van business in deze tijd is vooral gebaseerd op vertrouwen. Een AVG-certificaat kan dus helpen om klanten te werven en te behouden.

Waar heeft een AVG-keurmerk betrekking op?

Het is een misverstand om te denken dat een organisatie als zodanig een certificaat kan verwerven. Het certificaat zal uitgegeven worden voor:

  • Processen, bijvoorbeeld dataverwerking in de salarisadministratie
  • Producten, zoals bijvoorbeeld software en internetapplicaties
  • Diensten; denk bij dat laatste aan webshops of loyalty-toepassingen

Wat zou u nu al kunnen doen?

Organisaties die straks zo’n AVG-keurmerk willen verwerven doen er goed aan op tijd te beginnen met de benodigde maatregelen. Zo bestaat in diverse branches een achterstand als het gaat om het uitvoeren van verplichte Data Protection Impact Assessments (DPIA). Vaak is dat een tijdrovende “klus” en kun je er maar beter nu mee beginnen; dan kun je straks vlot en soepel dat begeerde keurmerk aan al je relaties en prospects laten zien. Op de site van de Autoriteit Persoonsgegevens staat een lijst met zestien verwerkingen waarvoor een DPIA verplicht is.

Handig om eens even na te zien. Neem contact op met de werkgroep Privacy van Contact Consulting als u snel wilt weten wat in uw organisatie nodig is om klaar te zijn voor certificering.
Dat kan via:
ronald.van.putten@contakt.nl (06 2909 1602)
theo.kusters@contakt.nl (06 5119 4118).

 

Samenwerking met Werkgroep Privacy van Contakt Consulting

Met een aantal andere zelfstandige professionals maak ik deel uit van de Werkgroep Privacy van Contakt Consulting b.v. In deze werkgroep komen verschillende expertises bij elkaar, wisselen we ervaringen uit en helpen elkaar om complexe vraagstukken op te lossen.

Theo Kusters, CIPP/e, privacy met een pragmatische aanpak.

 

Deze website gebruikt cookies.

Wij maken op deze website gebruik van cookies om het gebruik en de gebruikerservaring van de website te verbeteren. Lees onze privacy- en cookieverklaring voor meer informatie.