Het AVG-Certificaat: wat houdt het in?

Uit een recent nieuwsbericht van de Autoriteit Persoonsgegevens (AP) blijkt dat organisaties pretenderen een ‘AVG-keurmerk’ uit te kunnen geven. Zo verscheen er een bedrijf die organisaties van een dergelijk keurmerk kon voorzien voor een X bedrag per jaar. De bedrijven die keurmerken uitgeven vermelden daarbij nauw samen te werken met de toezichthouder. Uit het nieuwsbericht blijkt dat de nu uitgegeven keurmerken misleidend zijn en er geen sprake is van een nauwe samenwerking. De AP blijkt tot op heden zelfs geen AVG-keurmerk goedgekeurd te hebben. Toch is een dergelijk ‘keurmerk’ niet geheel gebakken lucht.

Het certificaat

Het keurmerk, eigenlijk het AVG-certificaat genoemd, is een nieuw instrument uit de AVG. Met een dergelijk certificaat bestaat er wel degelijk de mogelijkheid om voor een bepaald product, proces of dienst een certificaat te ontvangen die als verklaring dient dat het product, proces of dienst aan alle of bepaalde specifieke eisen uit de AVG voldoet. Organisaties kunnen daarmee aantonen dat zij persoonsgegevens op een zorgvuldige wijze verwerken en beschermen. Echter is het niet de AP die het certificaat of ‘keurmerk’ toekent. Toekennen van een dergelijk certificaat geschiedt door een geaccrediteerde instelling. De AP is op haar beurt wel betrokken bij accreditatie van een instelling die certificaten uit kan vaardigen.

Accreditatie

Wanneer een organisatie een AVG-certificaat wil ontvangen moeten zij zich wenden tot een goedgekeurde certificatie-instelling. Om als instelling goedgekeurd te worden moet een aanvraag tot accreditatie ingediend worden bij de Raad voor Accreditatie (RvA). Voordat een instelling uiteindelijk geaccrediteerd wordt moeten de RvA en de AP positief besluiten, waarbij ook de mening van de European Data Protection Board (EDPB) wordt meegenomen. Een goedgekeurde instelling kan vervolgens certificaten uitvaardigen en een bedrijf voorzien van een AVG-certificaat met betrekking tot een bepaald product, proces of dienst.

Betekenis

Het AVG-certificaat houdt niet meer in dan dat een bepaald product, dienst of proces op dat moment aan de eisen van de AVG voldoet. Indien bijvoorbeeld een gegevensverwerking verandert of bij het veranderen van de stand van de techniek, waardoor genomen beveiligingsmaatregelen niet meer afdoende zijn, kan het zo zijn dat er een nieuw AVG-certificaat verkregen moet worden. Een eenmaal afgegeven AVG-certificaat heeft dan ook geen oneindige levensduur.

Huidige stand van zaken in Nederland

Op het moment van schrijven zijn er in Nederland nog geen goedgekeurde certificatie-instellingen voor het afgeven van AVG-certificaten met betrekking tot het verwerken van persoonsgegevens. Bedrijven die pretenderen een AVG-certificaat te hebben zijn dus misleidend. Wanneer de RvA certificatie-instellingen heeft geaccrediteerd om AVG-certificaten te verlenen, wordt dit zowel gepubliceerd op de website van de AP als op de website van de RvA.

Wilt u meer informatie over het AVG-certificaat, neem gerust contact met ons op.