Genoeg dubieuze bedrijven bieden al sinds 25 mei 2018 zogenaamde “AVG-certificaten” aan, maar tot op heden is het niet mogelijk om in Nederland je te laten crediteren door een geaccrediteerde certificatie-instelling (alles wat als “AVG-certificaat” wordt aangeboden, is dus hartstikke nep). Met de publicatie van de nieuwe EDPD-guidelines over het AVG-certificaat als doorgifte-instrument is het goed om weer eens te kijken naar dit instrument. Hoe zit het precies, en wat heb je aan zo’n certificaat?
Juridische basis
Artikel 42 van de Algemene Verordening Gegevensbescherming (AVG) schept een juridische basis voor certificeringsmechanismen voor gegevensbescherming. Met een AVG-certificaat kan worden aangetoond dat verwerkingsverantwoordelijken en verwerkers bij verwerkingen in overeenstemming met de AVG handelen. Er wordt daarbij ook rekening gehouden met de specifieke behoeften van kleine, middelgrote en micro-ondernemingen.
Uit het derde lid van het artikel wordt duidelijk dat certificering vrijwillig is en toegankelijk zou moeten zijn via een transparant proces.
EDPD guidelines AVG-certificaat voor doorgiftes
De European Data Protection Board heeft een eerste versie aangenomen van guidelines over een AVG-certificaat als doorgifte-instrument (de guidelines zijn nu dus nog niet definitief). In de richtlijnen staan voorwaarden waarmee een AVG-certificaat als een doorgifte-instrument kan werken.
Toegevoegde waarde AVG-certificaat
Met een AVG-certificaat kan een verwerker of verwerkingsverantwoordelijke aantonen dat de interne processen in lijn zijn met de AVG. Een AVG-certificaat kan ook worden gebruikt om het bestaan aan te tonen van passende waarborgen voor de doorgifte van persoonsgegevens naar derde landen en internationale organisaties. Het is niet zo dat je met een AVG-certificaat een “Now I can do whatever I want”-pas krijgt (juridisch: vrijwaring). De Autoriteit Persoonsgegevens geeft op haar website duidelijk aan:
“Een AVG-certificaat ontslaat je niet van de plicht om continu te blijven zorgen voor naleving van de AVG.”
AVG-certificaat aanvragen
Een AVG-certificaat kan worden aangevraagd bij een geaccrediteerde certificatie-instelling: deze zal beoordelen of jouw product, proces of dienst in aanmerking komt voor een AVG-certificaat. Alle bedrijven die een AVG-certificaat aanbieden kan je links laten liggen, want het is op moment van schrijven nog niet mogelijk om in Nederland een AVG-certificaat te krijgen van een geaccrediteerde certificatie-instelling. Ik verwacht dat we binnenkort de eerste certificatie-instellingen gaan zien die geaccrediteerd zijn voor het afgeven van AVG-certificaten. Op de website van de Autoriteit Persoonsgegevens en de Raad voor Accreditatie zal dit worden gepubliceerd.
Vragen over privacy?
Heb je een vraag over privacy, of kun je wel wat hulp gebruiken bij de implementatie van de AVG in jouw bedrijfsprocessen? Neem dan gerust contact met ons op.