Een AVG certificaat, kan dat?
| Sieuwert van Otterloo |
Privacy
Veel organisaties willen graag een certificaat om aan te tonen dat ze aan de AVG voldoen. Helaas is er geen officieel AVG-certificaat. Gelukkig zijn er wel andere mogelijkheden om het risico op AVG-problemen te voorkomen.
Er is geen AVG certificaat
De Algemene Verordening Gegevensbescherming is een verplichte wettelijke regeling: alle bedrijven die persoonsgegevens verwerken moeten eraan voldoen. Sinds mei 2018 is de wet van kracht en wordt er gedreigd met hoge boetes. Er is een officiële toezichthouder: in Nederland de Autoriteit Persoonsgegevens, maar elk Europees land heeft zo zijn eigen ‘supervisory authority‘. Deze toezichthouder onderzoekt klachten en datalekken, maar kan dus ook boetes opleggen. In theorie zijn dit miljoenenboetes zoals aan Uber, maar in de praktijk wordt er meestal alleen gewaarschuwd.
In de officiële tekst van de AVG is een artikel opgenomen (GDPR/AVG artikel 42 voor de liefhebbers) waarin gesproken wordt over certificatie. Hierin staat dat de toezichthouder certificaten mag goedkeuren. Tot nu toe (status 24 juni 2019) zijn er geen certificaten goedgekeurd. Sterker nog: de Autoriteit heeft zelfs gewaarschuwd voor misleidende keurmerken. Als u dus een partij tegenkomt die een AVG-certificaat aanbiedt, is dat waarschijnlijk misleiding.
ISO 27001 en andere certificatie
Er is voor privacy en AVG dus geen officieel certificaat. Er zijn wel alternatieve standaarden met certificaten, die op zich nuttig zijn, maar niet verplicht:
- Voor informatiebeveiliging is, op organisatieniveau, de bekendste en meest gebruikte standaard ISO 27001. Er zijn meerdere organisaties waarbij men een officieel ISO 27001 certificaat kan aanvragen;
- PCI-DSS is een heel bruikbare standaard voor creditcard-data;
- NEN 7510 is een variant van ISO 27001 voor de zorg;
- Security Verified is een lichtere variant van ISO27001, die ook zeer bruikbaar is voor middelgrote en kleinere organisaties. Het is een open standaard ontwikkeld door ICT Institute.
Het nut van deze standaarden ligt in het verkleinen van het risico op beveiligingsincidenten. Ze garanderen echter niet dat u geen AVG-boetes kunt krijgen; ten eerste omdat er meer wettelijke eisen dan alleen goede beveiliging zijn, en ten tweede omdat de Autoriteit Persoonsgegevens altijd zal kijken naar de toepassing in de praktijk en niet alleen naar certificaten. De werkelijkheid gaat voor het papiertje.
Hoe voorkomt u AVG-boetes
De beste manier om AVG-boetes te voorkomen, is om alle eisen van de AVG zowel op papier als in de praktijk goed na te leven. De belangrijkste eisen zijn:
- Het hebben van een register van verwerkingsactiviteiten;
- Transparant zijn over uw activiteiten met een privacyverklaring;
- Controleren of u een functionaris voor de gegevensbescherming (FG) moet aanstellen. Dit is niet voor elk bedrijf verplicht;
- Het sluiten van verwerkersovereenkomsten met leverancier en klanten waarmee u persoonsgegevens deelt;
- Het melden van datalekken bij de autoriteit persoonsgegevens;
- Zorgen voor passende beveiligingsmaatregelen.
U mag dit ook laten toetsen door een externe partij als u zeker wilt weten dat u alles goed gedaan heeft. Dit is echter niet verplicht vanuit de AVG; u hoeft dus geen certificering te hebben om compliant te zijn. ICT Institute heeft hiervoor een compliance scan, en veel andere privacy-adviesbureaus zijn hier ook erg bekwaam in.
AVG-beheertool
Een AVG-beheertool is een online omgeving waarin u het verplichte register van verwerkingen digitaal kunt bijhouden. Een goede tool maakt het veel eenvoudiger om aan de AVG te voldoen. ICT Institute heeft samen met ISO2Handle hier een tool voor ontwikkeld. Deze tool is eenvoudiger en scherper geprijsd dan de andere tools op de markt, zie dit overzicht van alle AVG tools. Neem gerust contact met ons op voor een AVG-scan, advies over een AVG-beheertool, training of ondersteuning.
Discussie
Ook dit artikel bediscussiëren wij graag in de open Linkedin Groep ‘Information Security NL’. Information Security NL is een (gratis) discussiegroep voor kennisdeling over informatiebeveiliging. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.
Image credit: @Ekrulila via Pexels
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van software-kwaliteit, IT-strategie, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.