3 september 2019

Is Data Pro certificering een Avg-certificering?

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), HELPDESK AVG, HELPDESK JURIDISCH, VERTROUWEN

We duiden onze Data Pro certificering soms aan als ‘Avg-certificering’. Dat doen we omdat dit gevoelsmatig de lading dekt. Met een Data Pro Certificate toon je aan dat je voldoet aan de Data Pro Code en de Data Pro Code is een invulling van de verwerkersverplichtingen uit de Avg voor mkb-partijen. Dat is nogal een mond vol. Avg-certificering klinkt dan een stuk begrijpelijker. Échte Avg-certificeringen in de zin van artikel 42 Avg zijn er op dit moment, 2 september 2019, echter nog niet en dat geldt dus ook voor Data Pro. We leggen het graag aan je uit.

Officiële uitleg volgens AP

De officiële uitleg van een ‘Avg-certificering’ staat omschreven in artikel 42 Avg. De AP vat het op haar website zo samen:

“Een certificaat is een schriftelijke verklaring dat een product, proces, of dienst aan alle of bepaalde specifieke eisen uit de AVG voldoet. Het AVG-certificaat is niet verplicht. U laat met een AVG-certificaat aan uw doelgroep zien dat u persoonsgegevens zorgvuldig verwerkt en beschermt.”

Een Avg-certificaat mag uitsluitend worden uitgereikt door een geaccrediteerd certificeringsorgaan zoals omschreven in artikel 43 Avg. Op moment van schrijven is er in Nederland nog geen officiële Avg-certificering, omdat nog geen certificeringsorganen zijn geaccrediteerd. Onze Data Pro certificering is op dit moment dus geen Avg-certificering in de zin van artikel 42 Avg. Wel zijn we graag in de race om gecertificeerd te worden, als certificeerder van de specifieke eisen uit de Avg voor verwerkers, zodra dat mogelijk is.

Certificeren op basis van gedragscode

Wij kozen er bewust voor om eerst een gedragscode te maken en die aan de AP voor te leggen. Daarmee starten we onze route bij artikel 40/41 Avg in plaats van direct te stappen naar ‘Avg-certificering’ van artikel 42/43 Avg. Deze route past bij onze rol als brancheorganisatie. Gedragscodes hebben als doel om bij te dragen aan de juiste toepassing van de Avg, waarbij ze rekening houden met de specifieke kenmerken van de desbetreffende sector en de specifieke behoefte van kleine, middelgrote en micro-ondernemingen. Gedragscodes helpen bedrijven dus met hoe ze de Avg moeten toepassen. En de Avg roept branches expliciet op om bedrijven in hun branche te helpen met Avg-implementatie door het opstellen van zo’n gedragscode. Die code biedt een laagdrempelige en heldere manier voor bedrijven om hun gegevensbescherming en verwerkersactiviteiten conform de Avg in te richten. Als je werkt conform de Data Pro Code, dan pas je best practices voor ICT-leveranciers toe voor het voldoen aan bepaalde specifieke eisen uit de Avg zoals weergegeven in de Data Pro Code.

Onze insteek is altijd geweest dat bedrijven desgewenst ook in staat moeten worden gesteld om aan te tonen dat ze aan de Data Pro Code voldoen. Voor bedrijven die willen aantonen dat ze voldoen aan de Data pro Code, bieden we daarom nu al een certificering aan. Hiermee kan een bedrijf het Data Pro Certificate behalen. De certificering is gebaseerd op de gedragscode Data Pro, maar gaat een stap verder. Een onafhankelijke auditor toetst of je voldoet aan de code én de bijlagen bij de code en reikt een certificaat uit als dat het geval is. Ook word je toegevoegd aan het Data Pro Register.

Op zoek naar een geaccrediteerde toezichthouder

Uiteraard doen wij er alles aan om dit toezicht ook te formaliseren. Daarom zijn wij bezig om een toezichthoudend orgaan op die gedragscode opgericht en geaccrediteerd te krijgen. We krijgen vaak de vraag waarom die toezichthouder er op het moment van aanvragen van de goedkeuring op de Code nog niet was, terwijl wij wél in de Data Pro Code hebben opgenomen dat er toezicht is. Dat is omdat wij graag een geaccrediteerde toezichthouder hebben en het lange tijd onduidelijk was aan welke eisen een toezichthouder moet voldoen. De European Data Protection Board heeft pas op 4 juni 2019 de definitieve opinies geadopteerd over accreditatie onder artikel 41 Avg en accreditatie onder artikel 43 Avg. Uiteraard willen we daar graag aan voldoen, terwijl we tegelijkertijd het erg belangrijk vinden om Data Pro ook laagdrempelig én betaalbaar te houden, wat zo ontzettend belangrijk is voor de mkb-leverancier. Juist dát past ook helemaal binnen de Avg. Zowel artikel 40 als artikel 42 benadrukt expliciet dat rekening moet worden “gehouden met de specifieke behoeften van kleine, middelgrote en micro-ondernemingen”. Dat is dan ook de doelgroep waar wij ons met Data Pro op richten.

Toon aan dat je extern bent getoetst

Kortom: Data Pro heeft álles te maken met het feit dat je voldoet aan bepaalde specifieke eisen uit de Avg en hoe je voldoet aan bepaalde specifieke eisen uit de Avg en met het Data Pro Certificate toon je aan dat je extern bent getoetst. De term ‘Avg-certificering’ is een begrijpelijke term om dit proces aan te duiden, maar strikt genomen sluit je je aan bij een gedragscode die je helpt concreet toepassing te geven aan de verwerkerselementen uit de Avg en wordt er op de naleving daarvan toezicht gehouden door middel van een auditproces dat je moet doorlopen voordat je in het register wordt opgenomen.

Voor Data Pro geldt net als voor alle andere soorten certificeringen en gedragscodes uiteraard dat een certificaat behalen je als organisatie niet ontslaat van de plicht om zelf continu te blijven zorgen voor naleving van de Avg en andere wetgeving.

Wil je ook getoetst worden door een onafhankelijke auditor, het certificaat verdienen en toegevoegd worden aan het Data Pro Register? Meld je dan aan en start het certificeringsproces!