Schrijver: Evi Hagenaars, Adviseur Informatiebeveiliging
Het AVG certificaat, een mythe of waardevolle toevoeging aan de organisatie? Sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) gaat het erover: het AVG certificaat waarmee je aan kunt tonen dat je organisatie AVG compliant is. In 2018 en 2019 zijn meerdere certificaten als paddenstoelen uit de grond geschoten. Geen daarvan was een certificaat waar je een beroep op kon doen om compliance aan te tonen; het waren certificaten waar je mee kon laten zien dat je ‘iets’ met privacy had gedaan en waar de uitgevende bedrijven zichzelf mee konden profileren. Een lange tijd leek een écht AVG certificaat dus een mythe, want zou er echt een standaard ontwikkeld gaan worden waar de Autoriteit Persoonsgegevens een erkend certificaat aan zou koppelen?
Het antwoord is ‘ja’. De mythe is werkelijkheid geworden en heeft plaatsgemaakt voor een manier om aantoonbaar compliant te zijn met de AVG. De BC5701 van Brand Compliance is het eerste certificaat dat voor Nederland geaccrediteerd is door de Raad van Accreditatie voor het aantonen van compliance met de AVG.
De grote vraag is: wat houdt het eigenlijk in om compliant te zijn met de AVG?
AVG compliance is een continue proces. Je wil natuurlijk dat je bij de tijd blijft met de maatregelen die je treft. Én je wilt dat de AVG daar volledig in geborgd is. De BC 5701 is daarvoor een handig hulpmiddel. Deze norm richt zich op de inhoudelijke AVG maatregelen in een specifieke verwerking. Denk bijvoorbeeld aan de bewaartermijnen in je salarisadministratieproces. Als je al die maatregelen goed inregelt, kun je AVG compliance aantonen voor die verwerking. Waarom zou je dat willen voor maar één verwerking en niet je hele organisatie?
Zoals eerder beschreven richt de BC5701 zich op compliance. Dat betekent dat je overal aan moet voldoen, en dat is hard werken als je dat voor iedere verwerking wilt. Niet iedere verwerking heeft daarnaast even hoge risico’s voor betrokkenen, en daarmee dus ook niet een even groot belang voor compliance. De norm stimuleert je daarom om na te denken over het zwaartepunt van de persoonsgegevens in jouw organisatie, zodat je risico gebaseerd aan compliance kunt werken.
Heb je interesse in dit onderwerp, of heb je een andere vraag in gedachten?
Hoe dat eruit ziet? We vertellen je er graag meer over. Neem voor meer informatie contact op met Eberly Haalboom, Manager IT Security Consultants, ehaalboom@dignitas.nl, 06-52044763.