Hoe laat je als organisatie zien dat je ‘in control’ bent met de AVG? Ed Ridderbeekx, IT-auditor en privacy professional, neemt je mee in AVG-certificeringen. In zijn artikel o.a. aandacht voor EDPB concept-richtlijnen, rollen en verantwoordelijkheden en criteria.

Uiteraard wordt die aantoonbaarheid verbeterd door de maatregelen die een organisatie voor de AVG heeft genomen; denk aan het aanleggen van een verwerkingsregister, het opstellen van een privacystatement, en gedocumenteerde procedures om te voldoen aan de rechten van betrokkenen. Maar verwerkingsverantwoordelijken en verwerkers hebben daarnaast vaak behoefte aan een onafhankelijk oordeel over de beheersing van privacy. De vraag om zo’n audit of certificering die al dan niet leidt tot een keurmerk wordt versterkt door het feit dat de AVG zelf (de ontwikkeling van) certificeringsmechanismes aanmoedigt als middel om compliance met de wet aan te tonen. Dat doet ze met name in artikel 42. In artikel 43 AVG (‘Certificeringsorganen’) wordt ingegaan op de rolverdeling bij certificering.

Organisaties kijken naar deze artikelen uit de AVG en vragen zich af: hoe staat het daar nu mee? Aanbieders kijken naar dezelfde passages en aarzelen kennelijk soms niet om hun klanten een AVG-certificering of -keurmerk aan te bieden; de Autoriteit Persoonsgegevens (AP) heeft al gewaarschuwd voor ‘misleidende AVG keurmerken’. Hieronder zetten we een aantal zaken op een rijtje.

Deze versturen we 3-4x per jaar.