AP waarschuwt voor misleidend AVG-keurmerk
De Autoriteit Persoonsgevens (AP) waarschuwt voor bedrijven die zeggen dat ze een keurmerk kunnen afgeven waarmee organisaties aan kunnen tonen dat ze helemaal voldoen aan de Algemene verordening gegevensbescherming (AVG). Dit soort bedrijven zegt soms nauw samen te werken met de Nederlandse toezichthouder op de privacywetgeving, maar dat klopt niet. De AP heeft geen AVG-keurmerk goedgekeurd.
De AP is wel betrokken bij accreditatie van instellingen die een AVG-certificaat kunnen toekennen. Een AVG-certificaat is een schriftelijke verklaring dat een product, proces, of dienst aan alle of bepaalde specifieke eisen uit de AVG voldoet. Organisaties die persoonsgegevens verwerken kunnen met een AVG-certificaat laten zien dat ze de persoonsgegevens zorgvuldig verwerken en beschermen.
AVG-certificaat aanvragen
Organisaties kunnen op termijn een AVG-certificaat aanvragen bij een certificatie-instelling die is goedgekeurd (geaccrediteerd) door de Raad voor accreditatie (RvA). Op dit moment zijn er in Nederland nog geen certificatie-instellingen geaccrediteerd voor het afgeven van AVG-certificaten. Zodra de RvA certificatie-instellingen heeft geaccrediteerd, is dat te lezen op de website van de AP en die van de RvA.
Aanvraag accreditatie
Certificatie-instellingen die AVG-certificaten willen uitgeven, kunnen daarvoor een aanvraag tot accreditatie indienen bij de RvA. De AP geeft zelf geen certificaten uit en accrediteert geen certificeringsinstellingen, maar maakt wel onderdeel uit van het beoordelingsproces.
Geldigheid certificaat
Het hebben van een AVG-certificaat betekent niet dat een organisatie voor altijd voldoet aan de AVG. Organisaties die persoonsgegevens verwerken moeten altijd in de gaten houden of de gegevensverwerking verandert en wat dat betekent voor de mensen van wie de persoonsgegevens zijn. Ook kan het zijn dat de stand van de techniek verandert, waardoor bijvoorbeeld beveiligingsinstellingen aangepast moeten worden aan de nieuwste ontwikkelingen.