CIP volwassenheidsmodel
In een recent nieuwsbericht waarschuwde de Autoriteit Persoonsgegevens voor een misleidend AVG-keurmerk. Eén van deze misleidende keurmerken, AVG-keurmerk.com, benaderde ondernemingen met regelrechte leugens. Zo gaven ze aan dat ze als ‘officieel keurmerk’ nauw samenwerkten met de nationale toezichthouder.
Op dit moment bestaat geen officieel AVG-keurmerk en de Gegevensbeschermingsautoriteit werkt met niemand samen voor het toezicht hierop. Toch kampen veel organisaties met de vraag: hoe bewijs je als organisatie aan consumenten en aan je potentiële zakelijke partners dat je voldoet aan de AVG? Momenteel gebeurt dit vooral op basis van vertrouwen en een privacyverklaring die wel of niet dekkend is.
Met Privacy Company zijn wij al enige tijd bezig om een keurmerk op te zetten op basis van het raamwerk van het CIP privacy volwassenheidsmodel. Het CIP (Centrum Informatiebeveiliging en Privacybescherming) is een publiek-private netwerkorganisatie die bestaat uit Participanten en Kennispartners. Zoals beschreven in deze blog, willen we samen een keurmerk dat inzicht geeft over de mate waarin een organisatie serieus met de privacyregels omgaat. We wilden dus niet iets zeggen over een enkele dienst (verwerking), maar over de hele organisatie.
Om niet ons eigen vlees te keuren, wordt de toetsing gedaan door een Register EDP-auditor (RE). Deze auditor staat ingeschreven in het register van NOREA, de beroepsorganisatie van IT-auditors. De oordelen van de RE worden vastgelegd in een assurance rapport, oftewel de beoordeling. De aanvragende organisatie ontvangt het rapport. De audit en de bijhorende oordeelsvorming is risk-based, waarbij een redelijke mate van zekerheid wordt verkregen. We hopen hiermee gebruik te maken van een breed raamwerk dat door de branche gedragen wordt.
Volwassenheid, geen volledige compliance
De oordeelvorming geeft echter niet aan dat er een volledige compliance is met alle privacyregels uit de AVG. Partijen die dreigen met het maken van meldingen bij de Autoriteit Persoonsgegevens, indien je binnen een termijn niet voldoet aan de richtlijnen, is een schande. Zo werden door AVG-keurmerk.com organisaties gechanteerd om 195 euro per jaar te betalen, zodat de ‘overtreding’ niet hoefde te worden gemeld. Dat zijn vervelende berichten. Het is dan ook goed dat daar reactie op komt.
Creëren van vertrouwen
Wij willen met ons Privacy Keurmerk vertrouwen creëren. Zo weten klanten dat jij als organisatie zegt wat je doet, doet wat je zegt en het ook kan bewijzen. Dit biedt verwerkersverantwoordelijken en verwerkers het inzicht dat een organisatie een bepaalde volwassenheid in de omgang met persoonsgegevens heeft. Wij zijn overtuigd dat transparantie en eerlijkheid de enige route is naar een betrouwbaar keurmerk dat vertrouwen opwekt. Die route blijven we dan ook volgen.