Het ene certificaat is het andere niet…
In onze vorige blogpost zijn we dieper ingegaan op het waarom van privacy certificering. Maar is elk privacy certificaat nu een AVG certificaat? En welke standaarden kennen we vandaag? We geven in deze blogpost graag mee wat een privacy certificaat nu een AVG certificaat maakt en geven een stand van zaken van de belangrijkste standaarden.
De laatste maanden en jaren zijn er best veel certificaten (her)ontwikkeld met als doel als AVG certificaat te worden erkend. Echter zijn er weinig uitverkoren, al komt ook daar de komende weken en maanden wel verandering in.
Welke privacy certificaten zijn er?
Er zijn erg veel privacy gerelateerde standaarden en certificaten bekend in de markt. De meest bekende zijn onder meer: ISO 27701, EuroPrise, BS 10012, BC 5701, CARPA, EuroPrivacy. Het meest bekende certificaat is waarschijnlijk de ISO 27701 een privacy add-on van de ISO 27001-reeks. Maar ook standaarden uit Luxemburg, Duitsland, Engeland en Nederland zijn momenteel beschikbaar op de markt.
Privacy certificaat of AVG certificaat?
Niet elk privacy certificaat kan het ook effectief schoppen tot AVG certificaat. In de artikelen 42 en 43 van de AVG staan de regels waaraan een standaard moet voldoen om als AVG certificaat erkend te kunnen worden. Bovendien moet een standaard niet enkel voldoen aan de voorwaarden die in de AVG zijn opgenomen, het moet ook formeel worden goedgekeurd door de European Data Protection Board (EDPB). Een erkend AVG certificaat zal ook worden opgenomen in een register van de EDPB.
Zijn er dan nog geen AVG certificaten voorhanden?
Het register van de EDPB is momenteel nog leeg. Dit betekent dat er nog geen AVG certificatiestandaarden zijn goedgekeurd. Maar in 2023, vijf jaar na het in werking treden van de AVG zaal daar verandering in komen.
Wordt ISO 27701 dan het eerste AVG certificaat? Neen, ISO 27701 en ook BS 10012 voldoen niet aan de voorwaarden zoals opgenomen in artikel 42 en 43 van de AVG. Beide standaarden zijn opgebouwd volgens ISO 17021 en niet zoals de geëiste ISO 17065 standaard. EuroPrise een standaard uit Duitsland biedt privacy certificering voor IT-producten en -diensten, maar is tot op heden enkel lokaal goedgekeurd. Echter zijn er 3 standaarden goed op weg om effectief erkend te worden als het eerste AVG certificaat.
CARPA (Luxemburg)
Deze standard is de eerste goedgekeurd standaard in Luxemburg. CARPA is ontwikkeld en wordt beheerd door de Luxemburgse toezichthouder. De CNPD is tot dusver de enige Europese toezichthoudende autoriteit die zelf een certificeringsregeling in het kader van de AVG heeft ontwikkeld. Als de entiteit die de certificeringscriteria heeft ontwikkeld, is de CNPD ook de eigenaar van de certificeringsregeling. Hierdoor is het CARPA schema een certificaat met vooral waarde in Luxemburg.
EuroPrivacy (Luxemburg)
De autoriteit in Luxemburg is zeer actief de laatste maanden en zet alles op alles om het eerste AVG certificaat naar Luxemburg te halen. Zo werd naast de CARPA standaard de AVG standaard van EuroPrivacy eind 2022 goedgekeurd door de Luxemburgse toezichthouder en de EDPB. Alleen is er voor deze standaard (nog) geen goedgekeurd certificatieschema ontwikkeld. EuroPrivacy heeft een gesloten netwerk van partners en als je als organisatie gecertificeerd wil worden (wanneer het certificatieschema eenmaal is goedgekeurd) dient een welkomst pack te worden aangekocht.
BC 5701 (Brand Compliance – Nederland)
Maar ook in Nederland staat er een AVG certificaat in de startblokken. Sinds 2017 investeert Brand Compliance in een AVG certificaat. Deze standaard werd volledig ontwikkeld volgens de vereisten uit de artikelen 42 en 43 van de AVG. Brand Compliance heeft de uitgebreide audit ervaring ingezet om een standaard te ontwikkelen die geschikt is voor elk type organisatie. In de zomer van 2022 heeft Brand Compliance een positief ontwerpbesluit ontvangen namens de Autoriteit Persoonsgegevens. In september 2022 werd de goedkeuringsaanvraag ingediend bij de EDPB. De goedkeuring van de EDPB wordt nog voor de zomer verwacht. Naast de standaard heeft Brand Compliance ook steeds een certificatieschema en een bijhorende handleiding ontwikkeld. Brand Compliance heeft ervoor gekozen de standaard en het schema zo op te bouwen zodat het haalbaar en betaalbaar is voor elk type van organisatie. Door de intensieve ontwikkeling, de volledigheid en diverse signalen is het niet vreemd als binnen enkele maanden in Nederland het eerste geldige AVG certificaat wordt uitgereikt.
En nu?
Op 25 mei 2023 viert de AVG het 5 jarig bestaan. Het belooft dit jaar een bijzonder jaar te worden op vlak van AVG. Eenmaal de AVG certificatie voorhanden is zal het eenvoudig worden voor organisaties om aan te tonen dat ze in lijn zijn met de AVG wetgeving. In een volgende blogpost zullen we verder ingaan op de implementatie van een AVG standaard.
Wil jij jouw organisatie voorbereiden op het behalen van een AVG certificaat? Privacy Company staat klaar om jouw organisatie te begeleiden, neem gerust contact met ons op en we helpen je op weg.