Privacy certificering – waarom?

March 20, 2023

Een belangrijk beginsel van de Algemene Verordening Gegevensbescherming is verantwoording afleggen (‘accountability”). Het kunnen laten zien dat je aan de regels voldoet. In de markt zijn er de afgelopen jaren initiatieven geweest om dit door certificering (een privacycertificaat) te laten zien. Geen van deze certificaten voldeed aan de eisen uit artikel 42 en 43 AVG. Deze hadden dus geen officiële goedkeuring van de Autoriteit Persoonsgegevens of een andere Europese privacy autoriteit. Dit gaat veranderen. Maar waarom zou een organisatie een officieel privacy certificaat willen?

1. Het laten zien

Klantvertrouwen is een groot goed. Kunnen aantonen dat jouw organisatie netjes met persoonsgegevens omgaat kan helpen om dat vertrouwen te vergroten of te behouden. Als het dan ook nog een stempel met status is, komt dat het vertrouwen ten goede. Ben je leverancier, dan geeft het extra mogelijkheden om aan te tonen dat je een betrouwbare leverancier bent en misschien extra onderscheidend vermogen ten opzichte van je concurrenten. En misschien vinden je huidige en toekomstige medewerkers het ook fijn om te weten dat dit onderwerp bij jouw organisatie goed geregeld is.

2. Structurele borging

Als functionaris voor de gegevensbescherming wil je toezicht houden. Als bestuurder wil je je risico’s beperken. Dat kan door zelf een normenkader met maatregelen te kiezen. Een normenkader met status en onafhankelijke externe toetsing zorgt voor structurele borging. De cyclus van certificering zorgt dat het geen eenmalige actie is. En het normenkader en de audit dwingen tot structurele borging en bewijsvoering.

3. Een doel voor de toekomst

(spoiler alert) Wij weten uit ervaring dat niet alle organisaties aan alle privacyregels voldoen (/spoiler alert). De route naar certificering geeft een mooie kapstok om verbeteringen aan op te hangen. Het normenkader geeft invulling aan het doel, het implementatietraject zorgt voor de inhoudelijke verbetering, de audit is de toets en het certificaat de beloning.

4. Minder handhaving / lagere boetes?

Dit laatste punt zou de kers op de taart zijn. Een kwalitatieve certificering zou de aandacht van de toezichthouder voor die organisatie moeten verlagen. Let op, dit zou moeten gelden voor kwalitatieve onafhankelijke certificering in lijn met de wettelijke AVG vereisten. Niet voor zomaar een stempel. We zitten aan het begin van deze ontwikkeling. Dus het is nog even afwachten of de toezichthouders hier op termijn ook een beweging in gaan maken.

Het goede nieuws is wel dat certificering de kans verkleint dat de organisatie niet voldoet aan de AVG. De auditor toetst immers of aan de regels wordt voldaan en eventuele bevindingen dat dit niet zo is, geven als het goed is aanleiding voor verbetering. En de organisatie legt verantwoording af, dus geeft actief invulling aan de wettelijke plicht. Dat zou een toezichthouder toch moeten meewegen.

Tot slot

In een volgende blog vertellen wij meer over verschillende initiatieven en hun status. Wil je nu al meer informatie, neem dan contact op via info@privacycompany.nl

Download
Frank
Directeur