Vragen & Antwoorden BC 5701
Als de officiële opleider en kernauteur van de BC 5701 krijgen wij veel vragen over de AVG Certificeringsstandaard. Hieronder hebben we de meest gestelde vragen en hun antwoorden verzameld. Staat de vraag die jij hebt er niet tussen? Stuur gerust een e-mail naar info@piimsacademy.com en je krijgt snel antwoord.
We hebben de vragen onderverdeeld in een paar rubrieken: Over de BC 5701, Over de accreditatie, Over de implementatie, Over de certificering en Over andere normen en standaarden.
Over de BC 5701
De goedkeuring betekent dat de EDPB, en daarmee alle Europese toezichthouders, van mening zijn dat toepassing van de BC 5701 door organisatie leidt tot een aantoonbaar passende uitwerking van de AVG. Met andere woorden: de BC 5701 kan door organisaties gebruikt worden om hun AVG-compliance aan te tonen.
Dat de BC 5701 een Europees gegevensbeschermingszegel is houdt in dat het kan worden gebruikt voor de certificering van verwerkingen door organisatie die in de EER gevestigd zijn. Het is niet noodzakelijk dat ook de eventueel uitbestede subverwerkingen in the EER plaatsvinden.
De BC 5701 kan worden toegepast door organisaties vanuit van hun rol als verwerkingsverantwoordelijke of verwerker ten aanzien van de verwerking van persoonsgegevens, ongeacht het type organisatie (groot en klein, bedrijfsleven en overheden, profit en non-profit) en ongeacht het type verwerking dat wordt uitgevoerd.
Het is uitsluitend mogelijk om verwerkingen te certificeren. Het is dus niet mogelijk om producten, diensten en/of organisaties te certificeren.
Ja, dat kan. Aangezien een subverwerker geen eigenschap is van de verwerkende organisatie (de rol wordt bepaald door de rol van de opdrachtgever), worden subverwerkers gecertificeerd in de hoedanigheid van verwerker.
Om in aanmerking te komen voor een BC 5701 certificaat moet de organisatie, met betrekking tot de te certificering verwerking(en), voldoen aan de eisen uit de ‘AVG certificeringsstandaard en -criteria BC 5701’ (te koop op brandcompliance.com en inbegrepen bij iedere opleiding van Piims Academy).
Als onderdeel van de BC 5701 moet de organisatie voldoen aan:
- alle eisen die naast de AVG en de BC 5701 aan de verwerking en bescherming van persoonsgegevens worden gesteld vanuit andere wet- en regelgeving, de van toepassing zijnde contracten en de eigen interne bedrijfseisen;
- een gerenommeerde standaard voor informatiebeveiliging.
Nee, de criteria zijn generiek opgesteld. Wel verschilt het van organisatie tot organisatie welke criteria van toepassing zijn en hoe de uitwerking van de criteria eruit ziet. Zo zal bijvoorbeeld de uitwerking van de aanvullende wet- en regelgeving voor overheidsorganisaties in veel gevallen uitgebreider zijn dan voor het bedrijfsleven.
De eisen van de BC 5701 hebben niet alleen betrekking op de verwerking die gecertificeerd wordt. De eisen hebben ook betrekking op de meer algemene eisen van de AVG, zoals bijvoorbeeld de FG en het register van verwerkingsactiviteiten. Daarnaast bevat de BC 5701 eisen ten aanzien van aspecten van de organisatie die van invloed zijn op de te certificeren verwerking(en). Hierbij kan je denken aan organisatie-, ICT- en HR-, risicomanagement en andere aspecten van de organisatie.
Ja, een organisatie bepaalt zelf de verwerking(en) waarop zij de BC 5701 wil toepassen. Wel is het zo dat ten aanzien van de scope eisen gelden om te borgen dat een certificaat niet misleidend is.
Ja, een organisatie kan de scope van haar certificering op ieder gewenst moment uitbreiden. Dit betekent dat alle veranderingen/toevoegingen die deze uitbreiding tot gevolg heeft, aanvullend geauditeerd worden.
Ja, Brand Compliance is verplicht een (online) register aan te leggen waarin iedereen kan raadplegen welke organisatie ten aanzien van welke verwerking(en) gecertificeerd zijn.
Ja! Het certificaat van een verwerker toont aan dat de verwerker ten aanzien van een bepaalde verwerking aan de AVG voldoet én voldoet aan alle contractuele eisen die door verwerkingsverantwoordelijken c.q. opdrachtgevers m.b.t. de verwerking aan de verwerker zijn gesteld. Hierbij gaan we er wel vanuit dat het certificaat betrekking heeft op de uitbestede verwerking en dat de uitbestedende verwerkingsverantwoordelijke passende eisen aan de verwerker heeft gesteld.
Nee, een AVG-certificaat garandeert geen 100% AVG-compliance. Dat is ook niet wat de wetgever heeft beoogt met de certificering. Het certificaat toont aan dat de organisatie alles heeft gedaan wat redelijkerwijs van haar verwacht mag worden om aan de AVG te voldoen.
Ja! Hoewel, de officiële benaming in het Nederlands ‘Europees gegevensbeschermingszegel’ is en in het Engels ‘European Data Protection Seal’. Maar in de volksmond is het een EU Privacy Seal.
De waarde van een officieel AVG-certificaat is dat de organisatie onomstotelijk aan de buitenwereld de integriteit de verwerking en de adequaatheid van de bescherming van persoonsgegevens kan aantonen. In algemene zin levert dit de volgende voordelen op:
Voor de verwerkingsverantwoordelijke:
- het ondersteunt het imago van de organisatie (betrouwbaar en vooruitstrevend);
- het biedt vertrouwen in een proces dat door klanten niet (goed) kan worden overzien;
- het verbetert te procesbeheersing m.b.t. de te certificeren verwerking;
- het verlaagt de risico m.b.t. de verwerking van persoonsgegevens;
- het verlaagt de kans op boetes door de AP;
- het biedt duidelijke plus bij aanbestedingen.
Daar bovenop geldt voor verwerkers:
- het ontzorgt opdrachtgevers omdat ze niet meer actief de performance van jouw verwerking hoeven te monitoren;
- het verlaagt de kosten van het zakendoen met jou als verwerker, omdat het controleren van de compliance wordt gereduceerd tot het jaarlijks controleren van certificaat.
Certificeren is vrijwillig. De AVG verplicht organisatie om aan te kunnen tonen dat zij aan de AVG voldoen (verantwoordingsplicht), maar stelt geen eisen aan de wijze waarop organisaties dat doen. Certificering is een middel om dit te doen maar organisaties kunnen ook zelfstandig bewijzen verzamelen om hun compliance aan te tonen.
Ervan uitgaande dat de organisatie integer heeft gehandeld, zal een incident m.b.t. een gecertificeerde verwerking niet leiden tot een boete van de toezichthoudende autoriteiten. Een incident op zich is immers geen overtreding van de wet; het niet naleven van de AVG is dat wel. Met een certificaat toont de organisatie aan alles gedaan te hebben wat redelijkerwijs van haar verwacht mag worden om aan de AVG te voldoen. Een boete kent dan geen grondslag meer.
Aan de andere kant, mocht de organisatie willens en wetens de AVG hebben overtreden terwijl zij gecertificeerd was, dan is de verwachting dat dit leidt tot een verhoging van de boete. De organisatie heeft dan immers de belanghebbenden misleid.
Het privacy landschap is nog volop in beweging. Vanuit jurisprudentie en guidelines wordt de betekenis van de AVG steeds verder aangescherpt. Dat dit bij tijd en wijle zal leiden tot wijzigingen in de BC 5701 staat wel vast. Het doel is echter om het uitbrengen van nieuwe versies tot een minimum te beperken.
De inzet van de BC 5701 heeft absoluut consequenties. Het levert aantoonbare AVG-compliance op vanuit eenduidig geborgde processen. Kijk je echter alleen naar het laatste aspect, bijvoorbeeld vanuit het perspectief van een organisatie die gewent was veel activiteiten spontaan uit te voeren, dan zal de toepassing van de BC 5701 op bepaalde onderdelen als stug/verstarrend worden ervaren. Men gaat dan echter wel voorbij aan het feit dat de organisatie voor de toepassing van de BC 5701 vrijwel zeker niet AVG-compliant was (de andere kant van de medaille). Het oordeel over het effect van de toepassing van de BC 5701 wordt dus in sterke mate bepaald door de bril waarmee het wordt bekeken.
De eisen van de BC 5701 zijn ten aanzien van alle onderwerpen op dezelfde manier opgebouwd.
- De doelstelling die de organisatie ten aanzien van een onderwerp moet behalen.
- De maatregelen die een organisatie moet nemen om het realiseren van de doelstelling te borgen.
Er zijn eisen die een algemeen karakter hebben, denk bijvoorbeeld aan het opzetten van beleid ten aanzien van een bepaald onderwerp, als ook een meer gedetailleerd karakter, zoals het loggen van bepaalde gegevens. In algemene zin vereist AVG-certificering preciezere eisen dan bijvoorbeeld ISO 27001 of andere managementsysteem-normen.
Een eerste logische stap is om te verkennen of er binnen de organisatie voorvechters gevonden zijn worden voor het idee van certificering. De belangrijkste persoon daarbij is de lijnmanager van de te certificeren verwerking(en). De argumenten om te willen/moeten certificeren zijn natuurlijk organisatiespecifiek, maar vermoedelijk bevinden ze zich in één of meer van de volgende hoeken:
- Imago uitbouwen als betrouwbare, kwalitatieve en vooruitstrevende organisatie;
- Het herstellen van vertrouwen na incidenten / slechte pers;
- Het bieden van vertrouwen in een complex proces;
- Verbeteren van procesbeheersing;
- Verlagen van risico’s (imago, boetes, klantverlies,..);
- Concurrentieel voordeel, bijvoorbeeld bij aanbestedingen;
- Het ontzorgen van klanten (wegnemen het gedoe rond compliance controles)
Het verlagen van de kosten van het zakendoen met de organisatie (compliance controle wordt gereduceerd tot jaarlijkse controle van het certificaat).
Als de website een noodzakelijk onderdeel uitmaakt van de te certificeren verwerking(en), bijvoorbeeld om betrokkenen over de verwerking te informeren, dan valt de website ook binnen de scope van de certificering en daarmee de inzet en het gebruik van cookies en vergelijkbare technieken.
Over de accreditatie
Een certificeringsmechanisme bestaat grofweg uit twee delen. Het eerste deel zijn de eisen waaraan een organisatie moet voldoen om voor een certificaat in aanmerking. Met de recente goedkeuring van de BC 5701 door de EDPB is dat deel afgerond. Het tweede deel is een betrouwbaar certificatieproces door een certificerende instelling, waardoor buitenstaanders op het oordeel van de certificerende instelling mogen vertrouwen. Deze beoordeling van de betrouwbaarheid van het certificeringsproces heet ‘accreditatie’ en wordt uitgevoerd door de Raad voor Accreditatie.
Nee, de BC 5701 is een zogenoemd ‘privaat schema’, wat betekent dat Brand Compliance de enige certificerende instellingen is en blijft voor de BC 5701.
Accreditatie is een zeer zorgvuldig proces dat geruime tijd in beslag neemt. De huidige inschatting is dat Brand Compliance begin 2025 de voorlopige accreditatie zal verkrijgen voor de NL-standaard, waarna zij accreditatie aan kan vragen voor de uitbreiding naar het EU Seal. De verwachting is dat dit in de loop van 2025 zal plaatsvinden.
Over de implementatie
Iedere organisatie kan aan de slag gaan met de BC 5701 om de AVG-compliance te verbeteren. Jouw organisatie is klaar voor een certificeringstraject als je de volgende vragen positief kunt beantwoorden:
- Is er een duidelijk en gedragen doel waaraan certificering een bijdrage levert?
- Toont het relevante lijnmanagement commitment en zijn ze bereid hun verantwoordelijkheid te nemen voor de verwerking en bescherming van persoonsgegevens? De verantwoordelijkheid voor AVG-compliance kan je niet beleggen bij een stafafdeling.
- Heeft de organisatie een redelijke mate van volwassenheid/professionaliteit? De organisatie is in staat om planmatig haar doelen te realiseren en wordt niet geregeerd door ad-hoc initiatieven.
- Heeft de organisatie heeft al een ISMS operationeel?
In de opleiding BC 5701 Lead Implementor leer je precies hoe je de implementatie van de BC 5701 aanpakt en waar je daarbij op moet letten.
De inspanningen om de BC 5701 te implementeren kunnen van organisatie tot organisatie sterk verschillen. Overweegt u certificering, laat u dan adviseren en vraag een vrijblijvend gesprek aan bij Brand Compliance of één van de professionals uit het BC 5701 Professionals Register.
Ervan uitgaande dat de organisatie al een ISMS operationeel heeft, kan je rekening houden met een doorlooptijd voor de implementatie van 6 tot 12 maanden, voor het aantonen van de juiste werking van de implementatie (het operationeel zijn) 3 maanden en voor de certificeringsaudit (fase 1+2) ook circa 3 maanden. Van start tot finish betekent dit een doorlooptijd van circa 12 tot 18 maanden.
Dit is niet alleen een voordeel, wij raden zelfs aan niet met de implementatie van de BC 5701 te beginnen voordat de organisatie een ISMS operationeel heeft. De organisatie is daardoor al bekend is met het werken volgens een managementsysteem, waardoor de stap naar AVG-compliance minder groot wordt. Ook heeft de organisatie dan al veel technische en organisatorische beschermingsmaatregelen geïmplementeerd waardoor de totale projectomvang aanzienlijk wordt gereduceerd. Het conformeren aan een certificeerbare ISMS-standaard is daarnaast een voorwaarde voor certificering tegen de BC 5701.
Er bestaat in de markt wat verwarring over het begrip ‘managementsysteem’. De term wordt zowel gebruikt voor een manier van werken (volgens de PDCA-cyclus), als voor allerhande compliance ondersteunende software. In het kader van de BC 5701 wordt met een managementsysteem een manier van werken bedoeld. Of en, zo ja, hoe de organisatie dat ondersteunt met software, is aan de organisatie. Zolang het maar effectief is.
AVG-certificering is op meerdere onderdelen fundamenteel anders dan de meer bekende managementsysteemcertificeringen zoals ISO 27001 en ISO 9001. Zonder opleiding én zonder begeleiding schatten wij de kans op een certificeerbare implementatie laag in, met veel noodzakelijk rework en vertraging als gevolg. Zorg voor een opleiding van het team of huur adequaat opgeleide externe begeleiding in. Kandidaten hiervoor vindt je in het Professionals Register op deze website.
Ook in het kader van de implementatie van de BC 5701 is het de taak van de FG om de organisatie gevraagd en ongevraagd te adviseren ten aanzien van de passende verwerking en bescherming van persoonsgegevens en toe te zien op de naleving van de AVG. Het is belangrijk dat de FG geen operationele / besluitvormende rol vervult m.b.t. de implementatie. Dit zou de objectiviteit van de FG aantasten.
Het antwoord op deze vraag hangt een beetje af van hetgeen je met de BC 5701 wilt gaan doen. Wil je de BC 5701 uitsluitend als intern reverentiekader gebruiken voor een aantoonbaar passende uitwerking van de AVG, dan kan je er direct mee aan de slag. Wil je echter het officiële Privacy Seal behalen, dan raden we aan te starten met een opleiding. AVG-certificering wijkt namelijk op verschillende punten fundamenteel af van de meer bekende managementsysteem certificeringen zoal ISO 9001 en ISO 27001. Zonder opleiding is de kans groot dat de uitgangspunten voor de certificering niet goed worden bepaald. Het gevolg laat zich raden: frustraties, veel rework, onnodige kosten en aanzienlijke projectvertraging.
De verantwoordelijkheid voor de certificering kan maar op één plaats worden belegd en dat is bij het management dat verantwoordelijk is voor de te certificeren verwerking(en). De passende bescherming van persoonsgegevens is immers een kwaliteitsaspect van het primaire proces. De verantwoordelijk daarvoor en het praktisch toezicht daarop, kan alleen effectief in het primaire proces worden geborgd. Het lijnmanagement moet daarbij ondersteund worden vanuit stafdiensten zoals de Privacy Officer, CISO, Risk, etc.
Om te kunnen certificering moet de organisatie m.b.t. de scope van de certificering een managementsysteem operationeel hebben. Met een managementsysteem wordt binnen de BC 5701 een manier van werken bedoeld; een geïntegreerde PDCA-cyclus. Deze manier van werken geldt ook bij andere normen als eis. Het lijkt logisch om geen verzuilde benadering te kiezen, maar om de verschillende normen te integreren tot één manier van werken c.q. één managementsysteem. Binnen de BC 5701 wordt expres niet gesproken over een privacy managementsysteem, omdat dit de indruk kan wekken dat het iets anders is dan bijvoorbeeld een Quality Management System (QMS) of een Information Security Management System (ISMS). Het is dezelfde manier van werken, toegepast op een ander domein.
De belangrijkste functionaris is de lijnmanager die verantwoordelijk is voor de te certificering verwerkingen. Solide commitment en actieve ondersteuning van deze functionaris is een absolute vereiste. Daarnaast zijn key functionarissen van betrokken afdelingen nodig, waaronder de Privacy Officer, de CISO, HR, Inkoop. Afhankelijk van de functies binnen de organisatie kan je ook denken aan Risk, Compliance en Interne Audit. Belangrijk is dat de FG geen operationele rol vervult m.b.t. de implementatie. Dat zou de onafhankelijke van de FG aantasten. Tot slot is het altijd een goed idee om een projectmanager aan te stellen die geen operationele relatie heeft met de te certificeren verwerking, teneinde rolconflicten gedurende het project te voorkomen.
Over de certificering
De BC 5701 is een zogenoemd ‘privaat schema’. Dit betekent dat alleen Brand Compliance certificaten op basis van de BC 5701 mag uitgeven.
Een certificaat is drie jaar geldig, mits bij voortduring aan de relevante eisen wordt voldaan. Dit wordt onder meer getoetst door twee tussentijdse audits, eind jaar 1 en eind jaar 2. Aan het einde van de certificeringsperiode kan de organisatie kiezen voor hercertificering, waarna de cyclus opnieuw begint.
Het certificeringsproces begint met de aanmelding voor certificering bij Brand Compliance (BC). BC beoordeelt de certificeerbaarheid van de aanvraag en maakt een inschatting van de benodigde expertise. In deze fase wordt ook een inschatting gemaakt van de benodigde audittijd, wordt een globale planning gemaakt en worden de gemaakte afspraken vastgelegd.
De certificeringsaudit zelf bestaat uit twee fasen. In de eerste fase wordt met name aandacht besteed aan aspecten van rechtmatigheid, de werking van het managementsysteem en de opzet van een aantal wezenlijke maatregelen. Na deze fase wordt tijd ingepland om de organisatie in de gelegenheid te stellen eventuele afwijkingen en/of fouten te corrigeren.
In de tweede fase ligt de nadruk op het beoordelen van de juiste uitvoering van de AVG en de juiste implementatie en uitvoering van de voorgeschreven technische en organisatorische maatregelen. Ook na de tweede fase audit krijgt de organisatie de gelegenheid om geconstateerde afwijkingen en/of fouten te herstellen. Na een succesvolle herbeoordeling van eventuele verbeteringen wordt de aanvraag voorgedragen voor certificering. De certificeringscommissie beoordeelt of aan alle voorwaarden voor certificering is voldaan en neemt een certificeringsbesluit.
De certificeringsaudit bestaat uit twee fasen. Na de fase één, waarin met name gekeken worden naar aspecten van rechtmatigheid, het managementsysteem en de opzet van een aantal wezenlijke eisen, krijgen organisaties de gelegenheid om eventueel geconstateerde fouten en afwijkingen op te lossen. Daarna wordt fase twee van de audit uitgevoerd waarvoor ook weer een herstelperiode zal gelden. Ervan uitgaande dat er geen fundamentele tekortkoming aan het licht komen, heeft de totale audit een doorlooptijd van circa drie maanden.
De certificeringsaudits worden uitgevoerd door een auditteam waarin tenminste drie disciplines vertegenwoordigd zijn: een juridisch auditor, een technisch audit en een lead auditor. Afhankelijk van de aard van de te certificeren verwerking kan het auditteam worden uitgebreid met specialisten.
Als onderdeel van het managementsysteem moet de organisatie self-assessments uitvoeren om te beoordelen of zij haar eigen verwerkings- en beschermingsdoelen behaalt. Een dergelijk self-assessment kan niet in de plaats treden van de tussentijdse audit van Brand compliance. Het hele idee achter certificering is een onafhankelijke en betrouwbare vaststelling van de kwaliteit van iets. Een self-assessment staat op gespannen voet met deze eisen.
Als onderdeel van de eisen van de BC 5701 moet de organisatie een verklaring van toepasselijkheid maken. Hiermee geeft de organisatie ten aanzien van alle eisen van de standaard aan of en, zo ja, hoe de organisatie aan de eis heeft voldaan, of waarom de organisatie er niet aan heeft voldaan. Met de verklaring van toepasselijkheid heeft de organisatie een beeld van de compleetheid van de implementatie. Wil de organisatie ook een beeld hebben van de adequaatheid van de implementatie, dan kan zij een pre-audit laten uitvoeren.
De benodigde tijd voor een certificatieaudit is van veel factoren afhankelijk. Denk hierbij aan de omvang en complexiteit van de verwerking, de aan de verwerking verbonden risico’s voor de betrokkenen, de omvang en complexiteit van de organisatie, verzwarende verwerkingsaspecten zoals geautomatiseerde besluitvorming, etc. Aan de onderkant van het spectrum moet je rekening houden met circa 8-16 auditdagen, verdeeld over een juridische auditor, een technische auditor en een organisatorische auditor. De tussentijdse audits kosten ongeveer 50% van de tijd van een initiële certificeringsaudit en een hercertificering ongeveer 70% van de initiële audittijd.
De TA’s hebben geen operationele rol in de certificering. Wel moeten alle aanvragen voor certificering door de certificerende instelling worden aangemeld bij de TA. Daarnaast hebben de betrokken TA’s de bevoegdheid om de certificerende instelling te gelasten een certificaat in te trekken. Dit kan bijvoorbeeld gebeuren wanneer een TA, n.a.v. een klacht of een incident, misbruik of misleiding m.b.t. een certificaat heeft geconstateerd.
Een organisatie komt in aanmerking voor certificering wanneer het voldoet aan alle toepasselijke eisen van de AVG Certificeringsstandaard en criteria BC 5701. Het aanvragen van een certificeringsaudit kan zodra de organisatie een idee heeft wanneer zij het implementatietraject verwacht af te ronden. Geadviseerd wordt om niet te wachten met het aanvragen van een certificatieaudit tot de implementatie helemaal is afgerond, aangezien het inplannen van een audit de nodige planning en afstemming vraagt.
Er zijn meerdere manieren waarop de continuïteit AVG-compliance wordt geborgd.
Ten eerste moet de organisatie vanuit de BC 5701 maatregelen nemen om veranderingen in de context van de certificering in overeenstemming met de AVG en de BC 5701 te implementeren. De kwaliteit van deze maatregelen wordt beoordeeld tijdens de certificeringsaudits.
Ten tweede voert de certificerende instelling jaarlijks audits uit, waarbij met name gekeken worden naar de wijze waarop de organisatie met veranderingen is omgegaan.
Ten derde zijn gecertificeerde organisaties contractueel verplicht om incidenten en wijzigingen m.b.t. de gecertificeerde verwerkingen te melden bij de certificerende instelling. De certificerende instelling bepaalt vervolgens of zij een tussentijdse audit noodzakelijk acht of niet.
Ten vierde wordt vanuit de certificerende instelling beoordeeld of zich ontwikkelingen voordoen m.b.t. wet- en regelgeving die de aanpassing van de certificeringseisen rechtvaardigen. Na goedkeuring door de EDPB worden de gewijzigde eisen verplicht gesteld om de certificering te kunnen continueren.
Last but not least kijken de toezichthoudende autoriteiten in het kader van klachten en incidentmeldingen ook naar de certificeringsstatus van een organisatie en kan besluiten zelf onderzoek te doen of een melding te maken bij de certificerende instelling.
Het is een voorwaarde de organisatie zich aantoonbaar conformeert aan een certificeerbaar informatiebeveiligingsmanagementsysteem (ISMS). Dit kan bijvoorbeeld ISO 27001 zijn, maar dat ik niet verplicht.
Als je het niet eens bent met het oordeel van een auditor, dan kan je daarover een klacht indienen bij de certificerende instelling. Klachten worden onafhankelijk afgehandeld; zie hiervoor de klachtenprocedure op de website van Brand Compliance. Het uiteindelijke oordeel van de certificerende instelling is doorslaggevend bij het toekennen, afwijzen of intrekken van een certificaat.
Over andere normen en standaarden
Vrijwel geen van de in de markt aangeboden frameworks voldoen aan de eisen om door te kunnen gaan voor een officieel AVG-certificaat, om één of meerdere van de volgende redenen:
- Het geen procescertificering is (gebaseerd op ISO 17065), zoals vereist in de AVG;
- Er geen / onvoldoende link is met het verwerkingsproces;
- De eisen van de AVG worden niet afdoende worden afgedekt;
- De belangen van de organisatie centraal staan i.p.v. de belangen van de betrokkenen;
- De kwaliteit van het beoordelingsproces onvoldoende is geborgd;
- De criteria niet zijn goedgekeurd door de EDPB.
Officiële certificeringsmechanismen zijn opgenomen in het Register of certification mechanisms, seals and marks van de EDPB.
Over de BC 5701
De goedkeuring betekent dat de AP, en de overige Europese toezichthouders, van mening zijn dat toepassing van de BC 5701 door organisatie leidt tot een aantoonbaar passende uitwerking van de AVG. Met andere woorden: de BC 5701 kan door organisaties gebruikt worden om hun AVG-compliance aan te tonen.
Dat de BC 5701 een nationaal certificeringsmechanisme is houdt in dat het kan worden gebruikt voor de certificering van verwerkingen die onder de jurisdictie van de Autoriteit Persoonsgegevens vallen. Dit zijn verwerkingen die in Nederland plaatsvinden, door organisaties die in Nederland hun hoofdvestiging hebben, ten behoeve van betrokkenen die zich (ten minste) in Nederland bevinden. Het is niet noodzakelijk dat ook de eventueel uitbestede subverwerkingen in Nederland plaatsvinden.
De BC 5701 kan worden toegepast door organisaties vanuit van hun rol als (gezamenlijke) verwerkingsverantwoordelijke of verwerker ten aanzien van de verwerking van persoonsgegevens, ongeacht het type organisatie (groot en klein, bedrijfsleven en overheden, profit en non-profit) en ongeacht het type verwerking dat wordt uitgevoerd.
Het is uitsluitend mogelijk om verwerkingen te certificeren. Het is dus niet mogelijk om producten, diensten en/of organisaties te certificeren.
Ja, dat kan. Aangezien een subverwerker geen bestendige rol is (wordt bepaald door de rol van de opdrachtgever), worden subverwerkers gecertificeerd als in de hoedanigheid van verwerker.
Om in aanmerking te komen voor een BC 5701 certificaat moet de organisatie, met betrekking tot de te certificering verwerking(en), voldoen aan de eisen uit de ‘AVG certificeringsstandaard en -criteria BC 5701’ (te koop op brandcompliance.com en inbegrepen bij iedere opleiding van Piims Academy).
Als onderdeel van de BC 5701 moet de organisatie voldoen aan:
- alle eisen die naast de AVG en de BC 5701 aan de verwerking en bescherming van persoonsgegevens worden gesteld vanuit andere wet- en regelgeving, de van toepassing zijnde contracten en de eigen interne bedrijfseisen;
- een gerenommeerde standaard voor informatiebeveiliging.
Nee, de criteria zijn generiek opgesteld. Wel verschilt het van organisatie tot organisatie welke criteria van toepassing zijn en hoe de uitwerking van de criteria eruit ziet. Zo zal bijvoorbeeld de uitwerking van de aanvullende wet- en regelgeving voor overheidsorganisaties in veel gevallen uitgebreider zijn dan voor het bedrijfsleven.
De eisen van de BC 5701 hebben niet alleen betrekking op de verwerking die gecertificeerd wordt. De eisen hebben ook betrekking op de meer algemene eisen van de AVG, zoals bijvoorbeeld de FG en het register van verwerkingsactiviteiten. Daarnaast bevat de BC 5701 eisen ten aanzien van aspecten van de organisatie die van invloed zijn op de te certificeren verwerking(en). Hierbij kan je denken aan organisatie-, ICT- en HR-aspecten, risicomanagement en het managementsysteem.
Ja, een organisatie bepaalt zelf de verwerking(en) waarop zij de BC 5701 wil toepassen. Wel is het zo dat ten aanzien van de scope eisen gelden om te borgen dat een certificaat niet misleidend is.
Ja, een organisatie kan de scope van haar certificering op ieder gewenst moment uitbreiden. Dit betekent dat alle veranderingen/toevoegingen die deze uitbreiding tot gevolg heeft, aanvullend geauditeerd worden.
Ja, Brand Compliance zal een (online) register aanleggen waarin iedereen kan raadplegen welke organisatie ten aanzien van welke verwerking(en) gecertificeerd zijn.
Ja! Het certificaat van een verwerker toont aan dat de verwerker ten aanzien van een bepaalde verwerking aan de AVG voldoet én voldoet aan alle contractuele eisen die door verwerkingsverantwoordelijken c.q. opdrachtgevers m.b.t. de verwerking aan de verwerker zijn gesteld. Hierbij gaan we er wel vanuit dat het certificaat betrekking heeft op de uitbestede verwerking en dat de uitbestedende verwerkingsverantwoordelijke passende eisen aan de verwerker heeft gesteld.
Nee, een AVG-certificaat garandeert geen 100% AVG-compliance. Dat is ook niet wat de wetgever heeft beoogt met de certificering. Het certificaat toont aan dat de organisatie alles heeft gedaan wat redelijkerwijs van haar verwacht mag worden om aan de AVG te voldoen.
De BC 5701 bevat eisen voor het aantoonbaar passend uitwerken van de AVG in het kader van certificering. Aan de andere kant maakt de BC 5701 ook gewoon helder wat het ‘aantoonbaar passend uitwerking van de AVG’ inhoudt. Daarmee geeft het handen en voeten aan het abstracte begrip aantoonbaarheid in de AVG. Er is nu een benchmark die door iedere organisatie te gebruiken is. Het objectiveert de eisen aan de AVG implementatie en biedt een objectief en goedgekeurd kader om AVG-compliance tegen te beoordelen ongeacht of je wilt certificeren of niet.
De waarde van een officieel AVG-certificaat is dat de organisatie onomstotelijk aan de buitenwereld de integriteit de verwerking en de adequaatheid van de bescherming van persoonsgegevens kan aantonen. In algemene zin levert dit de volgende voordelen op:
Voor de verwerkingsverantwoordelijke:
- het ondersteunt het imago van de organisatie (betrouwbaar en vooruitstrevend);
- het biedt vertrouwen in een proces dat door klanten niet (goed) kan worden overzien;
- het verbetert te procesbeheersing m.b.t. de te certificeren verwerking;
- het verlaagt de risico m.b.t. de verwerking van persoonsgegevens;
- het verlaagt de kans op boetes door de AP;
- het biedt duidelijke plus bij aanbestedingen.
Daar bovenop geldt voor verwerkers:
- het ontzorgt opdrachtgevers omdat ze niet meer actief de performance van jouw verwerking hoeven te monitoren;
- het verlaagt de kosten van het zakendoen met jou als verwerker, omdat het controleren van de compliance wordt gereduceerd tot het jaarlijks controleren van certificaat.
Certificeren is vrijwillig. De AVG verplicht organisatie om aan te kunnen tonen dat zij aan de AVG voldoen (omgekeerde bewijslast), maar stelt geen eisen aan de wijze waarop organisaties dat doen. Certificering is een middel om dit te doen maar organisaties kunnen ook zelfstandig bewijzen verzamelen om hun compliance aan te tonen.
Ervan uitgaande dat de organisatie integer heeft gehandeld, zal een incident m.b.t. een gecertificeerde verwerking niet leiden tot een boete van de Autoriteit Persoonsgegevens. Een incident op zich is immers niet strafbaar; het niet naleven van de AVG is dat wel. Met een certificaat toont de organisatie aan alles gedaan te hebben wat redelijkerwijs van haar verwacht mag worden om aan de AVG te voldoen. Een boete kent dan geen grondslag meer.
Aan de andere kant, mocht de organisatie willens en wetens de AVG hebben overtreden terwijl zij gecertificeerd was, dan is de verwachting dat dit leidt tot een verhoging van de boete. De organisatie heeft dan immers de belanghebbenden misleid.
Het privacy landschap is nog volop in beweging. Vanuit jurisprudentie en guidelines wordt de betekenis van de AVG steeds verder aangescherpt. Dat dit bij tijd en wijle zal leiden tot wijzigingen in de BC 5701 staat wel vast. Het doel is echter om het uitbrengen van nieuwe versies tot een minimum te beperken.
De inzet van de BC 5701 heeft absoluut consequenties. Het levert aantoonbare AVG-compliance op vanuit eenduidig geborgde processen. Kijk je echter alleen naar het laatste aspect, bijvoorbeeld vanuit het perspectief van een organisatie die gewent was veel activiteiten spontaan uit te voeren, dan zal de toepassing van de BC 5701 op bepaalde onderdelen als stug/verstarrend worden ervaren. Men gaat dan echter wel voorbij aan het feit dat de organisatie voor de toepassing van de BC 5701 vrijwel zeker niet AVG-compliant was (de andere kant van de medaille). Het oordeel over het effect van de toepassing van de BC 5701 wordt dus in sterke mate bepaald door de bril waarmee het wordt bekeken.
De eisen van de BC 5701 zijn ten aanzien van alle onderwerpen op dezelfde manier opgebouwd.
- De doelstelling die de organisatie ten aanzien van een onderwerp moet behalen.
- De maatregelen die een organisatie moet nemen om het realiseren van de doelstelling te borgen.
Er zijn eisen die een algemeen karakter hebben, denk bijvoorbeeld aan het opzetten van beleid ten aanzien van een bepaald onderwerp, als ook een meer gedetailleerd karakter, zoals het loggen van bepaalde gegevens. In algemene zin vereist AVG-certificering preciezere eisen dan bijvoorbeeld ISO 27001 of andere managementsysteem-normen.
De AVG-certificeringsstandaard en -criteria BC 5701 is ontwikkeld door Brand Compliance en Piims Academy en in oktober 2021 ter goedkeuring voorgelegd aan de Autoriteit Persoonsgegevens (AP). Na een diepgaand onderzoek heeft de AP in juli 2022 een positief ontwerpbesluit genomen, waarna zij dit in het kader van het coherentiemechanisme heeft voorgelegd aan de EDPB. Vanuit het EDPB-proces heeft eerst een collegiale beoordeling plaatsgehad door de toezichthouders van Oostenrijk en Duitsland. Na deze collegiale beoordeling kregen alle Europese toezichthouders tijd om hun commentaar te geven op de BC 5701 en tenslotte heeft de EDPB in september 2023 een opinie gepubliceerd over de BC 5701. Iedere beoordelingsronde heeft geleidt aanpassingen van de standaard. Na de aanpassingen naar aanleiding van de opinie van de EDPB heeft de AP in oktober 2023 de BC 5701 goedgekeurd.
Zonder het vak van verandermanagement geweld aan te willen doen, lijkt een logische eerste stap om te verkennen of er binnen de organisatie een leidende coalitie gevormd kan worden met voorvechters voor het idee van certificering. Een aantal sleutelfunctionarissen moet daarvoor aan boord worden gehaald, met als belangrijkste de lijnmanager van de te certificeren verwerking(en). De argumenten om te willen/moeten certificeren zijn natuurlijk organisatiespecifiek, maar vermoedelijk bevinden ze zich in één of meer van de volgende hoeken:
- Imago uitbouwen als betrouwbare, kwalitatieve en vooruitstrevende organisatie
- Het herstellen van vertrouwen na incidenten / slechte pers
- Het bieden van vertrouwen in een complex proces
- Verbeteren van procesbeheersing
- Verlagen van risico’s (imago, boetes, klantverlies,..)
- Concurrentieel voordeel, bijvoorbeeld bij aanbestedingen
- Het ontzorgen van klanten (wegnemen het gedoe rond compliance controles)
- Het verlagen van de kosten van het zakendoen met de organisatie (compliance controle wordt gereduceerd tot jaarlijkse controle van het certificaat).
Als de website een noodzakelijk onderdeel uitmaakt van de te certificeren verwerking(en), bijvoorbeeld om betrokkenen over de verwerking te informeren, dan valt de website ook binnen de scope van de certificering en daarmee de inzet en het gebruik van cookies en vergelijkbare technieken.
Over de accreditatie
Een certificeringsmechanisme bestaat grofweg uit twee delen. Het eerste deel zijn de eisen waaraan een organisatie moet voldoen om voor een certificaat in aanmerking. Met de recente goedkeuring van de BC 5701 door de Autoriteit Persoonsgegevens is dit deel afgerond. Het tweede deel is een betrouwbaar certificatieproces door een certificerende instelling, waardoor buitenstaanders op het oordeel van de certificerende instelling mogen vertrouwen. Deze beoordeling van, en het toezicht op, de betrouwbaarheid van het certificeringsproces heet ‘accreditatie’ en wordt uitgevoerd door de Raad voor Accreditatie.
Nee, de BC 5701 is een zogenoemd ‘privaat schema’, wat betekent dat Brand Compliance de enige certificerende instellingen is en blijft voor de BC 5701.
Accreditatie is een zeer zorgvuldig proces dat geruime tijd in beslag neemt. De huidige inschatting is dat Brand Compliance medio 2024 accreditatie zal verkrijgen.
Over de implementatie
Er is op dit moment nog geen instaptoets beschikbaar. Wel zijn een aantal belangrijke aspecten te noemen waar je in ieder geval op moet letten wanneer je in wilt schatten of de organisatie klaar is om een certificeringsproject te starten:
- Er moet een duidelijk en gedragen doel zijn waaraan certificering een bijdrage levert; certificering kan je er niet ‘even naast doen’.
- Het relevante lijnmanagement moet commitment tonen en bereid zijn haar verantwoordelijkheid te nemen voor de verwerking en bescherming van persoonsgegevens; de verantwoordelijkheid voor AVG-compliance kan je niet beleggen bij een stafafdeling.
- De organisatie moet een redelijke mate van volwassenheid/professionaliteit hebben; de organisatie is in staat om planmatig haar doelen te realiseren en wordt niet geregeerd door ad-hoc initiatieven.
- De organisatie heeft al een ISMS draaien.
Heb je liever een expert-oordeel over de haalbaarheid binnen jouw organisatie, dan kan je ook een gap-analyse laten uitvoeren.
Op de downloadpagina kan je gratis de globale fasering van een BC 5701 implementatie downloaden. We willen daarbij benadrukken dat het succes van het project in hoge mate worden bepaald door de kwaliteit van de eerste twee projectfasen: initiëren en voorbereiden.
De inspanningen om de BC 5701 te implementeren zullen van organisatie tot organisatie verschillen. Factoren die hierop van invloed zijn, zijn onder meer het niveau van de huidige AVG-implementatie, de complexiteit en omvang van de te certificerende verwerkingen, de professionaliteit van de organisatie en de slagkracht van het implementatieteam. Houd voor een implementatieproject rekening met een doorlooptijd van 6 tot 12 maanden (zie de volgende vraag voor de doorlooptijd van het hele project).
De kosten van de implementatie houden sterk verband met de wijze waarop de implementatie georganiseerd wordt (intern of met externe ondersteuning). In algemene zin moet de organisatie rekening houden met kosten voor het opleiding van de projectteamleden (projectverantwoordelijke, projectleden, interne auditor(en) en de FG) en indien gewenst de kosten van externe implementatiebegeleiding. Daarnaast zijn er de organisatiespecifieke kosten van de nog te nemen technische en organisatorische maatregelen, die uit een gap-analyse naar voren komen.
Ervan uitgaande dat de organisatie al een ISMS operationeel heeft, kan je rekening houden met een doorlooptijd voor de implementatie van 6 tot 12 maanden, voor het aantonen van de juiste werking van de implementatie (het operationeel zijn) 3 maanden en voor de certificeringsaudit (fase 1+2) ook circa 3 maanden. Van start tot finish betekent dit een doorlooptijd van circa 12 tot 18 maanden.
Dit is niet alleen een voordeel, wij raden zelfs aan niet met de implementatie van de BC 5701 te beginnen voordat de organisatie een informatiebeveiligingsstandaard effectief heeft geïmplementeerd. De organisatie is daardoor al bekend is met het werken volgens een managementsysteem, waardoor de stap naar AVG-compliance minder groot wordt. Ook heeft de organisatie dan al veel technische en organisatorische beschermingsmaatregelen geïmplementeerd waardoor de totale projectomvang aanzienlijk wordt gereduceerd. Het voldoen aan een informatiebeveiligingsstandaard is daarnaast een voorwaarde voor certificering tegen de BC 5701.
Er bestaat in de markt wat verwarring over het begrip ‘managementsysteem’. De term wordt zowel gebruikt voor een manier van werken (volgens de PDCA-cyclus), als voor allerhande compliance ondersteunende software. In het kader van de BC 5701 wordt met een managementsysteem een manier van werken bedoeld. Of en, zo ja, hoe de organisatie dat ondersteunt met software, is aan de organisatie. Zolang het maar effectief is.
AVG-certificering is op meerdere onderdelen fundamenteel anders dan de meer bekende managementsysteemcertificeringen zoals ISO 27001 en ISO 9001. Zonder opleiding én zonder begeleiding schatten wij de kans op een certificeerbare implementatie laag in, met veel noodzakelijk rework en vertraging als gevolg. Zorg er ten minste voor dat de sleutelfunctionaris(sen) worden opgeleid m.b.t. de BC 5701. Afhankelijk van de complexiteit van de te certificeren verwerking(en) kan het efficiënt en effectief zijn om het projectteam te verrijken met externe kundigheid en ervaring.
Ook in het kader van de implementatie van de BC 5701 is het de taak van de FG om de organisatie gevraagd en ongevraagd te adviseren ten aanzien van de passende verwerking en bescherming van persoonsgegevens en toe te zien op de naleving van de AVG. Het is belangrijk dat de FG geen operationele / besluitvormende rol vervult m.b.t. de implementatie. Dit zou de objectiviteit van de FG aantasten.
Het antwoord op deze vraag hangt een beetje af van hetgeen je met de BC 5701 wilt gaan doen. Wil je de BC 5701 uitsluitend als intern reverentiekader gebruiken voor een aantoonbaar passende uitwerking van de AVG, dan kan je er direct mee aan de slag. Wil je de BC 5701 gebruiken om het officiële AVG-certificaat te behalen, dan raden we aan te starten met een opleiding. AVG-certificering wijkt namelijk op verschillende punten fundamenteel af van de meer bekende managementsysteem certificeringen zoal ISO 9001 en ISO 27001. Zonder opleiding is de kans groot dat je de uitgangspunten voor de certificering niet goed bepaalt, waardoor je tijdens de certificering tegen fundamentele problemen aanloopt. Het gevolg laat zich dan gemakkelijk raden: frustraties, veel rework, onnodige kosten en aanzienlijke projectvertraging.
De verantwoordelijkheid voor de certificering kan maar op één plaats worden belegd en dat is bij het management dat verantwoordelijk is voor de te certificeren verwerking(en). De passende bescherming van persoonsgegevens is immers een kwaliteitsaspect van het primaire proces. De verantwoordelijk daarvoor en het praktisch toezicht daarop, kan alleen effectief in het primaire proces worden geborgd. Het lijnmanagement moet daarbij ondersteund worden vanuit stafdiensten zoals de Privacy Officer, CISO, Risk, etc.
Om te kunnen certificering moet de organisatie m.b.t. de scope van de certificering een managementsysteem operationeel hebben. Met een managementsysteem wordt binnen de BC 5701 een manier van werken bedoeld; een geïntegreerde PDCA-cyclus. Deze manier van werken geldt ook bij andere normen als eis. Het lijkt logisch om geen verzuilde benadering te kiezen, maar om de verschillende normen te integreren tot één manier van werken c.q. één managementsysteem. Binnen de BC 5701 wordt expres niet gesproken over een privacy managementsysteem, omdat dit de indruk kan wekken dat het iets anders is dan bijvoorbeeld een Quality Management System (QMS) of een Information Security Management System (ISMS). Het is dezelfde manier van werken, toegepast binnen een ander domein.
De belangrijkste functionaris is de lijnmanager die verantwoordelijk is voor de te certificering verwerkingen. Solide commitment en actieve ondersteuning van deze functionaris is een absolute vereiste. Daarnaast zijn key functionarissen van betrokken afdelingen nodig, waaronder HR, de Privacy Officer en de CISO. Afhankelijk van de functies binnen de organisatie kan je ook denken aan Risk, Compliance en Interne Audit. Belangrijk is dat de FG geen operationele rol vervult m.b.t. de implementatie. Dat zou de onafhankelijke van de FG aantasten. Tot slot is het altijd een goed idee om een projectmanager aan te stellen die geen operationele relatie heeft met de te certificeren verwerking, teneinde rolconflicten gedurende het project te voorkomen.
Over de certificering
De BC 5701 is een zogenoemd ‘privaat schema’. Dit betekent dat alleen Brand Compliance de AVG certificaten op basis van de BC 5701 mag uitgeven.
Een certificaat is drie jaar geldig, mits bij voortduring aan de relevante eisen wordt voldaan. Dit wordt onder meer getoetst door twee tussentijdse audits, eind jaar 1 en eind jaar 2. Aan het einde van de certificeringsperiode kan de organisatie kiezen voor hercertificering, waarna de cyclus opnieuw begint.
Het certificeringsproces begint met de aanmelding voor certificering bij Brand Compliance (BC). BC beoordeelt de certificeerbaarheid van de aanvraag en maakt een inschatting van de benodigde expertise. In deze fase wordt ook een inschatting gemaakt van de benodigde audittijd, wordt een globale planning gemaakt en worden de gemaakte afspraken vastgelegd.
De certificeringsaudit zelf bestaat uit twee fasen. In de eerste fase wordt met name aandacht besteed aan aspecten van rechtmatigheid, de werking van het managementsysteem en de opzet van een aantal wezenlijke maatregelen. Na deze fase wordt tijd ingepland om de organisatie in de gelegenheid te stellen eventuele afwijkingen en/of fouten te corrigeren.
In de tweede fase ligt de nadruk op het beoordelen van de juiste uitvoering van de AVG en de juiste implementatie en uitvoering van de voorgeschreven technische en organisatorische maatregelen. Ook na de tweede fase audit krijgt de organisatie de gelegenheid om geconstateerde afwijkingen en/of fouten te herstellen. Na een succesvolle herbeoordeling van eventuele verbeteringen wordt de aanvraag voorgedragen voor certificering. De certificeringscommissie beoordeelt of aan alle voorwaarden voor certificering is voldaan en neemt een certificeringsbesluit.
De certificeringsaudit bestaat uit twee fasen. Na de fase één, waarin met name gekeken worden naar aspecten van rechtmatigheid, het managementsysteem en de opzet van een aantal wezenlijke eisen, krijgen organisaties de gelegenheid om eventueel geconstateerde fouten en afwijkingen op te lossen. Daarna wordt fase twee van de audit uitgevoerd waarvoor ook weer een herstelperiode zal gelden. Ervan uitgaande dat er geen fundamentele tekortkoming aan het licht komen, heeft de totale audit een doorlooptijd van circa drie maanden.
De certificeringsaudits worden uitgevoerd door een auditteam waarin tenminste drie disciplines vertegenwoordigd zijn: een juridisch auditor, een technisch audit en een lead auditor. Afhankelijk van de aard van de te certificeren verwerking kan het auditteam worden uitgebreid met specialisten.
Als onderdeel van het managementsysteem moet de organisatie self-assessments uitvoeren om te beoordelen of zij haar eigen verwerkings- en beschermingsdoelen behaalt. Een dergelijk self-assessment kan niet in de plaats treden van de tussentijdse audit van Brand compliance. Het hele idee achter certificering is een objectieve en betrouwbare vaststelling van de kwaliteit van iets. Een self-assessment staat op gespannen voet met deze eisen (“Wij van WC-eend adviseren WC-eend.”)
Als onderdeel van de eisen van de BC 5701 moet de organisatie een verklaring van toepasselijkheid maken. Hiermee geeft de organisatie ten aanzien van alle eisen van de standaard aan of en, zo ja, hoe de organisatie aan de eis heeft voldaan, of waarom de organisatie er niet aan heeft voldaan. Met de verklaring van toepasselijkheid heeft de organisatie een beeld van de compleetheid van de implementatie. Wil de organisatie ook een beeld hebben van de adequaatheid van de implementatie, dan kan zij een pre-audit laten uitvoeren.
De benodigde tijd voor een certificatieaudit is van veel factoren afhankelijk. Denk hierbij aan de omvang en complexiteit van de verwerking, de aan de verwerking verbonden risico’s voor de betrokkenen, de omvang en complexiteit van de organisatie, verzwarende verwerkingsaspecten zoals geautomatiseerde besluitvorming, etc. Aan de onderkant van het spectrum moet je rekening houden met circa 10-15 auditdagen, verdeeld over een juridische auditor, een technische auditor en een organisatorische auditor. De tussentijdse audits kosten ongeveer 50% van de tijd van een initiële certificeringsaudit en een hercertificering ongeveer 70% van de initiële audittijd.
De AP heeft geen operationele rol in de certificering. Wel moeten alle aanvragen voor certificering door de certificerende instelling worden aangemeld bij de AP. Daarnaast heeft de AP de bevoegdheid om de certificerende instelling te gelasten een certificaat in te trekken. Dit kan bijvoorbeeld gebeuren wanneer de AP, n.a.v. een klacht of een incident, misbruik of misleiding m.b.t. een certificaat heeft geconstateerd.
Een organisatie komt in aanmerking voor certificering wanneer het voldoet aan alle toepasselijke eisen van de AVG Certificeringsstandaard en -criteria BC 5701. Het aanvragen van een certificeringsaudit kan zodra de organisatie een idee heeft wanneer zij het implementatietraject verwacht af te ronden. Geadviseerd wordt om niet te wachten met het aanvragen van een certificatieaudit tot de implementatie helemaal is afgerond, aangezien het inplannen van een audit de nodige planning en afstemming vraagt.
Er zijn meerdere manieren waarop de continuïteit AVG-compliance wordt geborgd.
Ten eerste moet de organisatie vanuit de BC 5701 maatregelen nemen om veranderingen in de context van de certificering in overeenstemming met de AVG en de BC 5701 te implementeren. De kwaliteit van deze maatregelen wordt beoordeeld tijdens de certificeringsaudits.
Ten tweede voert de certificerende instelling jaarlijks audits uit, waarbij met name gekeken worden naar de wijze waarop de organisatie met veranderingen is omgegaan.
Ten derde zijn gecertificeerde organisaties contractueel verplicht om incidenten en wijzigingen m.b.t. de gecertificeerde verwerkingen te melden bij de certificerende instelling. De certificerende instelling bepaalt vervolgens of zij een tussentijdse audit noodzakelijk acht of niet.
Ten vierde wordt vanuit de certificerende instelling beoordeeld of zich ontwikkelingen voordoen m.b.t. wet- en regelgeving die de aanpassing van de certificeringseisen rechtvaardigen. Na goedkeuring door de AP worden de gewijzigde eisen verplicht gesteld om de certificering te kunnen continueren.
Last but not least kijkt de Autoriteit Persoonsgegevens in het kader van klachten en incidentmeldingen ook naar de certificeringsstatus van een organisatie en kan besluiten zelf onderzoek te doen of een melding te maken bij de certificerende instelling
Het is een voorwaarde de organisatie zich aantoonbaar conformeert aan een gerenommeerde standaard voor informatiebeveiliging. Conformiteit kan de organisatie bijvoorbeeld aantonen d.m.v. een onder accreditatie verstrekt certificaat. Kan de organisatie haar conformiteit niet aantonen, dan wordt een conformiteitsbeoordeling (audit) van de informatiebeveiligingsstandaard toegevoegd aan de certificeringsaudit voor de BC 5701.
Als je het niet eens bent met het oordeel van een auditor, dan kan je daarover een klacht indienen bij de certificerende instelling. Klachten worden onafhankelijk afgehandeld; zie hiervoor de klachtenprocedure op de website van Brand Compliance. Het uiteindelijke oordeel van de certificerende instelling is doorslaggevend bij het toekennen, afwijzen of intrekken van een certificaat.
Over andere normen en standaarden
Er zijn op dit moment, naast de BC 5701, nog drie certificeringsmechanismen goedgekeurd: GDPR CARPA, Europrise en Europrivacy. GDPR CARPA kan alleen in Luxemburg worden gecertificeerd en Europrise alleen in Duitsland voor ICT verwerkers. Dit betekent dat Nederlandse organisaties die een AVG-certificaat willen behalen moeten kiezen tussen de BC 5701 en Europrivacy. Een globale vergelijking tussen beide vindt je op de download pagina.
De genoemde frameworks voldoen geen van allen aan de eisen om door te kunnen gaan voor AVG-certificaat, om één of meerdere van de volgende redenen:
- Het geen productcertificering is (gebaseerd op ISO 17065), zoals vereist in de AVG;
- Er geen / onvoldoende link is met het verwerkingsproces;
- De eisen van de AVG worden niet afdoende worden afgedekt;
- De belangen van de organisatie centraal staan i.p.v. de belangen van de betrokkenen;
- De kwaliteit van het beoordelingsproces onvoldoende is geborgd;
- De criteria niet zijn goedgekeurd door de Autoriteit Persoonsgegevens.
De frameworks kunnen als intern hulpmiddel worden gebruikt, maar zijn niet geschikt om de AVG-compliance naar de buitenwereld mee aan te tonen.
In de BC 5701 staan geen technische beschermingsmaatregelen genoemd. Hiervoor wordt aangesloten bij bestaande informatiebeveiligingsstandaarden. De genoemde standaarden zijn dus complementair aan de BC 5701; ze kunnen gebruikt worden voor het aantonen van passende technische en organisatorische maatregelen m.b.t. de beschermingsrisico’s van de te certificeren verwerkingen (artikel 24 AVG).
Nee, dat kan niet. De AP heeft ervoor gekozen om het ontwikkelen en exploiteren van AVG-certificeringsmechanismen in Nederland over te laten aan marktpartijen.