About the BC 5701

Approval means that the EDPB, and therefore all European Supervisory Authorities, consider that an organisation’s use of the BC 5701 results in a demonstrably adequate application of the GDPR. In other words, the BC 5701 can be used by organisations to demonstrate their compliance with the GDPR.

The fact that the BC 5701 is a European privacy seal means that it can be used by all organisations based in the EEA to certify their processing of personal data. It’s not necessary that any outsourced sub-processing also takes place in the EEA.

BC 5701 can be applied by organisations in their role as controller or processor of personal data, regardless of the type of organisation (large or small, business or government, profit or non-profit) and regardless of the type of processing carried out.

It is only possible to certify processing operations. It’s not possible to certify products, services and/or organisations.

Yes, they can. Since ‘sub-processor’ is not a property of the processing organisation (its role is determined by the role of the client), sub-processors are certified as processors.

To be eligible for BC 5701 certification, the organisation must meet the requirements of the ‘GDPR Certification Standard and Criteria BC 5701’ (available for purchase at brandcompliance.com and included with every Piims Academy training course) in relation to the process(es) to be certified.

As part of the BC 5701, the organisation must comply with:

  • All personal data processing and protection requirements in addition to the GDPR and BC 5701 from other laws and regulations, applicable contracts and its own internal business requirements;
  • An ISMS that can be certified under accreditation.

No, the criteria are generic. However, it does differ from one organisation to another which criteria apply and what the application of the criteria looks like. For example, the elaboration of the additional laws and regulations for government organisations will in many cases be more extensive than for business.

The requirements of BC 5701 do not only relate to the processing to be certified. The requirements also relate to the more general requirements of the GDPR, such as the DPO and records of processing activities. In addition, the BC 5701 contains requirements relating to aspects of the organisation that affect the processing to be certified. These could include organisational, ICT, HR, risk management and other aspects of the organisation.

Yes, an organisation determines the process(es) to which it wishes to apply the BC 5701. However, there are requirements regarding the scope to ensure that a certificate is not misleading.

Yes, an organisation can extend the scope of its certification at any time. This means that any changes/additions resulting from this extension will be subject to additional assessment.

Yes, Brand Compliance is required to create an (online) register where anyone can see which organisation is certified for which processing.

Yes! A processor’s certificate demonstrates that the processor complies with the GDPR in relation to a specific processing operation, and with any contractual requirements imposed on the processor by controllers or clients in relation to the processing operation. This presupposes that the certificate relates to the outsourced processing and that the outsourcing controller has imposed appropriate requirements on the processor.

No, a BC 5701 certificate does not guarantee 100% GDPR compliance. This is not the intention of the legislation. The certificate shows that the organisation has done everything it can reasonably be expected to do to comply with the GDPR.

On the one hand, the BC 5701 contains requirements for demonstrating adequate elaboration and consistent application of the GDPR in the context of certification. On the other hand, the BC 5701 also simply clarifies what responsible application of the GDPR means. In doing so, it gives hands and feet to the abstract concept of demonstrability in the GDPR. It’s a benchmark that any organisation can use. It objectifies the requirements for GDPR implementation and provides an objective and recognised framework against which GDPR compliance can be assessed, whether you want to certify or not.

Yes, it is! Although the official name is ‘European Data Protection Seal’, commonly known as the EU Privacy Seal.

The value of an official GDPR certificate is that the organisation can conclusively demonstrate to the outside world the integrity of its processing and the adequacy of its protection of personal data. In general terms, this provides the following benefits:

For the controller:

  • It supports the image of the organisation (reliable and progressive);
  • It provides confidence in a process that cannot be (properly) overseen by customers;
  • It improves the organisation’s control over the processing to be certified;
  • It reduces the risk associated with the processing of personal data;
  • It reduces the risk of fines by Supervisory Authorities;
  • It offers a clear advantage in tenders.

In addition, for processors:

  • It reduces the burden on customers by removing the need to actively monitor the performance of your processing;
  • It reduces the cost of doing business with you as a processor by reducing compliance checks to annual certificate reviews.

Certification is voluntary. The GDPR requires organisations to be able to demonstrate their compliance with the GDPR (accountability), but does not impose requirements on how organisations do this. Certification is one way of doing this, but organisations can also independently gather evidence to demonstrate their compliance.

Provided the organisation has acted with integrity, an incident involving certified processing will not result in a fine from the Supervisory Authorities. After all, an incident in itself is not a breach of the law, but non-compliance with the GDPR is. With a certificate, the organisation demonstrates that it has done everything it can reasonably be expected to do to comply with the GDPR. A fine then has no basis.

On the other hand, if the organisation had knowingly breached the GDPR while it was certified, this is likely to lead to an increase in the fine. After all, the organisation would have misled its stakeholders.

The data protection landscape is still in flux. Case law and guidance are constantly tightening the meaning of the GDPR. It is likely that this will result in changes to BC 5701 from time to time. However, the aim is to keep the release of new versions to a minimum.

Using the BC 5701 has a definite impact. It delivers demonstrable GDPR compliance from unambiguously secured processes. However, if you only look at the latter aspect, for example from the perspective of an organisation accustomed to performing many activities on the fly, the BC 5701 application will be perceived as rigid in certain areas. However, this ignores the fact that the organisation was almost certainly not GDPR compliant prior to the application of BC 5701 (the other side of the coin). The judgement of the impact of the application of BC 5701 is therefore largely determined by the lens through which it is viewed.

The requirements of BC 5701 are structured in the same way for all topics.

  • The objective to be achieved by the organisation in relation to a topic.
  • The measures that an organisation must take to ensure that the objective is achieved.

There are requirements of a general nature, such as establishing a policy on a particular topic, and requirements of a more detailed nature, such as logging certain data. In a general sense, GDPR certification requires more precise requirements than, for example, ISO 27001 or other management system standards.

A logical first step is to see if there are any champions within the organisation for the idea of certification. The most important person here is the manager responsible for the process(es) to be certified. The arguments for wanting/needing certification are of course organisation specific, but are likely to be in one or more of the following areas:

  • Building an image as a reliable, quality and progressive organisation;
  • Restoring confidence after incidents/bad press;
  • Providing confidence in a complex process;
  • Improving process control;
  • Reducing risks (image, fines, loss of customers,…);
  • Competitive advantage, e.g. in tenders;
  • Unburdening customers (remove the hassle of compliance audits);
  • Reducing the cost of doing business with the organisation (compliance audit reduced to annual certificate audit).

If the website is a necessary part of the processing operation(s) to be certified, for example to inform data subjects about the processing, then the website will also fall within the scope of the certification and therefore the use of cookies and similar techniques.

About Accreditation

A certification mechanism consists of roughly two parts. The first part consists of the requirements that an organisation must meet to qualify for a certificate. The recent approval of BC 5701 by the EDPB completes this part. The second part is a reliable certification process by a certification body that allows outsiders to trust the certification body’s judgement. This assessment of the reliability of the certification process is called ‘accreditation’ and is carried out by the Dutch Accreditation Council.

No, the BC 5701 is a so-called ‘private scheme’, meaning that Brand Compliance is and remains the sole certifying bodies for the BC 5701.

Accreditation is a very careful process that takes some time. The current expectation is that Brand Compliance will be provisionally accredited to the Dutch standard in early 2025, after which it can apply for accreditation to extend to the EU standard. This is expected to take place during 2025.

About Implementation

Any organisation can start with BC 5701 to improve its GDPR compliance. Your organisation is ready for a certification process if you can answer the following questions positively:

  • Is there a clear and supported objective to which certification will contribute?
  • Is the management committed and willing to take responsibility for the processing and protection of personal data? You cannot place the responsibility for the GDPR compliance on a staff department.
  • Does the organisation have an appropriate level of maturity/professionalism? The organisation is able to achieve its goals in a planned manner and is not driven by ad hoc initiatives.
  • Does the organisation already have an operational ISMS?

The BC 5701 Lead Implementor course teaches you exactly how to approach BC 5701 implementation and what to look out for.

The effort required to implement BC 5701 can vary greatly from one organisation to another. If you are considering certification, get advice and start with a no-obligation consultation with Brand Compliance or one of the professionals on the BC 5701 Professionals Register.

Assuming that the organisation already has an ISMS in place, you can expect a lead time of 6 to 12 months for implementation, 3 months for demonstrating that the implementation is working properly (being operational) and about 3 months for the certification audit (phase 1+2). From start to finish, this means a lead time of around 12 to 18 months.

Not only is this an advantage, but we do not even recommend starting BC 5701 implementation until the organisation has an ISMS in place. As a result, the organisation will already be familiar with operating under a management system, making the step towards GDPR compliance less significant. In addition, the organisation will already have many technical and organisational measures in place by then, significantly reducing the overall scope of the project. In addition, compliance with a certifiable ISMS is a prerequisite for certification to BC 5701.

There is some confusion in the market about the term ‘management system’. The term is used both for a way of working (following the PDCA cycle) and for all sorts of compliance support software. In the context of BC 5701, a management system refers to a way of working. Whether and how the organisation supports this with software is up to the organisation. As long as it is effective.

GDPR certification is fundamentally different in several ways from the more familiar management system certifications, such as ISO 27001 and ISO 9001. Without training and guidance, the likelihood of a certifiable implementation is low, resulting in a lot of unnecessary rework and delays. Provide training for the team or hire appropriately trained external consultants. Candidates can be found in the Professionals Register on this website.

In the context of the implementation of BC 5701, the role of the DPO is to advise the organisation, solicited and unsolicited, on the appropriate processing and protection of personal data and to monitor compliance with the GDPR. It is important that the DPO does not have an operational/decision making role in relation to implementation. This would compromise the objectivity of the DPO.

The answer to this question depends somewhat on what you intend to do with the BC 5701. If you just want to use the BC 5701 as an internal framework for a demonstrably appropriate application of the GDPR, you can start using it immediately. However, if you wish to obtain the official EU Privacy Seal, we recommend that you start with training. This is because GDPR certification is fundamentally different in a number of ways from more familiar management system certifications, such as ISO 9001 and ISO 27001. Without training, there is a good chance that the starting points for certification will not be properly defined. The results will be obvious: frustration, rework, unnecessary costs and significant project delays.

The responsibility for certification can only be placed on the management responsible for the processing to be certified. This is because adequate protection of personal data is a quality aspect of the primary process. Responsibility for it and its practical supervision can only be effectively ensured in the primary process. Management needs to be supported by staff such as the Privacy Officer, CISO, Risk, etc.

To achieve certification, the organisation must have an operational management system for the scope of certification. Within BC 5701, a management system means a way of working; an integrated PDCA cycle. This way of working is also a requirement of other standards. It seems logical not to take a compartmentalised approach but to integrate the different standards into one way of working or management system. Within BC 5701, there is deliberately no mention of a Privacy Information Management System (PIMS), as this could give the impression that it is something different from, for example, a Quality Management System (QMS) or an Information Security Management System (ISMS). It is the same way of working applied to a different domain.

The most important officer is the line manager responsible for the processing operations to be certified. The firm commitment and active support of this officer is essential. In addition, key officers from relevant departments will be needed, such as the Privacy Officer, CISO, HR, Procurement. Depending on the functions within the organisation, risk, compliance and internal audit may also be considered. It is important that the DPO does not have an operational role in the implementation. This would compromise the DPO’s independence. Finally, it is always a good idea to appoint a project manager who has no operational relationship with the process to be certified, to avoid role conflicts during the project.

About certification

The BC 5701 is a ‘private scheme’. This means that only Brand Compliance can issue certificates based on the BC 5701.

A certificate is valid for three years, provided that the relevant requirements continue to be met. This is verified by two interim audits, one at the end of year 1 and one at the end of year 2. At the end of the certification period, the organisation can choose to be re-certified, at which point the cycle starts again.

The certification process begins with an application for certification to Brand Compliance (BC). BC assesses the certifiability of the application and estimates the expertise required. At this stage, an estimate of the time required for the audit is made, an overall schedule is drawn up and agreements are drawn up.

The certification audit itself is divided into two phases. The first phase focuses on aspects of legitimacy, the operation of the management system and the design of a number of key measures. After this phase, time is allowed for the organisation to correct any non-conformities and/or faults.

The second phase focuses on assessing the correct implementation of the GDPR, as well as the correct implementation and execution of the prescribed technical and organisational measures. Also after the second phase audit, the organisation is given the opportunity to correct any non-conformities and/or faults found. After successful reassessment of any improvements, the application is nominated for certification. The Certification Committee assesses whether all conditions for certification are met and makes a decision on certification. 

The certification/registration audit consists of two phases. After phase one, which focuses on aspects of legality, the management system and the design of a number of substantive requirements, organisations are given the opportunity to correct any non-conformities found. This is followed by phase two of the audit, for which there is again a recovery period. Assuming no significant deficiencies are found, the entire audit will take approximately three months to complete.

Certification audits are conducted by an audit team comprising at least three disciplines: a legal auditor, a technical auditor and a lead auditor. Depending on the nature of the processing to be certified, the audit team may be extended to include specialists.

As part of the management system, the organisation should conduct self-assessments to evaluate whether it is meeting its own processing and data protection objectives. Such self-assessment is not a substitute for the Brand Compliance Interim Audit. The whole idea of certification is an independent and reliable determination of the quality of something. Self-assessment is at odds with these requirements.

As part of the requirements of BC 5701, the organisation shall make a statement of applicability. This is where the organisation states for each requirement of the standard whether and, if so, how the organisation has met the requirement, or why the organisation has not met the requirement. The statement of applicability provides the organisation with a picture of the completeness of implementation. If the organisation also wants some assurance on the adequacy of the implementation, it can have a pre-audit carried out.

The time required for a certification audit will depend on many factors. Consider the size and complexity of the processing, the risks associated with the processing for the data subjects, the size and complexity of the organisation, complicating aspects of the processing such as automated decision making, etc. At the lower end of the spectrum, you should expect about 10 audit days, split between a legal auditor, a technical auditor and an organisational auditor. Interim audits take about 50% of the time of an initial certification audit and recertification audits take about 70% of the time of an initial audit.

SAs have no operational role in certification. However, all applications for certification must be notified to the SA by the certification body. In addition, the SAs concerned have the power to order the certification body to revoke a certificate. This can happen, for example, if a SA has found abuse or deception related to a certificate, following a complaint or an incident.

An organisation is eligible for certification if it meets all applicable requirements of the GDPR certification standard and criteria BC 5701. An application for a certification audit can be made as soon as the organisation has an idea of when it expects to complete the implementation process. It is recommended not to wait until the implementation is fully complete to request a certification audit, as scheduling an audit requires planning and coordination.

There are several ways in which continuity GDPR compliance is ensured.

First, based on the BC 5701, the organisation must take measures to implement changes in the context of certification in accordance with the GDPR and the BC 5701. The quality of these measures is assessed during certification audits.

Secondly, the certification body conducts annual audits, looking in particular at how the organisation has managed change.

Thirdly, certified organisations are contractually obliged to report incidents and changes related to the certified processing operations to the certification body. The certification body then determines whether or not it considers an interim audit to be necessary.

Fourthly, the certification body shall assess whether there are any developments in legislation and regulations that justify amending the certification requirements. After approval by the EDPB, the amended requirements are made mandatory in order to continue certification.

Last but not least, in the context of complaints and incident reports, the Supervisory Authorities also look at the organisation’s certification status and may decide to investigate or make a report to the certification body.

A requirement is that the organisation can demonstrate compliance with a certifiable Information Security Management System (ISMS). This could be, for example, ISO 27001, but is not mandatory.

If you disagree with an auditor’s opinion, you can lodge a complaint with the certification body. Complaints are handled independently; please refer to the complaints procedure on the Brand Compliance website. The final decision to award, refuse or withdraw a certificate is made by the certification body.

About Other Norms and Standards

Virtually none of the frameworks available on the market meet the requirements for an official GDPR certificate, for one or more of the following reasons:

  • It is not a process certification (based on ISO 17065) as required by the GDPR;
  • There is no/insufficient link to the processing operation;
  • The requirements of the GDPR are not adequately covered;
  • The focus is on the interests of the organisation rather than those of the data subjects;
  • The quality of the assessment process is insufficiently assured;
  • The criteria are not approved by the EDPB.

Official certification mechanisms are listed in the EDPB’s Register of certification mechanisms, seals and marks.

Over de BC 5701

De goedkeuring betekent dat de AP, en de overige Europese toezichthouders, van mening zijn dat toepassing van de BC 5701 door organisatie leidt tot een aantoonbaar passende uitwerking van de AVG. Met andere woorden: de BC 5701 kan door organisaties gebruikt worden om hun AVG-compliance aan te tonen.

Dat de BC 5701 een nationaal certificeringsmechanisme is houdt in dat het kan worden gebruikt voor de certificering van verwerkingen die onder de jurisdictie van de Autoriteit Persoonsgegevens vallen. Dit zijn verwerkingen die in Nederland plaatsvinden, door organisaties die in Nederland hun hoofdvestiging hebben, ten behoeve van betrokkenen die zich (ten minste) in Nederland bevinden. Het is niet noodzakelijk dat ook de eventueel uitbestede subverwerkingen in Nederland plaatsvinden.

De BC 5701 kan worden toegepast door organisaties vanuit van hun rol als (gezamenlijke) verwerkingsverantwoordelijke of verwerker ten aanzien van de verwerking van persoonsgegevens, ongeacht het type organisatie (groot en klein, bedrijfsleven en overheden, profit en non-profit) en ongeacht het type verwerking dat wordt uitgevoerd.

Het is uitsluitend mogelijk om verwerkingen te certificeren. Het is dus niet mogelijk om producten, diensten en/of organisaties te certificeren.

Ja, dat kan. Aangezien een subverwerker geen bestendige rol is (wordt bepaald door de rol van de opdrachtgever), worden subverwerkers gecertificeerd als in de hoedanigheid van verwerker.

Om in aanmerking te komen voor een BC 5701 certificaat moet de organisatie, met betrekking tot de te certificering verwerking(en), voldoen aan de eisen uit de ‘AVG certificeringsstandaard en -criteria BC 5701’ (te koop op brandcompliance.com en inbegrepen bij iedere opleiding van Piims Academy).

Als onderdeel van de BC 5701 moet de organisatie voldoen aan:

  • alle eisen die naast de AVG en de BC 5701 aan de verwerking en bescherming van persoonsgegevens worden gesteld vanuit andere wet- en regelgeving, de van toepassing zijnde contracten en de eigen interne bedrijfseisen;
  • een gerenommeerde standaard voor informatiebeveiliging.

Nee, de criteria zijn generiek opgesteld. Wel verschilt het van organisatie tot organisatie welke criteria van toepassing zijn en hoe de uitwerking van de criteria eruit ziet. Zo zal bijvoorbeeld de uitwerking van de aanvullende wet- en regelgeving voor overheidsorganisaties in veel gevallen uitgebreider zijn dan voor het bedrijfsleven.

De eisen van de BC 5701 hebben niet alleen betrekking op de verwerking die gecertificeerd wordt. De eisen hebben ook betrekking op de meer algemene eisen van de AVG, zoals bijvoorbeeld de FG en het register van verwerkingsactiviteiten. Daarnaast bevat de BC 5701 eisen ten aanzien van aspecten van de organisatie die van invloed zijn op de te certificeren verwerking(en). Hierbij kan je denken aan organisatie-, ICT- en HR-aspecten, risicomanagement en het managementsysteem.

Ja, een organisatie bepaalt zelf de verwerking(en) waarop zij de BC 5701 wil toepassen. Wel is het zo dat ten aanzien van de scope eisen gelden om te borgen dat een certificaat niet misleidend is.

Ja, een organisatie kan de scope van haar certificering op ieder gewenst moment uitbreiden. Dit betekent dat alle veranderingen/toevoegingen die deze uitbreiding tot gevolg heeft, aanvullend geauditeerd worden.

Ja, Brand Compliance zal een (online) register aanleggen waarin iedereen kan raadplegen welke organisatie ten aanzien van welke verwerking(en) gecertificeerd zijn.

Ja! Het certificaat van een verwerker toont aan dat de verwerker ten aanzien van een bepaalde verwerking aan de AVG voldoet én voldoet aan alle contractuele eisen die door verwerkingsverantwoordelijken c.q. opdrachtgevers m.b.t. de verwerking aan de verwerker zijn gesteld. Hierbij gaan we er wel vanuit dat het certificaat betrekking heeft op de uitbestede verwerking en dat de uitbestedende verwerkingsverantwoordelijke passende eisen aan de verwerker heeft gesteld.

Nee, een AVG-certificaat garandeert geen 100% AVG-compliance. Dat is ook niet wat de wetgever heeft beoogt met de certificering. Het certificaat toont aan dat de organisatie alles heeft gedaan wat redelijkerwijs van haar verwacht mag worden om aan de AVG te voldoen.

De BC 5701 bevat eisen voor het aantoonbaar passend uitwerken van de AVG in het kader van certificering. Aan de andere kant maakt de BC 5701 ook gewoon helder wat het ‘aantoonbaar passend uitwerking van de AVG’ inhoudt. Daarmee geeft het handen en voeten aan het abstracte begrip aantoonbaarheid in de AVG. Er is nu een benchmark die door iedere organisatie te gebruiken is. Het objectiveert de eisen aan de AVG implementatie en biedt een objectief en goedgekeurd kader om AVG-compliance tegen te beoordelen ongeacht of je wilt certificeren of niet.

De waarde van een officieel AVG-certificaat is dat de organisatie onomstotelijk aan de buitenwereld de integriteit de verwerking en de adequaatheid van de bescherming van persoonsgegevens kan aantonen. In algemene zin levert dit de volgende voordelen op:

Voor de verwerkingsverantwoordelijke:

  • het ondersteunt het imago van de organisatie (betrouwbaar en vooruitstrevend);
  • het biedt vertrouwen in een proces dat door klanten niet (goed) kan worden overzien;
  • het verbetert te procesbeheersing m.b.t. de te certificeren verwerking;
  • het verlaagt de risico m.b.t. de verwerking van persoonsgegevens;
  • het verlaagt de kans op boetes door de AP;
  • het biedt duidelijke plus bij aanbestedingen.

Daar bovenop geldt voor verwerkers:

  • het ontzorgt opdrachtgevers omdat ze niet meer actief de performance van jouw verwerking hoeven te monitoren;
  • het verlaagt de kosten van het zakendoen met jou als verwerker, omdat het controleren van de compliance wordt gereduceerd tot het jaarlijks controleren van certificaat.

Certificeren is vrijwillig. De AVG verplicht organisatie om aan te kunnen tonen dat zij aan de AVG voldoen (omgekeerde bewijslast), maar stelt geen eisen aan de wijze waarop organisaties dat doen. Certificering is een middel om dit te doen maar organisaties kunnen ook zelfstandig bewijzen verzamelen om hun compliance aan te tonen.

Ervan uitgaande dat de organisatie integer heeft gehandeld, zal een incident m.b.t. een gecertificeerde verwerking niet leiden tot een boete van de Autoriteit Persoonsgegevens. Een incident op zich is immers niet strafbaar; het niet naleven van de AVG is dat wel. Met een certificaat toont de organisatie aan alles gedaan te hebben wat redelijkerwijs van haar verwacht mag worden om aan de AVG te voldoen. Een boete kent dan geen grondslag meer.

Aan de andere kant, mocht de organisatie willens en wetens de AVG hebben overtreden terwijl zij gecertificeerd was, dan is de verwachting dat dit leidt tot een verhoging van de boete. De organisatie heeft dan immers de belanghebbenden misleid.

Het privacy landschap is nog volop in beweging. Vanuit jurisprudentie en guidelines wordt de betekenis van de AVG steeds verder aangescherpt. Dat dit bij tijd en wijle zal leiden tot wijzigingen in de BC 5701 staat wel vast. Het doel is echter om het uitbrengen van nieuwe versies tot een minimum te beperken.

De inzet van de BC 5701 heeft absoluut consequenties. Het levert aantoonbare AVG-compliance op vanuit eenduidig geborgde processen. Kijk je echter alleen naar het laatste aspect, bijvoorbeeld vanuit het perspectief van een organisatie die gewent was veel activiteiten spontaan uit te voeren, dan zal de toepassing van de BC 5701 op bepaalde onderdelen als stug/verstarrend worden ervaren. Men gaat dan echter wel voorbij aan het feit dat de organisatie voor de toepassing van de BC 5701 vrijwel zeker niet AVG-compliant was (de andere kant van de medaille). Het oordeel over het effect van de toepassing van de BC 5701 wordt dus in sterke mate bepaald door de bril waarmee het wordt bekeken.

De eisen van de BC 5701 zijn ten aanzien van alle onderwerpen op dezelfde manier opgebouwd.

  • De doelstelling die de organisatie ten aanzien van een onderwerp moet behalen.
  • De maatregelen die een organisatie moet nemen om het realiseren van de doelstelling te borgen.

Er zijn eisen die een algemeen karakter hebben, denk bijvoorbeeld aan het opzetten van beleid ten aanzien van een bepaald onderwerp, als ook een meer gedetailleerd karakter, zoals het loggen van bepaalde gegevens. In algemene zin vereist AVG-certificering preciezere eisen dan bijvoorbeeld ISO 27001 of andere managementsysteem-normen.

De AVG-certificeringsstandaard en -criteria BC 5701 is ontwikkeld door Brand Compliance en Piims Academy en in oktober 2021 ter goedkeuring voorgelegd aan de Autoriteit Persoonsgegevens (AP). Na een diepgaand onderzoek heeft de AP in juli 2022 een positief ontwerpbesluit genomen, waarna zij dit in het kader van het coherentiemechanisme heeft voorgelegd aan de EDPB. Vanuit het EDPB-proces heeft eerst een collegiale beoordeling plaatsgehad door de toezichthouders van Oostenrijk en Duitsland. Na deze collegiale beoordeling kregen alle Europese toezichthouders tijd om hun commentaar te geven op de BC 5701 en tenslotte heeft de EDPB in september 2023 een opinie gepubliceerd over de BC 5701. Iedere beoordelingsronde heeft geleidt aanpassingen van de standaard. Na de aanpassingen naar aanleiding van de opinie van de EDPB heeft de AP in oktober 2023 de BC 5701 goedgekeurd.

Zonder het vak van verandermanagement geweld aan te willen doen, lijkt een logische eerste stap om te verkennen of er binnen de organisatie een leidende coalitie gevormd kan worden met voorvechters voor het idee van certificering. Een aantal sleutelfunctionarissen moet daarvoor aan boord worden gehaald, met als belangrijkste de lijnmanager van de te certificeren verwerking(en). De argumenten om te willen/moeten certificeren zijn natuurlijk organisatiespecifiek, maar vermoedelijk bevinden ze zich in één of meer van de volgende hoeken:

  • Imago uitbouwen als betrouwbare, kwalitatieve en vooruitstrevende organisatie
  • Het herstellen van vertrouwen na incidenten / slechte pers
  • Het bieden van vertrouwen in een complex proces
  • Verbeteren van procesbeheersing
  • Verlagen van risico’s (imago, boetes, klantverlies,..)
  • Concurrentieel voordeel, bijvoorbeeld bij aanbestedingen
  • Het ontzorgen van klanten (wegnemen het gedoe rond compliance controles)
  • Het verlagen van de kosten van het zakendoen met de organisatie (compliance controle wordt gereduceerd tot jaarlijkse controle van het certificaat).

Als de website een noodzakelijk onderdeel uitmaakt van de te certificeren verwerking(en), bijvoorbeeld om betrokkenen over de verwerking te informeren, dan valt de website ook binnen de scope van de certificering en daarmee de inzet en het gebruik van cookies en vergelijkbare technieken.

Over de accreditatie

Een certificeringsmechanisme bestaat grofweg uit twee delen. Het eerste deel zijn de eisen waaraan een organisatie moet voldoen om voor een certificaat in aanmerking.  Met de recente goedkeuring van de BC 5701 door de Autoriteit Persoonsgegevens is dit deel afgerond. Het tweede deel is een betrouwbaar certificatieproces door een certificerende instelling, waardoor buitenstaanders op het oordeel van de certificerende instelling mogen vertrouwen. Deze beoordeling van, en het toezicht op, de betrouwbaarheid van het certificeringsproces heet ‘accreditatie’ en wordt uitgevoerd door de Raad voor Accreditatie.

Nee, de BC 5701 is een zogenoemd ‘privaat schema’, wat betekent dat Brand Compliance de enige  certificerende instellingen is en blijft voor de BC 5701.

Accreditatie is een zeer zorgvuldig proces dat geruime tijd in beslag neemt. De huidige inschatting is dat Brand Compliance medio 2024 accreditatie zal verkrijgen.

Over de implementatie

Er is op dit moment nog geen instaptoets beschikbaar. Wel zijn een aantal belangrijke aspecten te noemen waar je in ieder geval op moet letten wanneer je in wilt schatten of de organisatie klaar is om een certificeringsproject te starten:

  • Er moet een duidelijk en gedragen doel zijn waaraan certificering een bijdrage levert; certificering kan je er niet ‘even naast doen’.
  • Het relevante lijnmanagement moet commitment tonen en bereid zijn haar verantwoordelijkheid te nemen voor de verwerking en bescherming van persoonsgegevens; de verantwoordelijkheid voor AVG-compliance kan je niet beleggen bij een stafafdeling.
  • De organisatie moet een redelijke mate van volwassenheid/professionaliteit hebben; de organisatie is in staat om planmatig haar doelen te realiseren en wordt niet geregeerd door ad-hoc initiatieven.
  • De organisatie heeft al een ISMS draaien.

Heb je liever een expert-oordeel over de haalbaarheid binnen jouw organisatie, dan kan je ook een gap-analyse laten uitvoeren.

Op de downloadpagina kan je gratis de globale fasering van een BC 5701 implementatie downloaden. We willen daarbij benadrukken dat het succes van het project in hoge mate worden bepaald door de kwaliteit van de eerste twee projectfasen: initiëren en voorbereiden.

De inspanningen om de BC 5701 te implementeren zullen van organisatie tot organisatie verschillen. Factoren die hierop van invloed zijn, zijn onder meer het niveau van de huidige AVG-implementatie, de complexiteit en omvang van de te certificerende verwerkingen, de professionaliteit van de organisatie en de slagkracht van het implementatieteam. Houd voor een implementatieproject rekening met een doorlooptijd van 6 tot 12 maanden (zie de volgende vraag voor de doorlooptijd van het hele project).

De kosten van de implementatie houden sterk verband met de wijze waarop de implementatie georganiseerd wordt (intern of met externe ondersteuning). In algemene zin moet de organisatie rekening houden met kosten voor het opleiding van de projectteamleden (projectverantwoordelijke, projectleden, interne auditor(en) en de FG) en indien gewenst de kosten van externe implementatiebegeleiding. Daarnaast zijn er de organisatiespecifieke kosten van de nog te nemen technische en organisatorische maatregelen, die uit een gap-analyse naar voren komen.

Ervan uitgaande dat de organisatie al een ISMS operationeel heeft, kan je rekening houden met een doorlooptijd voor de implementatie van 6 tot 12 maanden, voor het aantonen van de juiste werking van de implementatie (het operationeel zijn) 3 maanden en voor de certificeringsaudit (fase 1+2) ook circa 3 maanden. Van start tot finish betekent dit een doorlooptijd van circa 12 tot 18 maanden.

Dit is niet alleen een voordeel, wij raden zelfs aan niet met de implementatie van de BC 5701 te beginnen voordat de organisatie een informatiebeveiligingsstandaard effectief heeft geïmplementeerd. De organisatie is daardoor al bekend is met het werken volgens een managementsysteem, waardoor de stap naar AVG-compliance minder groot wordt. Ook heeft de organisatie dan al veel technische en organisatorische beschermingsmaatregelen geïmplementeerd waardoor de totale projectomvang aanzienlijk wordt gereduceerd. Het voldoen aan een informatiebeveiligingsstandaard is daarnaast een voorwaarde voor certificering tegen de BC 5701.

Er bestaat in de markt wat verwarring over het begrip ‘managementsysteem’. De term wordt zowel gebruikt voor een manier van werken (volgens de PDCA-cyclus), als voor allerhande compliance ondersteunende software. In het kader van de BC 5701 wordt met een managementsysteem een manier van werken bedoeld. Of en, zo ja, hoe de organisatie dat ondersteunt met software, is aan de organisatie. Zolang het maar effectief is. 

AVG-certificering is op meerdere onderdelen fundamenteel anders dan de meer bekende managementsysteemcertificeringen zoals ISO 27001 en ISO 9001. Zonder opleiding én zonder begeleiding schatten wij de kans op een certificeerbare implementatie laag in, met veel noodzakelijk rework en vertraging als gevolg. Zorg er ten minste voor dat de sleutelfunctionaris(sen) worden opgeleid m.b.t. de BC 5701. Afhankelijk van de complexiteit van de te certificeren verwerking(en) kan het efficiënt en effectief zijn om het projectteam te verrijken met externe kundigheid en ervaring.

Ook in het kader van de implementatie van de BC 5701 is het de taak van de FG om de organisatie gevraagd en ongevraagd te adviseren ten aanzien van de passende verwerking en bescherming van persoonsgegevens en toe  te zien op de naleving van de AVG. Het is belangrijk dat de FG geen operationele / besluitvormende rol vervult m.b.t. de implementatie. Dit zou de objectiviteit van de FG aantasten.

Het antwoord op deze vraag hangt een beetje af van hetgeen je met de BC 5701 wilt gaan doen. Wil je de BC 5701 uitsluitend als intern reverentiekader gebruiken voor een aantoonbaar passende uitwerking van de AVG, dan kan je er direct mee aan de slag. Wil je de BC 5701 gebruiken om het officiële AVG-certificaat te behalen, dan raden we aan te starten met een opleiding. AVG-certificering wijkt namelijk op verschillende punten fundamenteel af van de meer bekende managementsysteem certificeringen zoal ISO 9001 en ISO 27001.  Zonder opleiding is de kans groot dat je de uitgangspunten voor de certificering niet goed bepaalt, waardoor je tijdens de certificering tegen fundamentele problemen aanloopt. Het gevolg laat zich dan gemakkelijk raden: frustraties, veel rework, onnodige kosten en aanzienlijke projectvertraging.

De verantwoordelijkheid voor de certificering kan maar op één plaats worden belegd en dat is bij het management dat verantwoordelijk is voor de te certificeren verwerking(en). De passende bescherming van persoonsgegevens is immers een kwaliteitsaspect van het primaire proces. De verantwoordelijk daarvoor en het praktisch toezicht daarop, kan alleen effectief in het primaire proces worden geborgd. Het lijnmanagement moet daarbij ondersteund worden vanuit stafdiensten zoals de Privacy Officer, CISO, Risk, etc.

Om te kunnen certificering moet de organisatie m.b.t. de scope van de certificering een managementsysteem operationeel hebben. Met een managementsysteem wordt binnen de BC 5701 een manier van werken bedoeld; een geïntegreerde PDCA-cyclus. Deze manier van werken geldt ook bij andere normen als eis. Het lijkt logisch om geen verzuilde benadering te kiezen, maar om de verschillende normen te integreren tot één manier van werken c.q. één managementsysteem. Binnen de BC 5701 wordt expres niet gesproken over een privacy managementsysteem, omdat dit de indruk kan wekken dat het iets anders is dan bijvoorbeeld een Quality Management System (QMS) of een Information Security Management System (ISMS). Het is dezelfde manier van werken, toegepast binnen een ander domein.

De belangrijkste functionaris is de lijnmanager die verantwoordelijk is voor de te certificering verwerkingen. Solide commitment en actieve ondersteuning van deze functionaris is een absolute vereiste. Daarnaast zijn key functionarissen van betrokken afdelingen nodig, waaronder HR, de Privacy Officer en de CISO. Afhankelijk van de functies binnen de organisatie kan je ook denken aan Risk, Compliance en Interne Audit. Belangrijk is dat de FG geen operationele rol vervult m.b.t. de implementatie. Dat zou de onafhankelijke van de FG aantasten. Tot slot is het altijd een goed idee om een projectmanager aan te stellen die geen operationele relatie heeft met de te certificeren verwerking, teneinde rolconflicten gedurende het project te voorkomen.

Over de certificering

De BC 5701 is een zogenoemd ‘privaat schema’. Dit betekent dat alleen Brand Compliance de AVG certificaten op basis van de BC 5701 mag uitgeven.

Een certificaat is drie jaar geldig, mits bij voortduring aan de relevante eisen wordt voldaan. Dit wordt onder meer getoetst door twee tussentijdse audits, eind jaar 1 en eind jaar 2. Aan het einde van de certificeringsperiode kan de organisatie kiezen voor hercertificering, waarna de cyclus opnieuw begint.

Het certificeringsproces begint met de aanmelding voor certificering bij Brand Compliance (BC). BC beoordeelt de certificeerbaarheid van de aanvraag en maakt een inschatting van de benodigde expertise. In deze fase wordt ook een inschatting gemaakt van de benodigde audittijd, wordt een globale planning gemaakt en worden de gemaakte afspraken vastgelegd.

De certificeringsaudit zelf bestaat uit twee fasen. In de eerste fase wordt met name aandacht besteed aan aspecten van rechtmatigheid, de werking van het managementsysteem en de opzet van een aantal wezenlijke maatregelen. Na deze fase wordt tijd ingepland om de organisatie in de gelegenheid te stellen eventuele afwijkingen en/of fouten te corrigeren.

In de tweede fase ligt de nadruk op het beoordelen van de juiste uitvoering van de AVG en de juiste implementatie en uitvoering van de voorgeschreven technische en organisatorische maatregelen. Ook na de tweede fase audit krijgt de organisatie de gelegenheid om geconstateerde afwijkingen en/of fouten te herstellen. Na een succesvolle herbeoordeling van eventuele verbeteringen wordt de aanvraag voorgedragen voor certificering. De certificeringscommissie beoordeelt of aan alle voorwaarden voor certificering is voldaan en neemt een certificeringsbesluit.

De certificeringsaudit bestaat uit twee fasen. Na de fase één, waarin met name gekeken worden naar aspecten van rechtmatigheid, het managementsysteem en de opzet van een aantal wezenlijke eisen, krijgen organisaties de gelegenheid om eventueel geconstateerde fouten en afwijkingen op te lossen. Daarna wordt fase twee van de audit uitgevoerd waarvoor ook weer een herstelperiode zal gelden. Ervan uitgaande dat er geen fundamentele tekortkoming aan het licht komen, heeft de totale audit een doorlooptijd van circa drie maanden.

De certificeringsaudits worden uitgevoerd door een auditteam waarin tenminste drie disciplines vertegenwoordigd zijn: een juridisch auditor, een technisch audit en een lead auditor. Afhankelijk van de aard van de te certificeren verwerking kan het auditteam worden uitgebreid met specialisten.

Als onderdeel van het managementsysteem moet de organisatie self-assessments uitvoeren om te beoordelen of zij haar eigen verwerkings- en beschermingsdoelen behaalt. Een dergelijk self-assessment kan niet in de plaats treden van de tussentijdse audit van Brand compliance. Het hele idee achter certificering is een objectieve en betrouwbare vaststelling van de kwaliteit van iets. Een self-assessment staat op gespannen voet met deze eisen (“Wij van WC-eend adviseren WC-eend.”)

Als onderdeel van de eisen van de BC 5701 moet de organisatie een verklaring van toepasselijkheid maken. Hiermee geeft de organisatie ten aanzien van alle eisen van de standaard aan of en, zo ja, hoe de organisatie aan de eis heeft voldaan, of waarom de organisatie er niet aan heeft voldaan. Met de verklaring van toepasselijkheid heeft de organisatie een beeld van de compleetheid van de implementatie. Wil de organisatie ook een beeld hebben van de adequaatheid van de implementatie, dan kan zij een pre-audit laten uitvoeren.

De benodigde tijd voor een certificatieaudit is van veel factoren afhankelijk. Denk hierbij aan de omvang en complexiteit van de verwerking, de aan de verwerking verbonden risico’s voor de betrokkenen, de omvang en complexiteit van de organisatie, verzwarende verwerkingsaspecten zoals geautomatiseerde besluitvorming, etc. Aan de onderkant van het spectrum moet je rekening houden met circa 10-15 auditdagen, verdeeld over een juridische auditor, een technische auditor en een organisatorische auditor. De tussentijdse audits kosten ongeveer 50% van de tijd van een initiële certificeringsaudit en een hercertificering ongeveer 70% van de initiële audittijd. 

De AP heeft geen operationele rol in de certificering. Wel moeten alle aanvragen voor certificering door de certificerende instelling worden aangemeld bij de AP. Daarnaast heeft de AP de bevoegdheid om de certificerende instelling te gelasten een certificaat in te trekken. Dit kan bijvoorbeeld gebeuren wanneer de AP, n.a.v. een klacht of een incident, misbruik of misleiding m.b.t. een certificaat heeft geconstateerd.

Een organisatie komt in aanmerking voor certificering wanneer het voldoet aan alle toepasselijke eisen van de AVG Certificeringsstandaard en -criteria BC 5701. Het aanvragen van een certificeringsaudit kan zodra de organisatie een idee heeft wanneer zij het implementatietraject verwacht af te ronden. Geadviseerd wordt om niet te wachten met het aanvragen van een certificatieaudit tot de implementatie helemaal is afgerond, aangezien het inplannen van een audit de nodige planning en afstemming vraagt.

Er zijn meerdere manieren waarop de continuïteit AVG-compliance wordt geborgd.

Ten eerste moet de organisatie vanuit de BC 5701 maatregelen nemen om veranderingen in de context van de certificering in overeenstemming met de AVG en de BC 5701 te implementeren. De kwaliteit van deze maatregelen wordt beoordeeld tijdens de certificeringsaudits.

Ten tweede voert de certificerende instelling jaarlijks audits uit, waarbij met name gekeken worden naar de wijze waarop de organisatie met veranderingen is omgegaan.

Ten derde zijn gecertificeerde organisaties contractueel verplicht om incidenten en wijzigingen m.b.t. de gecertificeerde verwerkingen te melden bij de certificerende instelling. De certificerende instelling bepaalt vervolgens of zij een tussentijdse audit noodzakelijk acht of niet.

Ten vierde wordt vanuit de certificerende instelling beoordeeld of zich ontwikkelingen voordoen m.b.t. wet- en regelgeving die de aanpassing van de certificeringseisen rechtvaardigen. Na goedkeuring door de AP worden de gewijzigde eisen verplicht gesteld om de certificering te kunnen continueren.

Last but not least kijkt de Autoriteit Persoonsgegevens in het kader van klachten en incidentmeldingen ook naar de certificeringsstatus van een organisatie en kan besluiten zelf onderzoek te doen of een melding te maken bij de certificerende instelling

Het is een voorwaarde de organisatie zich aantoonbaar conformeert aan een gerenommeerde standaard voor informatiebeveiliging. Conformiteit kan de organisatie bijvoorbeeld aantonen d.m.v. een onder accreditatie verstrekt certificaat. Kan de organisatie haar conformiteit niet aantonen, dan wordt een conformiteitsbeoordeling (audit) van de informatiebeveiligingsstandaard toegevoegd aan de certificeringsaudit voor de BC 5701.

Als je het niet eens bent met het oordeel van een auditor, dan kan je daarover een klacht indienen bij de certificerende instelling. Klachten worden onafhankelijk afgehandeld; zie hiervoor de klachtenprocedure op de website van Brand Compliance. Het uiteindelijke oordeel van de certificerende instelling is doorslaggevend bij het toekennen, afwijzen of intrekken van een certificaat.

Over andere normen en standaarden

Er zijn op dit moment, naast de BC 5701, nog drie certificeringsmechanismen goedgekeurd: GDPR CARPA, Europrise en Europrivacy. GDPR CARPA kan alleen in Luxemburg worden gecertificeerd en Europrise alleen in Duitsland voor ICT verwerkers. Dit betekent dat Nederlandse organisaties die een AVG-certificaat willen behalen moeten kiezen tussen de BC 5701 en Europrivacy. Een globale vergelijking tussen beide vindt je op de download pagina.

De genoemde frameworks voldoen geen van allen aan de eisen om door te kunnen gaan voor AVG-certificaat, om één of meerdere van de volgende redenen:

  • Het geen productcertificering is (gebaseerd op ISO 17065), zoals vereist in de AVG;
  • Er geen / onvoldoende link is met het verwerkingsproces;
  • De eisen van de AVG worden niet afdoende worden afgedekt;
  • De belangen van de organisatie centraal staan i.p.v. de belangen van de betrokkenen;
  • De kwaliteit van het beoordelingsproces onvoldoende is geborgd;
  • De criteria niet zijn goedgekeurd door de Autoriteit Persoonsgegevens.

De frameworks kunnen als intern hulpmiddel worden gebruikt, maar zijn niet geschikt om de AVG-compliance naar de buitenwereld mee aan te tonen. 

In de BC 5701 staan geen technische beschermingsmaatregelen genoemd. Hiervoor wordt aangesloten bij bestaande informatiebeveiligingsstandaarden. De genoemde standaarden zijn dus complementair aan de BC 5701; ze kunnen gebruikt worden voor het aantonen van passende technische en organisatorische maatregelen m.b.t. de beschermingsrisico’s van de te certificeren verwerkingen (artikel 24 AVG).

Nee, dat kan niet. De AP heeft ervoor gekozen om het ontwikkelen en exploiteren van AVG-certificeringsmechanismen in Nederland over te laten aan marktpartijen.

Heb je een vraag?

Vul hieronder je e-mailadres in en we nemen contact met je op.

Piims Academy

Laarderweg 12
3755 AN Eemnes
The Netherlands

+31 (0)35 531 7028
info@piims.nl
KvK: 68687915

Information

Terms and conditions Privacy Statement

Piims Academy B.V. | Copyright 2024