AVG: Hoe bewijs ik dat ik me aan de privacy regels houdt?
Het is alweer 2,5 jaar geleden dat de AVG werd geïntroduceerd. De meeste organisaties hebben deze periode gebruikt om de verplichtingen uit de verordening te implementeren. Een van die verplichtingen is dat je de naleving van de AVG moet kunnen aantonen. In het Engels heet dat in de AVG dat je ‘accountable’ bent. Maar hoe pak je dit aan?
Voor wie wil je accountable zijn?
De AVG gaat over de bescherming van ‘natuurlijke personen in verband met de verwerking van persoonsgegevens’. Het ligt dus voor de hand dat je richting deze betrokkenen accountable bent. In de praktijk zal het echter zo werken dat derde partijen van je verlangen dat je aantoont dat je aan de AVG voldoet. Denk aan de toezichthouder, de acountant maar vooral je klanten en afnemers. Nu meer en meer bedrijven de AVG op orde beginnen te krijgen lopen bedrijven vaker tegen dit vraagstuk aan. Bedrijven die bij tenders of contractonderhandelingen eisen dat je aantoont dat je aan de AVG voldoet. Of bedrijven die hun persoonsgegevens door derden laten verwerken en van deze verwerkers verlangen dat ze periodiek de naleving van de AVG en de verwerkersovereenkomst aantonen.
Wat zijn voordelen van het aantonen van ‘accountability’?
Als je kunt aantonen dat je aan de AVG voldoen kan dat diverse voordelen hebben:
- Je laat zien dat je risico’s beheerst;
- Het biedt derde partijen vertrouwen en comfort;
- Je bent zichtbaar continue bezig bent met verbetering;
- Het helpt je in eventuele onderzoeken van de toezichthouder en beperkt eventuele boetes.
Hoe toon je naleving aan?
Naleving van AVG – inclusief passende beveiliging – kun je volgens de AVG aantonen door aansluiting bij een goedgekeurde gedragscode of certificering.
Een gedragscode wordt afgesloten door partijen die de bedrijven vertegenwoordigen en dient vooral als toelichting. Bedrijven die zich verbinden aan deze code onderwerpen zich aan onafhankelijke toetsing op de naleving. Daarnaast is het mogelijk naleving aan te tonen door je te laten certificeren. Dat wil zeggen dat je extern wordt getoetst aan de hand van AVG-criteria. Als eis voor deze certificering geldt dat deze criteria moeten worden goedgekeurd door de toezichthouder en dat de controlerende instantie moet worden geacrediteerd. In Nederland gebeurt dit door de Raad voor Accreditatie.
Een voorbeeld van een goedgekeurde gedragscode is de Datapro Code die door NL Digital voor haar leden is afgesloten. Deze code richt zich op IT-bedrijven die in opdracht van derden persoonsgegevens verwerken.
De Stichting AVG Garant heeft een certificeringsregeling welke voor goedkeuring bij de toezichthouder ligt. Deze regeling van AVG Garant richt zich met name op bedrijven in de recruitmentsector. Voordeel van deze norm is dat deze praktisch is ingevuld en dat er rekening wordt met specifieke sector belangen en die van MKB-bedrijven. In de regeling komen alle relevante AVG-vereisten terug. Bij een audit wordt feitelijk nagegaan of bedrijven zich aan de AVG hebben gehouden. Op dit moment is er geen enkele andere regeling die door de Autoriteit Persoonsgegevens is goedgekeurd.
Zijn er andere manieren om de naleving aan te tonen?
Die zijn er zeker. Het beste is natuurlijk dat een onafhankelijke partij deze naleving vaststelt op basis van een of andere norm. Zo heb je veel bedrijven die richting afnemers afspreken dat ze ISO 27001 gecertificeerd zijn. ISO 27001 is een internationale informatiebeveiligingsnorm. Gecertificeerde bedrijven laten zien dat ze hun proces van informatiebeveiliging op orde hebben en dat dit onderwerp geborgd is door middel van een ISMS (information security management systeem). Het doel van een ISMS is om informatie op een systematische wijze te beschermen tegen een verlies van vertrouwelijkheid, integriteit (juistheid) en beschikbaarheid.
Omdat informatiebeveiliging maar één onderdeel van de AVG is bestaat er sinds kort ook een privacy plug-in op (ISO 27701) waarmee de omgang met persoonsgegevens (personal information management systeem) wordt geregeld. Deze annex kan alleen worden gebruikt door bedrijven die al ISO27001 gecertificeerd zijn.
Dergelijke certificaten gelden nadrukkelijk niet als AVG-certificaten. In de AVG is geregeld dat zo’n certificaat moet worden afgegeven door onafhankelijke partijen die geaccrediteerd zijn om producten, processen en diensten te toetsen (en dus niet processen of managementsystemen zoals bij ISO 27001 het geval is). Dit geldt wel voor bedrijven die gaan toetsen op de norm van AVG Garant.
Tenslotte kun je derde partijen vragen een audit uit te laten voeren volgens af te spreken normen. Zo kan je een derde partij vragen een ISAE 3001 audit uit te voeren op basis van het privacy framework van Norea. ISAE bevat eisen die aan het kwaliteitsmanagementsysteem gesteld worden, maar kijkt niet naar hoe de normen worden uitgevoerd.
Bureau Cicero – AVG
Bureau Cicero is de eerste auditinstelling die met de Stichting AVG Garant is overeengekomen audits uit te voeren op de AVG Garant norm. Wil u hier meer over weten, mail of bel ons dan.
Elke maand schrijven wij nieuwe actuele nieuwsitems. Benieuwd waarover wij nog meer schrijven? Bekijk dan hier al onze nieuwsartikelen. Wil je graag maandelijks een mail ontvangen met alle actuele nieuwsitems, stuur dan een mail naar contact@cicero.nl.
Plaats een bericht