Officieel AVG certificaat is er gewoon nog niet!

door | 7 november 2018

Er zijn bedrijven die een officieel AVG keurmerk / certificaat / waarborg aanbieden. Dit klopt en kan dus niet! Dergelijke bedrijven komen met het verhaal dat met het officiële certificaat aantoonbaar is dat uw organisatie AVG proof is. Uitermate merkwaardig omdat de Autoriteit Persoonsgegevens (AP) geen officieel keurmerk afgeeft. Tevens is het ook zo dat de Raad voor Accreditatie nog geen organisatie heeft goedgekeurd om dergelijke certificaten af te geven.

Het is goed dat de Autoriteit Persoonsgegevens (AP) deze week een waarschuwing heeft gepubliceerd voor dergelijke bedrijven, die zeggen dat ze een officieel AVG keurmerk kunnen afgeven waarmee organisaties kunnen aantonen dat ze helemaal voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Dit soort bedrijven zegt soms ook nauw samen te werken met de Nederlandse toezichthouder op de privacywetgeving, maar dat klopt niet. De AP heeft geen AVG-keurmerk goedgekeurd. Momenteel is de AP is wel bezig met de accreditatie van instellingen die een AVG-certificaat kunnen toekennen, maar dat is er dus nog niet.

Maar wat is dan wel een goed alternatief om aan te tonen dat uw organisatie het qua AVG op orde heeft? Wellicht toch ISO 27001. In eerste instantie klinkt het logisch omdat de ISO 27001 “informatiebeveiliging” ook gaat over Vertrouwelijkheid, Integriteit en Beschikbaarheid. Wij vinden dat beide projecten tegelijk gedaan moeten worden en dat zowel voor AVG alsook security ISO 27001 een managementsysteem moet worden geïmplementeerd. De reden is ook dat hierdoor eenvoudig wordt voldaan aan de AVG en je verder op kan schakelen voor de ISO 27001. ISO 27001 wordt steeds vaker door uw cliënten verlangd en is commercieel gezien handig om te hebben.

Even iets meer diepgang. Laten we eens beginnen met het doel van de AVG en informatiebeveiliging ISO 27001. De AVG vereist een privacy programma welke vorm geeft, om te voldoen, aan het fundamentele recht van een individu op privacy en hun recht om eigenaar te zijn van hun persoonlijke data en deze te beheersen. Het doel is dus voldoen aan het fundamentele recht van een individu op privacy. Voor informatiebeveiliging ISO 27001 geldt: Informatiebeveiliging is het geheel van preventieve, repressieve en herstelmaatregelen alsmede procedures welke de beschikbaarheid, vertrouwelijkheid en integriteit van alle vormen van informatie garanderen met als doel de continuïteit van de organisatie te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald, niveau te beperken. Het doel is dus hier de continuïteit van de organisatie te waarborgen. Kortom geen tegenstrijdig doelen maar wel verschillende doelen.

Wij adviseren om beide trajecten gezamenlijk op te pakken. Indien u op een eenvoudige wijze informatie wilt, kunt u altijd contact opnemen met inTECHrity of ons bellen op 085 130 1281. U kunt ook meer informatie vinden op onze website www.intechrity.nl of in onze andere blogs over AVG en ISO 27001. Wij zijn officieel ACP partner van BSI.