In het FD van 23 mei 2020 stond een kritisch bericht over de werking van de Autoriteit Persoonsgegevens (AP). De krant concludeerde terecht dat de Algemene Verordening Gegevensbescherming (AVG) twee jaar na de start nog geen onverdeeld succes is. “De handhaving van de wet door de Europese privacytoezichthouders heeft niet aan de verwachtingen voldaan. Serieuze boetes zijn op de vingers van één hand te tellen.”

Ondertussen wordt de corona-app door de verschillende overheden uitgerold en de laatste update van de Iphone zorgt er al voor dat je telefoon startklaar is. Ook weten we uit eigen ervaring dat als er een datalek wordt gemeld, je nooit enige respons krijgt. We hebben dan ook steeds meer het gevoel dat we de werkzaamheden voor niks uitvoeren. Logisch dus dat er nu kritisch naar de AP wordt gekeken. En dat is natuurlijk geen goed teken voor het handhaven van de AVG. Maar hoe komt dat dan?

Het FD meldt dat de helft van de Europese toezichthouders het moet doen met een jaarlijks budget van minder dan €5 mln. “Dat verdient Google in een uur.” De grote overtreders van de wet, de datahandelaren onder aanvoering van bedrijven zoals Google en Facebook, kunnen hierdoor min of meer ongestoord hun gang blijven gaan. En de bedrijven die wel alles serieus nemen, krijgen geen enkele zekerheid of ze het goed doen en lopen nog steeds het risico op een hoge boete.

Wachten op een certificaat

Er is nog altijd geen certificaat dat officieel door de AP is goedgekeurd. Op 23 december 2019 publiceerde het AP het volgende bericht op hun site: “De Autoriteit Persoonsgegevens (AP) en de Raad voor Accreditatie (RvA) gaan samen zorgen voor de goedkeuring van AVG-certificaten. Zij hebben daartoe een informatieprotocol ondertekend. Met een AVG-certificaat kan de verwerker van persoonsgegevens aantonen dat zijn product, proces of dienst aan de eisen uit de Algemene verordening gegevensbescherming (AVG) voldoet.” Hierna bleef het stil…

Is er dan helemaal niets dat we kunnen doen?

Gelukkig kunnen we inmiddels wel wat doen om aan te tonen dat we AVG-proof zijn. In de AVG (Artikel 5, lid 2) staat dat “De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (“verantwoordingsplicht”)”.

Er zijn drie verschillende manieren om te bewijzen dat je als organisatie voldoet aan de AVG:

  1. Op verzoek van de autoriteit alles beschikbaar stellen.
  2. Door middel van een goedgekeurde gedragscode.
  3. Met een AVG-certificering.

 

Nieuwe standaarden

Bij een certificering denken we natuurlijk in eerste instantie aan een ISO-norm. In augustus 2019 heeft ISO de nieuwe standaard ISO 27701 gepubliceerd. Deze ISO-norm vormt een privacy-uitbreiding op de al bestaande normeringen ISO 27001 en ISO 27002. Je kunt je dan ook alleen certificeren voor ISO 27701 als aanvulling op je bestaande ISO 27001 certificaat. ISO 27701 is een mooie manier om aan te tonen dat je organisatie echt AVG-proof is.

Ook Brand Compliance heeft een nieuwe standaard ontwikkeld: BC5701:2018. Dit is een praktisch en toetsbaar raamwerk waarmee organisaties hun bedrijfsvoering in overeenstemming kunnen brengen met de AVG. Momenteel wacht deze certificatiestandaard nog op goedkeuring. Deze certificering is niet gekoppeld aan ISO 27001 en dus los te behalen.

Meer informatie over deze standaarden kun je lezen in deze blog.

Ons advies

Bij inTECHrity hebben we ruime ervaring met ISO-certificeringen en AVG-trajecten. Wij adviseren je graag, zodat je een juiste afweging kunt maken voor het oppakken van een of meerdere certificaten. Als je al ISO 27001 gecertificeerd bent, dan kunnen we de impact van ISO 27701 voor je bepalen.

Wil je meer weten over ISO 27701, ISO 27001 of AVG? Dan kun je altijd contact met ons opnemen via e-mail (mailto:info@intechrity.nl) of ons bellen op nummer 085 130 1281. Je kunt ook meer informatie vinden op onze website www.intechrity.nl of in onze andere blogs over AVG en ISO 27001. Wij zijn officieel ACP-partner van BSI.