AVG-certificatie

Als verantwoordelijke of verwerker kunt u een AVG-certificaat aanvragen bij een certificatie-instelling die daarvoor geaccrediteerd is door de Raad voor Accreditatie (RvA).

Een certificatie-instelling (CI) beoordeelt of uw product, proces of dienst in aanmerking komt voor een AVG-certificaat. Met dit certificaat kunt u aantonen dat u aan bepaalde eisen voldoet volgens de regels van de Algemene verordening gegevensbescherming (AVG). Organisaties die persoonsgegevens verwerken kunnen met een AVG-certificaat laten zien dat ze de persoonsgegevens zorgvuldig verwerken en beschermen. Op dit moment zijn er in Nederland nog geen geaccrediteerde CI’s voor het afgeven van AVG-certificaten in het kader van de verwerking van persoonsgegevens. De AVG schrijft voor dat een CI die AVG certificaten uitgeeft, geaccrediteerd moet worden volgens de EN-ISO/IEC 17065.

Hoe kan ik als CI in aanmerking komen om AVG-certificaten uit te geven?

De Autoriteit Persoonsgegevens (AP) accrediteert geen CI’s. Wilt u als CI AVG-certificaten gaan uitgeven? Dan kunt u daarvoor een aanvraag tot accreditatie indienen bij de RvA.

Voordat u een aanvraag bij de RvA indient, moet u een certificatieschema opstellen. U kunt als CI zelf een schema opstellen of u kunt dit schema laten opstellen en beheren door een externe schemabeheerder.
De procedure voor aanvraag van accreditatie is hier nader beschreven. Omdat accreditatie van het uitgeven van AVG-certificaten op dit moment nog niet behoort tot het werkterrein van de RvA (zoals vastgelegd in beleidsregel BR010), start de RvA een ontwikkeltraject hiervoor op nadat minimaal één CI een (volledige) aanvraag voor accreditatie heeft ingediend(‘ . Een ontwikkeltraject kan qua doorlooptijden afwijken van het reguliere accreditatieproces.

Indien sprake is van een externe schemabeheerder, die de eigen beoordeling van het schema wenst te coördineren, is RvA-BR012 van toepassing. Ook hier is het noodzakelijk dat één of meerdere CI’s een (volledige) aanvraag tot accreditatie indienen.

Wanneer de RvA het vooronderzoek bij een accreditatie-aanvraag positief heeft afgerond of nadat het schema van de externe schemabeheerder positief is geëvalueerd, gaat het schema ter goedkeuring naar AP. AP beoordeelt of het certificatieschema voldoende invulling van de relevante eisen uit de AVG om te kunnen leiden tot een AVG-certificaat. Als het certificatieschema is goedgekeurd door de AP kan het accreditatieproces bij de RvA verder gaan.

Stappen accreditatie

Het accreditatieproces van de RvA en de rol van de AP bij de goedkeuring van certificatie-schema’s bestaat uit de volgende stappen:

1. Raad voor Accreditatie

Beoordelen ontvankelijkheid van de accreditatie-aanvraag;
Het vooronderzoek door de RvA inclusief schema-evaluatie of schema-evaluatie van hetschema dat wordt beheerd door externe schemabeheerder;
Afronding schema-evaluatie/vooronderzoek onder voorbehoud van goedkeuring schema AP.
2. Autoriteit Persoonsgegevens

Na een positieve afronding van de schema-evaluatie door de RvA zal de AP beoordelen of het schema in overeenstemming is met de AVG;
De desbetreffende certificatie-instelling of schemabeheerder dient het schema na het positief afgeronde schema-evaluatie van de RvA ter beoordeling in bij de AP. De AP zal pas een aanvraag tot goedkeuring van een certificatie-schema in behandeling nemen indien de RvA de evaluatie van het schema positief heeft afgerond en de aanvrager dit aan kan tonen;
De AP dient haar ontwerpbesluit tot goedkeuring van het certificatieschema af te stemmen met de European Data Protection Board (ook wel de EDPB: het Europese samenwerkingsverband van toezichthouders). Nadat de AP het certificatie-schema heeft goedgekeurd stuurt de aanvrager dit besluit tot goedkeuring naar de RvA, zij vangen dan aan met de verdere accreditatieprocedure.
3. Raad voor Accreditatie

De accreditatie beoordeling door de RvA;
Het accreditatiebesluit door de RvA;
Na verlening accreditatie: periodieke beoordeling door de RvA van de certificatie-instelling.
Wat is een certificatieschema?

In het certificatieschema worden de eisen vastgelegd waaraan het product, proces of dienst waar het certificaat betrekking op heeft, aantoonbaar al zal moeten voldoen.

Een toelichting op de eisen aan certificatieschema’s wordt gegeven in het document RvA-T033, Toelichting op de eisen aan schema’s voor conformiteitsbeoordelingen

Daarnaast stelt AP op basis van de AVG aanvullende vereisten voor certificatie-instellingen vast.
De AP dient deze aanvullende eisen af te stemmen met de European Data Protection Board (het Europese samenwerkingsverband van toezichthouders). Voor accreditatie door de RvA is in de AVG het gebruik van de norm EN-ISO/IEC 17065 voorgeschreven. Deze ISO-norm betreft accreditatie van CI’s voor producten, processen en diensten en is de basis van het certificatie-schema. Voldoet de CI aantoonbaar aan de eisen uit de EN-ISO/IEC 17065, de eisen uit het certificatieschema en de aanvullende vereisten opgesteld door de AP dan kan zij worden geaccrediteerd. Na accreditatie door de RvA is een certificatie-instelling bevoegd om AVG-certificaten voor dat betreffende certificatieschema toe te kennen. Het is mogelijk dat er meerdere certificatieschema’s in de markt zullen worden gebruikt, die tot een AVG-certificaat leiden.