Swipe to the left

Certificeren AVG compliance

Print
Certificeren AVG compliance

Vanaf 25 mei 2018 zal de Algemene verordening gegevensbescherming (AVG) worden gehandhaafd. Voor werkgevers brengt deze nieuwe privacywetgeving veel vragen met zich mee. Hoe waarborg je als werkgever nu een correcte naleving van de AVG? En welke artikelen uit de AVG zijn hierbij van cruciaal belang? En wat zeggen deze artikelen nu precies? Deze blog geeft antwoord op deze vragen.

[Artikel 42 AVG] Op grond van artikel 42 AVG kan een organisatie die persoonsgegevens verzamelt en/of verwerkt opgaan voor certificering: ‘waarmee kan worden aangetoond dat verwerkingsverantwoordelijken en verwerkers bij verwerkingen in overeenstemming met deze verordening handelen.”

Wat is ‘in overeenstemming handelen’ met de AVG?

[Artikel 24 AVG] In het algemeen wordt in overeenstemming met de AVG gehandeld indien de handelingsactie ter naleving van een verplichting uit hoofde van de AVG is gebaseerd op de tekst, ratio en geest van de AVG, rekening houdende met de specifieke omstandigheden van het geval.

In dat kader vereist de tekst van art. 24 lid 1 AVG dat om te kunnen waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd, rekening moet worden gehouden met de aard, omvang, context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen.

In de artikelen 24 lid 3 AVG en 32 lid 3 AVG wordt de bewijswaarde van certificeringen nog eens benadrukt.

Waarop heeft de verantwoordingsplicht betrekking?

[Artikel 5 AVG] Deze verantwoordingsplicht wordt in artikel 5 initieel gekoppeld aan de beginselen van de AVG:
“De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 (de beginselen, RED) en kan deze aantonen („verantwoordingsplicht”).”

Met andere woorden: in overeenstemming met de AVG handelen, betekent het correct naleven van de gespecificeerde en geïmplementeerde beginselen van de AVG in de organisatie.

Waarop hebben de in artikel 5 AVG genoemde beginselen betrekking?

[Artikel 83 AVG] Artikel 83 lid 4 geeft aan welke sancties er staan op het niet-naleven van verplichtingen ‘in overeenstemming met’ de AVG

“Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:
de verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 11, 25 tot en met 39, en 42 en 43.” (art. 83 lid 4 onder a AVG)

en

“Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:
de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9 (art. 83 lid 5 onder a AVG);
de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22 (art.83 lid 5 onder b AVG);
de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie overeenkomstig de artikelen 44 tot en met 49 (art.83 lid 5 onder c AVG);
alle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgesteld recht.”

Waarop heeft certificering betrekking?

Certificering heeft betrekking op het aantoonbaar waarborgen van compliance en accountability met betrekking tot de naleving van verplichtingen uit hoofde van de AVG, in het bijzonder die verplichtingen die vallen onder de reikwijdte van de boeten genoemd in art. 83 AVG.

Een praktisch naslagwerk over hoe de AVG correct na te leven

Binnenkort komt bij Sdu een handig naslagwerk uit dat praktische handvatten biedt over hoe de AVG correct na te leven, getiteld: ‘Waarborgen en aantonen correcte naleving AVG. Een praktische gids’. Aan de hand van dit boek kan een werkgever zijn organisatie voorbereiden op AVG certificering. Het Europees Instituut voor Privacy Audit, Compliance & Certificering kan een keurmerk afgeven op grond van het certificaat als resultaat van het certificeringsproces. Dit instituut certificeert langs de weg van de aanpak zoals beschreven in het boek. Sdu organiseert tevens een cursus op basis van het boek.

Meer Sdu blogs lezen over privacy en de AVG? Volg Sdu blog Privacy via de RSS feed.

Voor meer informatie over Het Europees Instituut voor Privacy Audit, Compliance & Certificering, zie: http://eipacc.eu.transurl.nl/.

Sdu Privacy


Posted in: Privacy