Vergroot contrast

AVG-certificaat

Het AVG-certificaat is een nieuw instrument van de Algemene verordening gegevensbescherming (AVG). Met dit certificaat kunt u als verantwoordelijke of verwerker aantonen dat u persoonsgegevens volgens de regels van de AVG verwerkt.

Voldoet uw product, proces of dienst aan deze eisen uit de  AVG? Dan kunt u een AVG-certificaat aanvragen bij een certificatie-instelling. Die certificatie-instelling beoordeelt of uw product, proces of dienst in aanmerking komt voor een AVG-certificaat.

Een AVG-certificaat ontslaat u niet van de plicht om continu te blijven zorgen voor naleving van de AVG.

Nieuws

Alle nieuwsberichten over het onderwerp 'AVG-certificaat'

Alle antwoorden op mijn vragenVragen over het AVG-certificaat

  • Wat is een AVG-certificaat?

    Een certificaat is een schriftelijke verklaring dat een product, proces, of dienst aan alle of bepaalde specifieke eisen uit de AVG voldoet. Het AVG-certificaat is niet verplicht. U laat met een AVG-certificaat aan uw doelgroep zien dat u persoonsgegevens zorgvuldig verwerkt en beschermt.

    U kunt een AVG-certificaat aanvragen bij een door de Raad voor accreditatie (RvA) geaccrediteerde certificatie-instelling. De Autoriteit Persoonsgegevens (AP) geeft geen AVG-certificaten uit.

    Een AVG-certificaat ontslaat u niet van de plicht om continu te blijven zorgen voor naleving van de AVG.

     

  • Hoe kan ik een AVG-certificaat aanvragen?

    Als verantwoordelijke of verwerker kunt u een AVG-certificaat aanvragen bij een certificatie-instelling die daarvoor geaccrediteerd is door de Raad voor Accreditatie (RvA).

    Een certificatie-instelling beoordeelt of uw product, proces of dienst in aanmerking komt voor een AVG-certificaat. Met dit certificaat kunt u aantonen dat u aan bepaalde eisen voldoet volgens de regels van de Algemene verordening gegevensbescherming (AVG).

    Op dit moment zijn er in Nederland nog geen geaccrediteerde certificatie-instellingen voor het afgeven van AVG-certificaten in het kader van de verwerking van persoonsgegevens. Zodra de RvA certificatie-instellingen heeft geaccrediteerd om AVG-certificaten te verlenen, vindt u die informatie op onze website en die van de RvA.

  • Hoe kan ik als certificatie-instelling in aanmerking komen om AVG-certificaten uit te geven?

    Wilt u als certificatie-instelling AVG-certificaten gaan uitgeven? Dan kunt u daarvoor een aanvraag tot accreditatie indienen bij de Raad voor Accreditatie (RvA). De Autoriteit Persoonsgegevens (AP) accrediteert  geen certificeringsinstellingen.

    Voordat u een aanvraag bij de RvA indient, moet u een certificatieschema opstellen. U kunt als certificatie-instelling zelf een schema opstellen of u kunt dit schema laten opstellen en beheren door een externe schemabeheerder. Wanneer de RvA het vooronderzoek bij een accreditatie-aanvraag positief heeft afgerond of nadat de schemabeheerder het schema positief heeft geëvalueerd dan beoordeelt de AP het certificatieschema op voldoende invulling van de relevante eisen uit de AVG. Als het certificatieschema is goedgekeurd door de AP kan het accreditatieproces bij de RvA verder gaan.

    Stappen accreditering

    Het accreditatieproces van de RvA en de rol van de AP bij de goedkeuring van certificatie-schema’s bestaat uit de volgende stappen:

    1. Raad voor Accreditatie
    - Beoordelen ontvankelijkheid van de accreditatie-aanvraag;
    - het vooronderzoek door de RvA inclusief schema-evaluatie of schema-evaluatie van schema beheerd door externe schemabeheerder;
    - Afronding schema-evaluatie/vooronderzoek onder voorbehoud van goedkeuring schema AP.

    2. Autoriteit Persoonsgegevens
    - Na een positieve afronding van de schema-evaluatie door de RvA zal de AP beoordelen of het schema in overeenstemming is met de AVG.
    - De desbetreffende certificatie-instelling of schemabeheerder dient het schema na het positief afgeronde schema-evaluatie van de RvA ter beoordeling in bij de AP. De AP zal pas een aanvraag tot goedkeuring van een certificatie-schema in behandeling nemen indien de RvA de evaluatie van het schema positief heeft afgerond en de aanvrager dit aan kan tonen.
    - De AP dient haar ontwerpbesluit tot goedkeuring van het certificatieschema af te stemmen met de European Data Protection Board (ook wel de EDPB: het Europese samenwerkingsverband van toezichthouders). Nadat de AP het certificatie-schema heeft goedgekeurd stuurt de aanvrager dit besluit tot goedkeuring naar de RvA, zij vangen dan aan met de verdere accreditatieprocedure.

    3. Raad voor Accreditatie
    - De accreditatie beoordeling door de RvA;
    - Het accreditatiebesluit door de RvA;
    - Na verlening accreditatie: periodieke beoordeling door de RvA van de certificatie-instelling.

  • Wat is een certificatieschema?

    In het certificatieschema worden eisen gesteld waaraan de certificaathouder zal moeten voldoen. Ook zullen in het schema aanvullende eisen worden gesteld aan de certificatie-instelling zelf. Deze aanvullende vereisten worden vastgesteld door de AP.

    De AP dient deze aanvullende eisen af te stemmen met de European Data Protection Board (het Europese samenwerkingsverband van toezichthouders). Voor accreditatie door de RvA is in de AVG het gebruik van de norm ISO/IEC 17065 voorgeschreven. Deze ISO-norm betreft accreditatie van certificatie-instellingen voor producten, processen en diensten en is de basis van het certificatie-schema. Voldoet de certificatie-instelling aantoonbaar aan de eisen uit de ISO/IEC 17065, de eisen uit het certificatieschema en de aanvullende vereisten opgesteld door de AP dan kan zij worden geaccrediteerd. Na accreditatie door de RvA is een certificatie-instelling bevoegd om AVG-certificaten voor dat betreffende certificatieschema toe te kennen. Het is mogelijk dat er meerdere certificatieschema’s in de markt zullen worden gebruikt, die tot een AVG-certificaat leiden. U vindt meer informatie over het accreditatieproces op de website van de RvA.