image

Autoriteit Persoonsgegevens keurt criteria goed voor uitgifte AVG-certificaten

vrijdag 10 november 2023, 19:31 door Redactie, 12 reacties

De Autoriteit Persoonsgegevens (AP) heeft voor het eerst criteria goedgekeurd voor het uitgeven van AVG-certificaten. De mogelijkheid voor organisaties en bedrijven om een AVG-certificering aan te vragen is daarmee een stap dichterbij gekomen, aldus de toezichthouder. De criteria die de AP goedkeurde werden ingediend door certificatie-instelling Brand Compliance.

Met een AVG-certificaat wordt schriftelijk aangegeven dat een product, proces of dienst voldoet aan alle of bepaalde specifieke eisen uit de Algemene verordening gegevensbescherming (AVG). Organisaties kunnen zo aan hun klanten of doelgroep laten zien dat zij persoonsgegevens zorgvuldig verwerken en beschermen. Een AVG-certificaat is niet verplicht. Op dit moment is het nog niet mogelijk om een AVG-certificaat aan te vragen, aangezien er nog geen geaccrediteerde certificatie-instellingen zijn voor de uitgifte ervan.

Om naleving van de AVG aan te tonen, mogen organisaties alleen een certificaat gebruiken dat wordt uitgegeven door een geaccrediteerde organisatie. Een certificaat dat wordt uitgegeven door een niet-geaccrediteerde organisatie, geldt niet als AVG-certificaat. Ook niet als de organisatie certificaten uitgeeft op basis van goedgekeurde criteria. Certificatie-instellingen die AVG-certificaten willen gaan uitgeven moeten eerst een aanvraag voor accreditatie indienen bij de Raad voor Accreditatie (RvA).

Hierbij moet ook een certificatieschema worden opgesteld, met eisen waaraan de certificaathouder moet voldoen. Ook staan in het schema aanvullende eisen aan de certificatie-instelling. Vervolgens beoordeelt de AP of het certificatieschema voldoende invulling geeft aan de relevante eisen uit de AVG. Keurt de toezichthouder het schema goed, dan kan het accreditatieproces bij de RvA verder gaan. Brand Compliance kan door de goedkeuring van de AP de aanvraag voor accreditatie vervolgen bij de Raad voor Accreditatie. Zodra het bedrijf is geaccrediteerd, mag het AVG-certificaten uitgeven.

Reacties (12)
11-11-2023, 03:23 door Anoniem
Naamgeving. De AP is er om toezicht te houden op de uitvoering van de AVG. Wat een wet is. Op zich heb je met een wet waar iedereen zich aan houdt dus helemaal geen AP nodig. De wet is wet zoals daar ook staat dat je niet door rood mag rijden.

Naamgeving. Die A staat voor Autoriteit. Kan voor verwarring zorgen, alsof ze eigen winkel zijn. Toezichthouder was wellicht beter gekozen geweest. Of Raadgever.

Wetgeving. Het is niet dat je AP heet, met autoriteit, dat je je dan boven de wet gesteld kan gedragen. Je zou dus ook eigenlijk geen "certificaten" uit moeten willen geven. Want certificaat of niet, als iemand met tien van die lintjes morgen de wet overtreedt, dan blijft gewoon de wet overtreden. Met of zonder AP. In die zin heeft ook een AVG-certificaat weinig betekenis. Want de wet is gewoon de wet. Waar iedereen zich aan moet houden. Zelfs de AP zelf.
11-11-2023, 03:27 door Anoniem
Dat is erg handig zo'n AVG-certificaat, je weet dan gelijk dat een bedrijf privacy niet belangrijk acht.
De AVG maakt privacy-schending op veel vlakken legitiem. Je hoeft enkel een reden, al dan niet verzonnen, op te geven en het onbeperkt delen en opslaan van data is geoorloofd.
En controle of een instantie die ingrijpt bestaat enkel op papier.
11-11-2023, 06:32 door Drs Security en Privacy
Dit is de standaard procedure, geldt overigens ook voor bijvoorbeeld een ISO27001 certificaat.
Kijk dus altijd op de website van de RvA of de organisatie die jouw certificaat wil gaan uitgeven ook daadwerklijk geaccrediteerd is (of de website van de accreditatie organisatie waar zij claimen door te zijn geaccrediteerd).
Er zijn er namelijk genoeg die ISO27001 uitgeven maar niet over deze vereiste beschikken.
Tip 2: check dit ook altijd bij de certificaten die je van je leveranciers krijgt, naast dat je even moet controleren of dat certificaat wel aan jouw leverancier is uitgegeven en niet aan hun hosting/cloud provider (en ja beide vormen ben ik tegen gekomen in de praktijk).
11-11-2023, 08:55 door Anoniem
Tsja... Weer een certificaat. Leuk. De AVG is veel te ruim. Certificering betekent doorgaans niks - reeds een jaar of 30 mee te maken en doorgaans slaat het nergens op. Schijnveiligheid. Maar het staat hip in de folder. Dat zal het doel wel zijn.
11-11-2023, 11:22 door Anoniem
En wie controleert of ze morgen nog steeds voldoen aan dat uitgereikte certificaat en overmorgen, enzo verder?
Dat laat me denken aan (nu) foute bedrijven en de (toen) verstrekte vergunningen.
11-11-2023, 13:10 door Anoniem
Door Anoniem: En wie controleert of ze morgen nog steeds voldoen aan dat uitgereikte certificaat en overmorgen, enzo verder?
Dat laat me denken aan (nu) foute bedrijven en de (toen) verstrekte vergunningen.
Niet, dat valt niet te controleren. Vermoed dat dit in hetzelfde stramien komt als andere certificaten zal worden gedaan. 1x per jaar een controle en driejaarlijks een hercertificering.
11-11-2023, 13:37 door Anoniem
Door Anoniem: Wetgeving. Het is niet dat je AP heet, met autoriteit, dat je je dan boven de wet gesteld kan gedragen. Je zou dus ook eigenlijk geen "certificaten" uit moeten willen geven. Want certificaat of niet, als iemand met tien van die lintjes morgen de wet overtreedt, dan blijft gewoon de wet overtreden. Met of zonder AP. In die zin heeft ook een AVG-certificaat weinig betekenis. Want de wet is gewoon de wet. Waar iedereen zich aan moet houden. Zelfs de AP zelf.
Je bent er kennelijk van overtuigd dat certificaten niet in de AVG geregeld zijn maar door AP zelf erbij worden gefantaseerd. Alleen zijn ze wel degelijk in de AVG geregeld. Lees artikelen 42 en 43 eens:
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL#d1e4064-1-1

Voor alle duidelijkheid: dit is iets dat ik zelf ook echt niet paraat had. Wat ik dan doe is even opzoeken hoe het ook alweer zit.
12-11-2023, 08:12 door Anoniem
Door Anoniem:
Door Anoniem: Wetgeving. Het is niet dat je AP heet, met autoriteit, dat je je dan boven de wet gesteld kan gedragen. Je zou dus ook eigenlijk geen "certificaten" uit moeten willen geven. Want certificaat of niet, als iemand met tien van die lintjes morgen de wet overtreedt, dan blijft gewoon de wet overtreden. Met of zonder AP. In die zin heeft ook een AVG-certificaat weinig betekenis. Want de wet is gewoon de wet. Waar iedereen zich aan moet houden. Zelfs de AP zelf.
Je bent er kennelijk van overtuigd dat certificaten niet in de AVG geregeld zijn maar door AP zelf erbij worden gefantaseerd. Alleen zijn ze wel degelijk in de AVG geregeld. Lees artikelen 42 en 43 eens:
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL#d1e4064-1-1

Voor alle duidelijkheid: dit is iets dat ik zelf ook echt niet paraat had. Wat ik dan doe is even opzoeken hoe het ook alweer zit.
Ik heb soms het idee dat je een juridische opleiding genoten moet hebben om in deze samenleving te kunnen (over-)leven; Als ik 2 regels heb gelezen van zo'n artikel dan ben ik al de weg kwijt (waar gaat/ging dit ook al weer over? ) en dan ook nog 's met verwijzingen naar andere artikelen en bijkomstige normen zie ik door het bomen het bos helemal niet meer. Vraag me af of het ook mogelijk zou zijn zulke artikelen in jip-en janneke taal te 'vertalen' zonder aanhalingen naar andere artikelen en normen, maar een éénduidig artikel waar alles aan elkaar in verband kan worden beschreven.

NB.'t Zal ook wel een gevalltje 'schoenmaker blijf bij je leest' zijn en dat bij mij deze juridische leest totaal afwezig is en me daarmee lichtelijk gehandicapt voel in de samenleving waarbij iedereen geacht wordt de wet te kennen!
12-11-2023, 19:01 door Anoniem
Straks gaan de AP en vooral ook rechters zeggen: ja hoor die dataverwerking mag, want de organisatie die het doet, heeft een "AVG-certificaat" en dus is het veilig en omdat het veilig is is het proportioneel.
Vergelijkbaar met de huisarts die zegt ik mag jouw medische gegevens delen met derden want het mag van mijn beroepsorganisatie en bovendien heeft ons datasysteem een ISO- en een NEN-cerficatie.

Het is weer een nieuwe manier om van AVG alleen nog een papieren letter te maken die in de werkelijkheid helemaal geen bescherming biedt.

AP gaat straks zeggen: wij nemen uw klacht niet in behandeling want wij moeten er wettelijk van uitgaan dat een organisatie met een AVG-certificaat zorgvuldig met uw data omgaat.

Heel die privacybescherming met FG's en PO's is een groot virtueel festijn geworden waar heel wat mensen een goed salaris aan overhouden op kosten van belastingebetalers en consumenten.
Schaf het nu toch gewoon af jongens, als je het toch niet serieus neemt. Waarom doen we nog alsof privacy bestaat? Wie heeft belang bij dit toneelstuk dat kennelijk miljoenen en miljarden mag kosten?
13-11-2023, 14:10 door PJW9779
Tjonge, weer een hoop 'Anoniem'pjes in de discussie.

Dat je voor toepassing en uitvoering van de AVG zowel juridische als technische kennis nodig hebt mag toch wel als bekend worden verondersteld. Voor de FG zie de IAPP-certificering.
Hetzelfde geldt voor de CISO, deze heeft weer zijn eigen certificering.
Een automonteur ook.
Een ambtenaar niet.

Dat onze overheid de AVG uit eigen belang flink heeft verkl**t, daarbij driftig geholpen door het bedrijfsleven ("het is veel te ingewikkeld", "wij zien een verdienmodel!") mag eveneens wel als bekend worden verondersteld.
Vóór de AVG - WBP, WPR, en nóg eerder - was het ook onder de maat, maar ook internationaal een drama.
En dat alles afgezegend door een infantiele burger/belastingbetaler die haar/zijn social media platforms met influencers en clickbait véél belangrijker vindt.

Resteert een goed geïnfomeerde calculerende burger, tegenover een calculerend bedrijfsleven en overheid.
13-11-2023, 17:00 door Anoniem
Door Anoniem: Naamgeving. De AP is er om toezicht te houden op de uitvoering van de AVG. Wat een wet is. Op zich heb je met een wet waar iedereen zich aan houdt dus helemaal geen AP nodig. De wet is wet zoals daar ook staat dat je niet door rood mag rijden.

Als je de opzet van de AVG vertaalt naar het verkeer komt er zoiets uit als:

Bestuurders mogen niet onredelijk hard rijden. Zij moeten rekening houden met de weersomstandigheden, de situatie ter plaatse en de snelheid van het overige verkeer.

Bij het naderen van een kruispunt moeten alle verkeersdeelnemers rekening houden met andere verkeersdeelnemers die mogelijk op dezelfde tijd het kruispunt naderen.

Voetgangers genieten een bijzondere bescherming. Zij mogen niet aangereden worden.

Motorvoertuigen moeten zich in een goede technische staat bevinden, tenzij het verbeteren van de technische staat onredelijk hoge kosten met zich meebrengt.


Zie dat maar eens te handhaven zonder centrale autoriteit!
22-11-2023, 17:40 door Anoniem
Deze stappen hebben niets meer te maken met de bedoeling van de minister van de autoriteit als in een agentschap dat zich zou beperken tot het reguleren van sec datgeen waartoe ze opgericht zou worden. Binnen die scope van die bestaansreden konden wel dingen worden gewijzigd of zich wijzigen maar het moest nadrukkelijk niet daarbuiten gaan treden, na mission creep door opvolgende politici. Het moest geen echte Autoriteit worden die overal buiten de opdracht tentakels uitsprijdt en in zet.

Wat de AP nu doet is als organisatie zelf een bron worden van vertrouwen, dat vertrouwen weggeven via certificaten en andere partijen dat gedistrubueerde vertrouwen laten inzetten.
Het probleem waar ik op doel is niet zozeer dat de AP niet zelf de certificaten gaat uitgeven.

Wel:
- dat de handeling van aanleveren van eisen door de AP een soort stempel van goedkeuring en autoriteit aan dat criteria stelsel meegeeft / mee kan geven, dat terwijl dit het zoveelste certificering ding is - de AP moest ook daarom nadrukkelijk niet helemaal of zelfs maar gedeeltelijk een stempel-verlener worden.
- dat de handeling dus autoriteit van de Autoriteit zelf laat verwateren
- dat ze als overheidsorganisatie buiten de scope treedt die de minister letterlijk meegegeven heeft, met als redenen dat het geen tentakelverspreidend of machtsverzamelend danwel rechtsprekende organisatie met meerdere petten op moest worden.
- dat in de praktijk telkens een vrijwillig stempel op kwailteitsvlak sowieso geen vrijblijvendheid garandeert. En natuurlijk helemaal in de lijk van verwachting is doordat een Autoriteit van de overheid er aan meewerkt dat de race om niet achter te blijven natuurlijk versneld en versterkt wordt
- dat de certificering als het gaat om privacy eerbiediging geen / niet ook een schriftelijk proces moest worden (certificering of comply and explain in plaats van pas toe) maar eerst en vooral voer uit en pas toe door alle actoren van de AVG.
- dat de certificering ook bedenkelijke zegginskracht heeft om redenen door anderen hierboven genoemd. Daarom en strijdigheid met goed bestuur door overheid en private partijen bevordert.
- dat de Autoriteit met meewerken aan die certificering de uitvoeringsstrategie van de AVG door toepassers ervan beïnvloed anders dan hoe de wetgever het uitdrukkelijk heeft bedoelt. Dat maakt dat de AP zowel de AVG zelf herkadert en daarmee ook in de rol van de wetgever(scope van de wet definieren) treedt terwijl ze nota bene een ZBO is en dus in geen enkel beleid element van overheden mag gaan herdefinieren.

De AP ontspoort dus met deze stap in vele vlakken!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.