Certificering Bescherming Persoonsgegevens GDPR/AVG

Op 25 mei 2018 trad de Europese wetgeving in werking die betrekking heeft op de bescherming van persoonsgegevens. Deze wetgeving is internationaal bekend onder de naam GDPR (General Data Protection Regulation) of in België als AVG (Algemene Verordening Gegevensbescherming) en heeft als doel de internationale wet- en regelgeving rondom de verwerking en bescherming van persoonsgegevens gelijk te trekken.

Met ‘persoonsgegevens’ bedoelen we: alle informatie die herleidbaar is naar een individu. De wetgeving GDPR/AVG heeft zowel betrekking op organisaties die gevestigd zijn in één van de EU-lidstaten, als op organisaties buiten de Europese Unie indien deze persoonsgegevens verwerken van EU-inwoners.

Binnen het kader van deze Europese wetgeving, is de optie van (vrijwillige) certificering opgenomen. Om die reden heeft Bureau Veritas een certificatienorm ontwikkeld die aansluit op deze wetgeving en die we aanduiden als Technische Norm Bescherming Persoonsgegevens.

TOEPASSINGSGEBIED

De certificatienorm voor het beschermen van persoonsgegevens is generiek. Dat betekent dat de norm kan worden toegepast op elk type organisatie, ongeacht de grootte, de sector waarin de organisatie actief is of de aard van de (primaire) activiteiten, zoals profit, non- profit of overheid.

NORMINHOUD

De Technische Norm Bescherming Persoons- gegevens richt zich op de eerste 50 artikelen van de Europese GDPR-wetgeving die het wettelijk kader waaraan organisaties die persoonsgegevens verwerken zich moeten houden omvatten. Daarbovenop is de norm gestructureerd volgens de onderliggende norm ISO 17065 (Conformity assessment).

De certificatienorm bestaat uit 6 hoofdstukken waarin de verschillende normelementen aan bod komen en omvat volgende onderwerpen: organisatie en structuur, risicomanagement van persoonsgegevens, managementsysteem, controle over producten en/of diensten, operationele controle en middelen.

CERTIFICATIETRAJECT

Hoe ziet dit certificatietraject er uit? Operationeel verloopt het certificatietraject voor deze norm in grote lijnen hetzelfde als bij een willekeurige ISO norm, zoals bijvoorbeeld de ISO 9001. Voorafgaand aan deze certificering bieden we de mogelijkheid tot een (vrijblijvende) nulmeting. Hiermee stellen we vast in hoeverre de te certificeren organisatie voldoet aan de eisen van deze certificatienorm waarna een functioneel rapport met alle concrete bevindingen wordt opgemaakt.

Het certificatietraject start met een evaluatie of audit. Wanneer deze audit succesvol afgerond is ontvangt de organisatie een certificaat met een geldigheidsduur van 3 jaar. Daarnaast zullen we de organisatie jaarlijks tussentijds evalueren zodat we kunnen vaststellen of er nog steeds voldaan wordt aan de eisen van de norm. Aan het einde van gans het traject kan de gecertificeerde organisatie een nieuwe cyclus van 3 jaar opstarten door opnieuw certificering aan te vragen.

Graag meer gedetailleerde informatie over de praktijk van deze certificering? Bekijk dan zeker onze brochure Het Certificatieproces, welke u hier op onze website kan downloaden.

ACCREDITATIE

Als certificatie-instelling dient Bureau Veritas GDPR-certificering onder accreditatie te brengen zoals dat is vastgelegd binnen de EU-wetgeving. Voorlopig is deze certificatiestandaard niet geaccrediteerd noch zijn er andere geaccrediteerde GDPR-certificeringen mogelijk.

AANVULLENDE NORMEN

De Technische Norm Bescherming Persoonsgegevens kan in de praktijk worden toegepast als een op zichzelf staande certificatienorm. Daarnaast kan deze norm ook gecombineerd worden met andere normen zoals, ISO 9001 certificering (kwaliteit), ISO 27001 (informatiebeveiliging), NEN 7510 (informatiebeveiliging in de zorgsector), ISO 27017/ISO 27018 (informatiebeveiliging in de cloud) en ISO 22301 (risicomanagement/ bedrijfscontinuïteit).