Certificering Bescherming Persoonsgegevens GDPR/AVG

Certificering Bescherming Persoonsgegevens GDPR/AVG

INTRODUCTIE Certificering Bescherming Persoonsgegevens GDPR/AVG

Op 25 mei 2018 trad de Europese wetgeving in werking die betrekking heeft op de bescherming van persoonsgegevens. Deze wetgeving  is  internationaal  bekend  onder  de naam GDPR (General Data Protection Regulation) of in Nederland als AVG (Algemene Verordening Gegevensbescherming).

Dit wettelijk kader heeft als doel om de internationale  wet-  en  regelgeving  rondom de verwerking en bescherming van persoonsgegevens gelijk te trekken. Met ‘persoonsgegevens’ bedoelen we: informatie die herleidbaar is naar een individu. De wetgeving GDPR/AVG heeft betrekking op organisaties die gevestigd zijn in een van de EU-lidstaten, maar ook op organisaties buiten de Europese Unie die persoonsgegevens verwerken van EU-inwoners.

Binnen het kader van deze Europese wetgeving,  die  in  Nederland   in   principe   de Wet Bescherming Persoonsgegevens (Wbp) vervangt, is de optie van (vrijwillige) certificering opgenomen. Daarom  heeft Bureau Veritas een certificatienorm ontwikkeld die aansluit op deze wetgeving en die we aanduiden als Technische Norm Bescherming Persoonsgegevens.

TOEPASSINGSGEBIED

De certificatienorm voor het beschermen van persoonsgegevens is generiek. Dat betekent dat de norm kan worden toegepast op elk type organisatie, ongeacht de omvang, de sector waarin de organisatie actief is of de aard van de (primaire) activiteiten, zoals profit, non- profit of overheid.

NORMINHOUD

De Technische Norm Bescherming Persoons- gegevens is gericht op de eerste 50 artikelen van de  Europese  GDPR-wetgeving.  Dit  is het deel van het wettelijk kader waaraan organisaties die persoonsgegevens verwerken zich moeten houden. Tevens is de norm gestructureerd volgens de  onderliggende norm ISO 17065 (Conformity assessment).

De certificatienorm bestaat uit 6 hoofdstukken waarin de verschillende normelementen aan bod komen. Dit betreft de volgende onderwerpen: organisatie en structuur, risicomanagement van persoonsgegevens, managementsysteem, controle over producten en/of diensten, operationele controle en middelen.

CERTIFICATIETRAJECT

Hoe ziet dit certificatietraject er uit? Operationeel verloopt het certificatietraject rondom deze norm in grote lijnen hetzelfde als bij een willekeurige ISO norm, zoals bijvoorbeeld de ISO 9001. Voorafgaand aan deze certificering bieden we de mogelijkheid tot een (vrijblijvende) nulmeting. Hiermee stellen we vast in hoeverre de te certificeren organisatie voldoet aan de eisen van deze certificatienorm. Deze nulmeting leggen wij vast in een functioneel rapport waarin we alle concrete bevindingen op papier hebben gezet.

Het certificatietraject start met een evaluatie of audit. Wanneer deze audit succesvol afgerond is ontvangt de organisatie een certificaat met een geldigheidsduur van 3 jaar. Daarnaast zullen we de organisatie jaarlijks tussentijds evalueren zodat we kunnen vaststellen of er nog steeds voldaan wordt aan de eisen van de norm. Aan het einde van de periode kan de gecertificeerde organisatie een nieuwe cyclus van 3 jaar opstarten door opnieuw certificering aan te vragen.

Wilt u meer gedetailleerde informatie over deze certificering in de praktijk ontvangen? Bekijk dan onze brochure Het Certificatieproces. Deze kunt u downloaden op onze website.

ACCREDITATIE

Als certificatie-instelling dient Bureau Veritas GDPR-certificering onder accreditatie te brengen zoals dat is vastgelegd binnen de EU-wetgeving.

In 2018 is Bureau Veritas het accreditatietraject gestart met de accreditatie- instelling Raad voor Accreditatie (RvA) en toezichthouder Autoriteit Persoonsgegevens (AP). Naar verwachting zal dit leiden tot formele accreditatie in 2019. Tot die tijd biedt Bureau Veritas ongeaccrediteerde certificering aan en voert deze uit volgens de accreditatierichtlijnen.

AANVULLENDE NORMEN

De Technische Norm Bescherming Persoonsgegevens kan in de praktijk worden toegepast als een op zichzelf staande certificatienorm. Daarnaast kan deze norm in combinatie met andere normen worden ingezet, waaronder ISO 9001 (kwaliteit), ISO 27001 (informatiebeveiliging), NEN 7510 (informatiebeveiliging in de zorgsector), ISO 27017/ISO 27018 (informatiebeveiliging in de cloud) en ISO 22301 (risicomanagement/ bedrijfscontinuïteit).

Stuur mij meer informatie of een vrijblijvende offerte

Neem contact op