Certificeren voor de Algemene Verordening Gegevensbescherming (AVG / GDPR) – De komst van de BC 5701

Al vóór het van kracht worden van de privacywet AVG (Algemene Verordening Gegevensbescherming) was bekend dat het ooit mogelijk zou zijn dit aantoonbaar te kunnen maken met een certificaat (artikel 42 van de AVG). Dat moment is nu in Nederland nabij: standaard BC 5701 wordt certificeerbaar onder de accreditatie van Brand Compliance, naar verwachting in de 1^e helft van 2024.

Waarom kiezen voor een dergelijk traject? Om te zorgen dat je:

Brand Compliance is een in Nederland bekende geaccrediteerde certificerende instelling (CI). CertificeringsAdvies Nederland (CAN) kent Brand Compliance al langer als een flexibele en betrouwbare partij. Om deze reden én omdat wij de norm inhoudelijk hebben beoordeeld, herkennen en onderschrijven wij de waarde van de norm.

De norm bekijkt alles wat jouw organisatie nodig heeft vanuit drie standpunten:

Daarbij is het van belang dat deze norm meer een productcertificering is, anders dan wat je wellicht uit ISO 27001 al kent. De diepgang en omgang van de audit is groter dan die van ISO 27001. Daarbij is een al ingevoerd ISO 27001 managementsysteem een uitstekend vertrekpunt om ook de BC 5701 norm toe te passen!

De norm kent daarmee een aantal voordelen ten opzichte van bijvoorbeeld de Data Pro Code – namelijk breder inzetbaar en meer zekerheid biedend – en GDPR-CARPA of Europrivacy (uit Luxemburg), omdat deze (nog) niet in Nederland inzetbaar zijn.

De methode van invoeren is volgens de bekende ISO aanpak :

CAN kan je ondersteunen bij alle stappen (bij stap 5: als ondersteuner van jouw organisatie –  CAN voert geen externe audits uit). En je kan er uiteraard voor kiezen alvast conform de norm te gaan werken en te certificeren wanneer dat noodzakelijk is – hoewel dat laatste zeker ons advies zou zijn!

Uiteraard kan je een en ander verder nalezen in de whitepaper van Brand Compliance.

In dit artikel gaan wij verder in op enkele details van de norm en het implementatietraject, om een aantal eerste vragen gelijk te beantwoorden:

Negen hoofdstukken, waarvan hoofdstuk 4 t/m 9 inhoudelijke eisen bevatten. Dit zijn o.a.

Daarbij gaan de eisen in op jouw rol als verwerkingsverantwoordelijke of verwerker.

Duidelijk. Termen als ‘moeten’ worden gebruikt, en ook ‘vastleggen’ is helder, namelijk elektronisch of op papier documenteren en de rol van de Functionaris Gegevensbescherming daarbij. Afwegingen waarbij beoordeling door een jurist verstandig zijn, zijn duidelijk aangegeven – bijvoorbeeld analyse van de rechtmatigheid van de verwerking. CAN kan je hierbij ook assisteren.

Eisen zoals ‘vaststellen van beleid’ worden duidelijk opgesomd en met een opmerking in de normtekst wordt een voorbeeld gegeven van een indeling van effectief beleid.

De documentatievereisten zijn opgenomen in Bijlage 1 en relevante richtlijnen van de European Data Protection Board (EDPB) en Autoriteit Persoonsgegevens zijn opgenomen in Bijlage 3.

De aard van de norm is dat je een hoge mate van aantoonbaarheid van naleving realiseert. Dat kost uiteraard inspanning. Bijvoorbeeld het loggen van doorzending van gegevens aan derden is noodzakelijk – waarbij structurele doorzendingen volledig automatisch moeten worden gelogd. Of het blijven borgen dat de ingeschakelde subverwerkers hun werk correct uitvoeren.

Je register van verwerkingsactiviteiten moet in elektronische vorm zijn opgesteld – iets wat in de praktijk toch al gedaan wordt.

Met betrekking tot principes waar de techniek in veel gevallen nog tekort schiet – of buitensporig kostbaar – is de norm pragmatisch, zoals bij het verwijderen van gegevens uit back-ups.

Maar de norm verplicht je niet tot fundamenteel nieuwe dingen.

Als je onder de AVG geen Functionaris Gegevensbescherming nodig had, is dat onder de norm ook niet noodzakelijk.

Ja – er zijn criteria die gelden voor een verantwoordelijk en niet voor een verwerker. Een aantal daarvan scheelt je als verwerker veel werk.

En natuurlijk ook:

Nee – er zijn criteria voor de verwerker, waaronder dat jij als verwerker je moet verzekeren dat de opdrachtgever de gegevens wel rechtmatig mag verwerken en hem dus ook informeert wanneer een opdracht inbreuk oplevert.

Maar eenvoudig gezegd, als je je opdrachtgever wilt aantonen dat je de gegevens die hij verstrekt goed verwerkt, kan je dus nu al prima beginnen met je implementatietraject.

In theorie wel, in de praktijk is ISO 27001 certificering toch het meest praktisch. Eis 7.1.b stelt namelijk dat je organisatie aantoonbaar moet conformeren aan een goedgekeurde gedragscode of gerenommeerde standaard – wat in de praktijk meestal leidt tot een ISO 27001 certificaat van een geaccrediteerde CI. Uitzonderingen zijn wel mogelijk (mits door de Autoriteit Persoonsgegevens erkend) – voor de hand liggend zijn NEN 7510 en de Baseline Informatiebeveiliging Overheid (BIO).

BC5701 kent een eis m.b.t. Risicomanagementbeleid. Daarbij is sprake van ‘categorisering en normering van impact en waarschijnlijkheid’. Iets wat je wellicht herkent als de ISO 27001 methodiek. Voor het perspectief van de betrokkene dat hierbij nodig is, bieden DPIA guidelines nuttige hulp.

Neem gerust contact met ons op! Een van onze relatiemanagers of adviseurs privacy- en informatiebeveiliging beantwoordt je vragen graag!