Certificeren voor de Algemene Verordening Gegevensbescherming (AVG / GDPR) – De komst van de BC 5701

Certificeren voor de AVG? Standaard BC 5701 wordt certificeerbaar onder de accreditatie van Brand Compliance, naar verwachting in de 1e helft van 2024.

BC5701 - AVG certificering
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Al vóór het van kracht worden van de privacywet AVG (Algemene Verordening Gegevensbescherming) was bekend dat het ooit mogelijk zou zijn dit aantoonbaar te kunnen maken met een certificaat (artikel 42 van de AVG). Dat moment is nu in Nederland nabij: standaard BC 5701 wordt certificeerbaar onder de accreditatie van Brand Compliance, naar verwachting in de 1e helft van 2024.

Waarom BC 5701?

Waarom kiezen voor een dergelijk traject? Om te zorgen dat je:

  1. risico’s beperkt;
  2. aan de wet voldoet en;
  3. om aan betrokkenen en opdrachtgevers te garanderen dat je voor hen de juiste partner bent.

Brand Compliance is een in Nederland bekende geaccrediteerde certificerende instelling (CI). CertificeringsAdvies Nederland (CAN) kent Brand Compliance al langer als een flexibele en betrouwbare partij. Om deze reden én omdat wij de norm inhoudelijk hebben beoordeeld, herkennen en onderschrijven wij de waarde van de norm.

Kom alles te weten over informatiebeveiliging!

Wil je alles lezen over informatiebeveiliging?
Bekijk onze online gids over informatiebeveiligingsmanagement

Meer diepgang

De norm bekijkt alles wat jouw organisatie nodig heeft vanuit drie standpunten:

  • De AVG zelf
  • Een normenkader voor informatiebeveiliging (IB) – maar dan wel toegepast vanuit het perspectief van de betrokkene en voor de toepasselijke verwerkingen (niet per se jouw hele organisatie)
  • Een managementsysteem – zoals ISO 27001. Een PDCA cyclus is aanwezig.

Daarbij is het van belang dat deze norm meer een productcertificering is, anders dan wat je wellicht uit ISO 27001 al kent. De diepgang en omgang van de audit is groter dan die van ISO 27001. Daarbij is een al ingevoerd ISO 27001 managementsysteem een uitstekend vertrekpunt om ook de BC 5701 norm toe te passen!

De norm kent daarmee een aantal voordelen ten opzichte van bijvoorbeeld de Data Pro Code – namelijk breder inzetbaar en meer zekerheid biedend – en GDPR-CARPA of Europrivacy (uit Luxemburg), omdat deze (nog) niet in Nederland inzetbaar zijn.

De methode van invoeren is volgens de bekende ISO aanpak :

  1. Nulmeting of ‘GAP analyse’
  2. Implementatie
  3. Operationele uitvoering
  4. Interne audit
  5. Certificering(saudit).
  6. (Herhaling)

CAN kan je ondersteunen bij alle stappen (bij stap 5: als ondersteuner van jouw organisatie –  CAN voert geen externe audits uit). En je kan er uiteraard voor kiezen alvast conform de norm te gaan werken en te certificeren wanneer dat noodzakelijk is – hoewel dat laatste zeker ons advies zou zijn!

Uiteraard kan je een en ander verder nalezen in de whitepaper van Brand Compliance.

In dit artikel gaan wij verder in op enkele details van de norm en het implementatietraject, om een aantal eerste vragen gelijk te beantwoorden:

Wat is de structuur van de BC 5701 norm?

Negen hoofdstukken, waarvan hoofdstuk 4 t/m 9 inhoudelijke eisen bevatten. Dit zijn o.a.

  • vaststellen van de context (je herkent dit uit de 27001 norm),
  • eisen aan de organisatie,
  • het initieel opzetten van verwerkingen en het uitvoeren en wijzigen daarvan,
  • technische en organisatorische maatregelen,
  • eisen aan het managementsysteem.

Daarbij gaan de eisen in op jouw rol als verwerkingsverantwoordelijke of verwerker.

Hoe duidelijk is de norm?

Duidelijk. Termen als ‘moeten’ worden gebruikt, en ook ‘vastleggen’ is helder, namelijk elektronisch of op papier documenteren en de rol van de Functionaris Gegevensbescherming daarbij. Afwegingen waarbij beoordeling door een jurist verstandig zijn, zijn duidelijk aangegeven – bijvoorbeeld analyse van de rechtmatigheid van de verwerking. CAN kan je hierbij ook assisteren.

Eisen zoals ‘vaststellen van beleid’ worden duidelijk opgesomd en met een opmerking in de normtekst wordt een voorbeeld gegeven van een indeling van effectief beleid.

De documentatievereisten zijn opgenomen in Bijlage 1 en relevante richtlijnen van de European Data Protection Board (EDPB) en Autoriteit Persoonsgegevens zijn opgenomen in Bijlage 3.

Gaat de BC 5701 norm verder dan de wet?

De aard van de norm is dat je een hoge mate van aantoonbaarheid van naleving realiseert. Dat kost uiteraard inspanning. Bijvoorbeeld het loggen van doorzending van gegevens aan derden is noodzakelijk – waarbij structurele doorzendingen volledig automatisch moeten worden gelogd. Of het blijven borgen dat de ingeschakelde subverwerkers hun werk correct uitvoeren.

Je register van verwerkingsactiviteiten moet in elektronische vorm zijn opgesteld – iets wat in de praktijk toch al gedaan wordt.

Met betrekking tot principes waar de techniek in veel gevallen nog tekort schiet – of buitensporig kostbaar – is de norm pragmatisch, zoals bij het verwijderen van gegevens uit back-ups.

Maar de norm verplicht je niet tot fundamenteel nieuwe dingen.

Als je onder de AVG geen Functionaris Gegevensbescherming nodig had, is dat onder de norm ook niet noodzakelijk.

Is het implementeren makkelijker voor een verwerker?

Ja – er zijn criteria die gelden voor een verantwoordelijk en niet voor een verwerker. Een aantal daarvan scheelt je als verwerker veel werk.

En natuurlijk ook:

Nee – er zijn criteria voor de verwerker, waaronder dat jij als verwerker je moet verzekeren dat de opdrachtgever de gegevens wel rechtmatig mag verwerken en hem dus ook informeert wanneer een opdracht inbreuk oplevert.

Maar eenvoudig gezegd, als je je opdrachtgever wilt aantonen dat je de gegevens die hij verstrekt goed verwerkt, kan je dus nu al prima beginnen met je implementatietraject.

Kan AVG-certificering zonder ISO 27001 certificering?

In theorie wel, in de praktijk is ISO 27001 certificering toch het meest praktisch. Eis 7.1.b stelt namelijk dat je organisatie aantoonbaar moet conformeren aan een goedgekeurde gedragscode of gerenommeerde standaard – wat in de praktijk meestal leidt tot een ISO 27001 certificaat van een geaccrediteerde CI. Uitzonderingen zijn wel mogelijk (mits door de Autoriteit Persoonsgegevens erkend) – voor de hand liggend zijn NEN 7510 en de Baseline Informatiebeveiliging Overheid (BIO).

BC5701 kent een eis m.b.t. Risicomanagementbeleid. Daarbij is sprake van ‘categorisering en normering van impact en waarschijnlijkheid’. Iets wat je wellicht herkent als de ISO 27001 methodiek. Voor het perspectief van de betrokkene dat hierbij nodig is, bieden DPIA guidelines nuttige hulp.

Hoe nu verder?

Neem gerust contact met ons op! Een van onze relatiemanagers of adviseurs privacy- en informatiebeveiliging beantwoordt je vragen graag!

Offerte aanvragen

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

BC-5701 certificeren?

Vraag direct een vrijblijvende offerte op maat aan!

  • Oplossingen op maat
  • Jouw organisatie als uitgangspunt
  • Snel, pragmatisch en persoonlijk

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields