Waarom is het AVG-certificaat BC 5701 zo actueel en belangrijk?

De Algemene verordening gegevensbescherming (AVG) maakt het mogelijk voor organisaties om met een AVG-certificaat te laten zien dat een product, proces of dienst voldoet aan de wettelijke eisen. René Glas van The Privacy CoOperation vertelt over de betekenis van certificeringsstandaard BC 5701. 

AVG-certificaat

Een AVG-certificaat is een nieuwe manier voor een organisatie om de naleving van de Algemene verordening gegevensbescherming (AVG) langs een objectieve meetlat te leggen. De Nederlandse certificatie-instelling Brand Compliance heeft de afgelopen jaren de BC 5701 standaard ontwikkeld. “De verwachting is dat de Autoriteit Persoonsgegevens (AP) het raamwerk goedkeurt. De norm is al positief beoordeeld door andere nationale toezichthouders en gaat straks gelden in de gehele Europese Unie”, vertelt René Glas van The Privacy CoOperation, een van de partners van het Dataprotectie & Privacy Congres 2023 van Outvie.

BC 5701 schetst een set criteria, procedures en maatregelen die organisaties handvatten geeft om de verwerking van persoonsgegevens in overeenstemming te brengen met de AVG-regels. “De toepassing van de standaard betekent dat je als verwerkingsverantwoordelijke of verwerker de omgang met persoonsgegevens door een externe expert laat toetsen. Je weet dan met meer zekerheid dat de AVG-compliance aantoonbaar goed is geregeld”, zegt Glas, die op 29 september tijdens het Dataprotectie & Privacy Congres een kennissessie verzorgt over BC 5701.

Privacycertificering voor AVG-compliance 

“De afgelopen jaren hebben organisaties in het kader van AVG-compliance allerlei processen ingeregeld. Maar vanwege de vele open normen weet je eigenlijk niet precies wanneer het goed genoeg is. De komst van BC 5701 betekent dat je door de AP geaccordeerde normen hebt over hoe je de AVG uitlegt en toepast,” zegt Glas over de bijdrage van de certificering aan AVG-compliance.

Een privacycertificaat vervult naast een interne ook een externe functie. “Met het BC 5701-certificaat laat je naar buiten toe zien dat de privacybelangen van betrokken goed zijn beschermd. De werkwijze van de organisatie is objectief gecheckt en getoetst. Daarmee maak je voor iedereen overtuigend inzichtelijk dat op de juiste wijze invulling is gegeven aan de vereisten van de AVG.” Bij bijvoorbeeld een privacyverklaring ontbreekt de externe toets.

De meerwaarde van AVG-certificering 

Na de Data Pro Code van NLdigital en GDPR-CARPA, een Europese norm die is goedgekeurd door de privacytoezichthouder van Luxemburg, wordt BC 5701 de derde certificatiestandaard onder de Europese General Data Protection Directive (GDPR). Glas: “Een groot voordeel van BC 5701 is dat de implementatie minder intensief en kostbaar is dan bij de GDPR-CARPA. Een certificeringsproces kost natuurlijk altijd tijd en geld. In veel gevallen zijn er immers veranderingen nodig in de bedrijfsvoering van de organisatie. Maar het raamwerk van BC 5701 is een relatief eenvoudige en goedkope manier voor effectieve compliance.”

In juli 2023 oordeelde het Europese Hof van Justitie dat Facebook de bevoegdheden van nationale toezichthouders onder de GDPR verkeerd heeft geïnterpreteerd. De al jarenlang slepende rechtszaken tegen de techgigant – en moederbedrijf Meta – laten volgens Glas zien dat organisaties risico’s van boetes kunnen voorkomen door vanuit een objectieve lens te kijken naar de eisen en normen van de AVG. “Met certificering beoordelen onafhankelijke auditors de werkwijze van de organisatie, en vinden verplichte hercertificeringen plaats. Daardoor voorkom je dat privacybescherming onjuist of onvoldoende wordt ingestoken.”

BC 5701: certificaat én vrijwillige norm

Organisaties kunnen zelf de afweging maken om BC 5701 toe te passen als vrijwillige norm, of ook het formele certificeringsproces te doorlopen. “Net als we nu zien bij de ISO 27001-norm voor informatiebeveiliging, zullen sommige organisaties straks wel werken volgens BC 5701 maar niet het certificaat aanvragen. Bijvoorbeeld omdat er kosten aan certificering zijn verbonden.”

Met de toepassing van de methodiek van BC 5701 laat een organisatie voor zichzelf, de toezichthouder én betrokkenen zien dat er serieus werk is gemaakt van AVG-compliance. Glas ziet tegelijkertijd de toegevoegde waarde van certificering. “De kans bestaat dat overheden in aanbestedingsprocedures gaan vragen of een organisatie beschikt over het BC 5701-certificaat. Certificering wordt dan een unique selling point.”

De voordelen voor de lange termijn wegen volgens Glas ruimschoots op tegen de investeringen die op de korte termijn nodig zijn voor de certificering. “In het certificeringsproces is ruime aandacht voor training en awareness van medewerkers. Dat betekent dat privacy en informatiebeveiliging uiteindelijk een onderdeel worden van de dagelijkse werkzaamheden, en dat medewerkers onbewust bekwaam worden op het onderwerp. Daarmee krijgt het onderwerp echt inhoud. Met het certificaat van BC 5701 laat je zien goed op weg te zijn.”

Sleutelrol voor de FG

Privacy officers spelen een belangrijke rol bij de implementatie van privacycertificering. De diverse elementen uit het raamwerk moeten immers worden toegepast op de concrete situatie. Werkt de organisatie al volgens de voorgeschreven manier? Zo nee, wat is er dan nodig voor compliance? Zo ja, zijn de werkwijzen duidelijk vastgelegd?

De Functionaris Gegevensbescherming (FG) vervult een sleutelpositie in het gebruik van een privacycertificaat, benadrukt Glas. “Allereerst kan de FG de toepassing van BC 5701 op de agenda zetten, zodat privacy officers ermee aan de slag gaan. Vervolgens toetst de FG aan de hand van het normenkader of de interne gang van zaken akkoord is. Daarnaast adviseert de FG over de eventuele aanvraag van een certificaat. Is volledige certificering wenselijk, of is de organisatie al voldoende geholpen met de toepassing van de standaard?”

De FG kan bovendien gebruik maken van een privacycertificaat in de communicatie met de AP. “De vermelding van een certificaat zoals BC 5701 in het verslag van de FG aan de AP geeft gewicht aan de rapportage. Maar uiteindelijk is het grootste belang van de certificering dat de organisatie dan objectief voldoet aan de AVG. De standaard zorgt daarmee voor aantoonbare compliance en geeft betrokkenen vertrouwen dat persoonsgegevens goed zijn beschermd.”