Certificering loodst bedrijven door AVG

De Algemene Verordening Gegevensbescherming (AVG) is een jaar na de invoering geland in zakelijk Nederland. Maar voor veel bedrijven is het nog altijd onduidelijk hoe ze aan de privacywet kunnen voldoen. De Stichting AVG Garant schiet te hulp met voorlichting en een certificeringsnorm.

“In het begin was de AVG een enorme hype en dan zinkt het weg”, ziet Theo van Leeuwen. “Maar het probleem blijft wel doorzeuren, veel bedrijven weten niet wat ze er mee aan moeten.” Het bestuurslid van de Stichting AVG Garant wil daarbij wel eerst even een misvatting uit de wereld helpen: “De AVG is niet per se restrictief.” En hij heeft er recente voorbeelden bij. Tijdens een reünie van een groot bedrijf bleken veel oud-medewerkers niet uitgenodigd te zijn. Het bedrijf had de persoonsgegevens na zeven jaar weggegooid, ter bescherming van de privacy. “Zaken als arbeidscontracten en loonbelastingverklaringen moet je inderdaad na het vertrek van een werknemer na het verlopen van de bewaartermijnen opruimen. Maar de NAW-gegevens kun je wel bewaren, als je maar duidelijk bent over het doel daarvan. En je moet de vertrekkende werknemer om toestemming vragen.”

Het maakt volgens hem duidelijk dat ondernemingen onnodig in de stress schieten door de wet die op 25 mei 2018 volledig van kracht werd en sindsdien wordt gehandhaafd. Ander voorbeeld: een schoonmaakbedrijf vroeg zich af of in het personeelsblad nog melding gemaakt mag worden van de geboorte van een kind van een medewerker. “Uiteraard mag dat, mits de medewerker dat goed vindt. Maar voorafgaand aan publicatie toestemming geven vind ik volstrekt normaal gedrag. Dat heeft niet zoveel met de AVG te maken.”

Conceptnorm

De inhoud van de wet stond ook al grotendeels in bestaande wetgeving. De AVG bleek wel een aantal abstracte normen te hebben die nog ingevuld moesten worden, vertelt Gerrit van Rooij, secretaris van AVG Garant. “Omdat het de intentie is de wet niet om de paar jaar aan te passen. Daarop gingen bedrijven zich afvragen wat ze nu eigenlijk moeten doen.”

De behoefte aan voorlichting en richtinggeving vormde de aanleiding om al in december 2017 de stichting op te richten. Met als doel ‘bedrijven te helpen bij de uitvoering van de AVG en het uitdragen van een integer beleid met betrekking tot persoonsgegevens’. Dat beoogt de stichting door het beheren van een certificeringsschema, het registreren van gecertificeerde organisaties, het geven van voorlichting en het zijn van een informatieplatform en spreekbuis naar derden.

Intussen heeft AVG Garant een conceptnorm opgesteld. Die is breed toepasbaar maar focust vooralsnog op bedrijven in de bemiddelingssector, waar verwerking en uitwisseling van persoonsgegevens aan de orde van de dag is. Een eerste audit is uitgevoerd door Bureau Cicero. En uiterlijk 1 juli wordt de norm voor accreditatie neergelegd bij de Raad voor Accreditatie. Zolang dit nog niet is geregeld, wordt er een keurmerk verstrekt en geen geaccrediteerd certificaat. Bedrijven worden ook ingeschreven in het AVG Garant register.

 Audit

Van Leeuwen, tevens directeur van Cicero, benadrukt dat in de toekomst ook andere bevoegde bureaus met getrainde auditoren de audits voor AVG Garant zullen gaan uitvoeren. Hij ziet louter voordelen voor organisaties die de stap zetten. “Met het certificaat kunnen bedrijven aan hun klanten, derden en toezichthouders eenvoudig laten zien dat ze aan de AVG voldoen en zorgvuldig en rechtmatig omgaan met persoonsgegevens. Zo verstevig je je reputatie als betrouwbaar bedrijf. Plus je vermindert bedrijfsrisico’s, verbetert je bedrijfsprocessen, krijgt een second opinion en sectorspecifieke duiding en toepassingen.” Een evaluatie van het ministerie van Justitie en Veiligheid in april 2019 toonde aan dat aan dat laatste behoefte is.

De voorlopige norm volgt de levenscyclus van data, van verzamelen tot wissen, en bevat alle AVG verplichtingen. Van Leeuwen: “Het is een controleprogramma waarmee je gestructureerd door de hele onderneming kunt bekijken hoe met persoonsgegevens wordt omgegaan.” Na afsluiting van de pilotfase eind juni willen AVG Garant en Cicero de markt op. De verwachting is dat vooral bedrijven met meer dan vijftig medewerkers zullen aankloppen voor een audit.

Onderhoud

Pakt de audit niet goed uit, dan komt er geen keurmerk, maar wordt wel duidelijk wat er verbeterd moet worden. Na een succesvolle audit en een certificering volgt wellicht een belangrijkere fase: het onderhoud. “Je doet pas echt iets goeds met de AVG als de afspraken worden onderhouden”, stelt Gerrit van Rooij. “Dat staat niet zo precies in de AVG maar is wel nadrukkelijk de bedoeling.”

De certificering is drie jaar geldig. Jaarlijks zijn er controles ter actualisering en bijschaving. Bijvoorbeeld omdat er nieuwe software wordt aangeschaft en er nieuwe verwerkingen bijkomen. En ook medewerkers komen en gaan.

Sommige bedrijven doen er niets aan, anderen zijn druk doende compliant te worden, ziet hij. De nalatigen lopen het risico van een boete of dwangsom door de Autoriteit Persoonsgegevens. Dat is in Nederland inmiddels onder meer taxibedrijf Uber, de politie en zorgverzekeraar Menzis overkomen. De AVG is onderdeel van Europese wetgeving. Dat boetes kunnen oplopen tot astronomische hoogtes bleek wel toen de Franse toezichthouder Google voor 50 miljoen euro op de bon slingerde vanwege onvoldoende transparantie. Naar verwachting volgen er de komende tijd meer boetes, omdat een gemiddeld onderzoek van de toezichthouder negen maanden duurt, en de wet pas een jaar van kracht is.

 Goed voor de business

Gerrit van Rooij noemt de certificering ook een uiting van professionaliteit. “Veel opdrachtgevers gaan er vanuit dat je als opdrachtnemer je persoonsgegevens op orde hebt. Als je dat ook kunt aantonen, kun je je beter presenteren als professioneel bedrijf.” Van Leeuwen: “Als ondernemingen erop kunnen vertrouwen dat hun zakenpartners aan de minimale eisen voldoen, dan vergemakkelijkt dit ook het zaken doen. En door een certificering heeft een medewerker het vertrouwen dat er zorgvuldig met zijn gegevens wordt omgesprongen. Ook dat is goed voor de business.”

Bij de ontwikkeling van de norm is gesproken met de brancheverenigingen ABU, BOVIB en NBBU. “Ze staan er constructief in, al zijn ze nog niet zover dat ze in het bestuur van de stichting willen of leden gaan pushen mee te doen. Dat laatste gaat hopelijk nog gebeuren, want we hebben ambassadeurs nodig. We zijn dan ook blij dat ze mee willen blijven denken.”

Tekst: Hans Veltmeijer

Bureau Cicero is dé expert in de controle op verplichtingen uit arbeid. Wij ondersteunen bij uw risicobeheer en zijn uw gesprekspartner voor meerdere wetgevingen. Bekijk alle berichten van Bureau Cicero

3 reacties op dit bericht

  1. Certificering is toch gewoon een adminstratieve last? Dat gaan we toch zeker gewoon vermijden?

    Of zijn we opeens voor administratieve lasten, als daar geld aan verdiend kan worden ?

    • Een goede certificeerder / auditor kan ook verbeter punten aangeven, dan is het minder een administratieve last, maar kan ook meerwaarde bieden!

      Dat is in ieder geval mijn ervaring als auditor arbeidsveiligheid normen VCA en VCU en keurmerken beveiliging. Ook in deze komen AVG elementen aan de orde.

    • Als je daar zo tegen aan kijkt moet je vooral niet met certificering willen beginnen…..
      Voor bedrijven die zorgvuldig willen omgaan met persoonsgegevens en daar intern beleid en procedures voor hebben opgesteld (“zeg wat je doet”) kan certificering een prima sluitstuk zijn waarmee je extern aantoont dat “je doet wat je zegt”.