Vergroot contrast

AVG-certificaat

Het AVG-certificaat is een nieuw instrument van de Algemene verordening gegevensbescherming (AVG). Met dit certificaat kunt u als verantwoordelijke of verwerker aantonen dat u persoonsgegevens volgens de regels van de AVG verwerkt.

Voldoet uw product, proces of dienst aan deze eisen uit de  AVG? Dan kunt u een AVG-certificaat aanvragen bij een certificatie-instelling. Die certificatie-instelling beoordeelt of uw product, proces of dienst in aanmerking komt voor een AVG-certificaat.

Een AVG-certificaat ontslaat u niet van de plicht om continu te blijven zorgen voor naleving van de AVG.

Nieuws

Alle nieuwsberichten over het onderwerp 'AVG-certificaat'

Alle antwoorden op mijn vragenVragen over het AVG-certificaat

  • Wat is een AVG-certificaat?

    Een AVG-certificaat is een schriftelijke verklaring dat een product, proces of dienst aan alle of bepaalde specifieke eisen uit de AVG voldoet. Een AVG-certificaat is niet verplicht. U laat met een AVG-certificaat aan uw doelgroep zien dat u persoonsgegevens zorgvuldig verwerkt en beschermt.

    U kunt een AVG-certificaat aanvragen bij een door de Raad voor Accreditatie (RvA) geaccrediteerde certificatie-instelling. De Autoriteit Persoonsgegevens (AP) geeft geen AVG-certificaten uit.

    Een AVG-certificaat ontslaat u niet van de plicht om continu te blijven zorgen voor naleving van de AVG.

  • Hoe kan ik een AVG-certificaat aanvragen?

    Als verantwoordelijke of verwerker kunt u een AVG-certificaat aanvragen bij een certificatie-instelling die daarvoor geaccrediteerd is door de Raad voor Accreditatie (RvA).

    Een certificatie-instelling beoordeelt of uw product, proces of dienst in aanmerking komt voor een AVG-certificaat. Met dit certificaat kunt u aantonen dat u aan bepaalde eisen voldoet volgens de regels van de Algemene verordening gegevensbescherming (AVG).

    Op dit moment zijn er in Nederland nog geen geaccrediteerde certificatie-instellingen voor het afgeven van AVG-certificaten. Zodra de RvA certificatie-instellingen heeft geaccrediteerd om AVG-certificaten te verlenen, vindt u die informatie op onze website en die van de RvA.

  • Hoe kan ik als certificatie-instelling in aanmerking komen om AVG-certificaten uit te geven?

    Wilt u als certificatie-instelling AVG-certificaten gaan uitgeven? Dan kunt u daarvoor een aanvraag tot accreditatie indienen bij de Raad voor Accreditatie (RvA). De Autoriteit Persoonsgegevens (AP) accrediteert geen certificeringsinstellingen.

    Voordat u een aanvraag bij de RvA indient, moet u een certificatieschema opstellen. U kunt als certificatie-instelling zelf een schema opstellen. Of u kunt dit schema laten opstellen en beheren door een externe schemabeheerder.

    Heeft de RvA het vooronderzoek bij een accreditatie-aanvraag positief afgerond? Of heeft de schemabeheerder het schema positief geëvalueerd? Dan beoordeelt de AP of het certificatieschema voldoende invulling geeft aan de relevante eisen uit de Algemene verordening gegevensbescherming (AVG).

    Heeft de AP het certificatieschema goedgekeurd? Dan kan het accreditatieproces bij de RvA verder gaan.

    Stappen accreditering

    Het accreditatieproces van de RvA en de rol van de AP bij de goedkeuring van certificatieschema’s bestaat uit de volgende stappen:

    1. Raad voor Accreditatie

    • beoordelen ontvankelijkheid van de accreditatieaanvraag;
    • vooronderzoek inclusief schema-evaluatie of schema-evaluatie van schema beheerd door externe schemabeheerder;
    • afronding schema-evaluatie/vooronderzoek onder voorbehoud van goedkeuring schema AP.

    2. Autoriteit Persoonsgegevens

    • Na een positieve afronding van de schema-evaluatie door de RvA beoordeelt de AP of het schema in overeenstemming is met de AVG.
    • De desbetreffende certificatie-instelling of schemabeheerder dient het schema te beoordeling in bij de AP na het positief afgeronde schema-evaluatie van de RvA. De AP neemt pas een aanvraag tot goedkeuring van een certificatie-schema in behandeling als de RvA de evaluatie van het schema positief heeft afgerond en de aanvrager dit kan aantonen.
    • De AP stemt het ontwerpbesluit tot goedkeuring van het certificatieschema af met de European Data Protection Board (EDPB). Nadat de AP het certificatieschema heeft goedgekeurd, stuurt de aanvrager dit besluit tot goedkeuring naar de RvA. De RvA gaat dan verder met de accreditatieprocedure.

    3. Raad voor Accreditatie

    • accreditatiebeoordeling;
    • accreditatiebesluit;
    • na verlening accreditatie: periodieke beoordeling van de certificatie-instelling.

    Vragen?

    Heeft u vragen over het indienen en laten beoordelen van een certificatieschema bij de AP? Neem dan via e-mail contact op met de AP.

  • Wat is een certificatieschema?

    In het certificatieschema staan eisen waaraan de certificaathouder moet voldoen. Ook staan in het schema aanvullende eisen aan de certificatie-instelling zelf. De Autoriteit Persoonsgegevens (AP) stelt deze aanvullende eisen vast.

    De AP stemt deze aanvullende eisen af met de European Data Protection Board (EDPB).

    Voor accreditatie door de Raad voor Accreditatie (RvA) is in de AVG het gebruik van de norm ISO/IEC 17065 voorgeschreven.

    Deze ISO-norm betreft accreditatie van certificatie-instellingen voor producten, processen en diensten. De norm is de basis van het certificatieschema.

    Voldoet de certificatie-instelling aantoonbaar aan de eisen uit de ISO/IEC 17065, de eisen uit het certificatieschema en de aanvullende vereisten opgesteld door de AP? Dan kan de certificatie-instelling worden geaccrediteerd.

    Na accreditatie door de RvA is een certificatie-instelling bevoegd om AVG-certificaten voor dat betreffende certificatieschema toe te kennen. Het is mogelijk dat er meerdere certificatieschemas in de markt zullen worden gebruikt die tot een AVG-certificaat leiden.

    U vindt meer informatie over het accreditatieproces op de website van de RvA.