Autoriteit Persoonsgegevens werkt aan protocol voor AVG-certificeringen

Het is alleen een uitdaging gebleken of je wel aan de AVG voldoet, dat geeft veel bedrijven onzekerheid. Met dit certificaat weten ze dat ze daar aan voldoen.

En wat gaat de AVG doen bij bedrijven die dan zo'n certificaat hebben, maar uiteindelijk niet aan de wetgeving blijken te voldoen? Het bedrijf verschuilt zich dan lekker achter zijn certificaat. Het is al vaak genoeg gebleken dat certificaten geen garantie zijn van compliancy, immers: alle grote partijen die gehackt waren de laatste jaren waren zogenaamd compliant aan iedere denkbare security certificering...

Niet helemaal correct in de context van de AVG. Je kunt namelijk leuk gecertificeerd zijn onder de AVG, maar dat betekent niet dat je compliance aangenomen mag worden. Het kan alleen maar een element zijn van je bewijs dat je daadwerkelijk voldoet aan de bepalingen in de AVG (zie bijvoorbeeld artikel 25 lid 3). Dus als je op de een of andere manier een certificaat krijgt en later niet compliant blijkt te zijn ben je alsnog het haasje bij de DPAs (hier dus Autoriteit Persoonsgegevens).

Deze certificaten zijn in principe niet bedoeld om bedrijven te laten voldoen aan de AVG, daar is de AVG zelf al voor namelijk. Het gaat meer om een extra bevestiging richting potentiële klanten of business partners dat je de AVG in acht neemt, dat is dan namelijk gecheckt door een derde partij.

Het gaat hier denk ik primair om andere bedrijven die services bij een bedrijf afnemen.
Dus niet om de bedrijven zelf; om de consument; of om de AP.

Een certificering neemt bij die bedrijven een hoop onzekerheid en duur uitzoekwerk weg. Ze kunnen (en mogen, neem ik aan) er dan vanuit gaan dat een gecertificeerde partner ook daadwerkelijk aan de wetgeving voldoet.

De rest wordt dan marktwerking; niemand zal met een niet-gecertificeerd bedrijf in zee willen gaan, omdat de kosten voor het uitzoeken en de risico's van de onzekerheid te groot zijn.

[Reactie gewijzigd door R4gnax op 23 juli 2024 17:20]

Klinkt inderdaad raar. een certificaat om te laten zien dat je aan de wet voldoet

Dat bedrijven niet aan de avg voldoen is voornamelijk hun eigen schuld. Vaak is er gewoon veel te lang gewacht met het aanpassen van interne processen en datastromen. Want dat is dan geen 'prio'. Dan als het ineens een half jaar ervoor is lekker last minute paniek voetbal en klagen dat het niet haalbaar is ect.

Omdat de verantwoordelijkheid om aan de AVG te voldoen bij de opdrachtgever ligt. Als jij mijn bedrijf in huurt voor een klus en ik ga er met jouw data vandoor dan ben jij verantwoordelijk voor de schade. Jij hebt de plicht om te controleren of ik wel aan de AVG voldoe. De meeste bedrijven zijn niet in staat om dat te controleren, daarom is het handig dat er een certificaat is dat laat zien dat ik weet waar ik het over heb.

Ik moet nog zien of er een compromis komt tussen bedrijven en certificerende instellingen. Hoe gaat zo'n certificaat eruit zien? Het lijkt me niet handig om het bedrijfsleven richting een standaardpakket aan privacy-maatregelen te duwen. Dat is juist weer riskant, de digitale ontwikkelingen gaan daar te snel voor. En de kans bestaat dat er vaak niks gebeurt omdat partijen de verantwoordlijkheid heen en weer gaan schuiven. Hebben ze een lek in de online database, gaan ze zich beroepen op het feit dat ze hun updates op orde hadden en hun wachtwoorden complex genoeg waren volgens de certificaat-eisen. Waar ligt dan de grens?
Wat ik me ook afvraag: komt een custom *nix er ook door, en zo niet, op grond van wat? Dat de certificeerder er niks van snapt?

[Reactie gewijzigd door blorf op 23 juli 2024 17:20]

Waarom? Als bedrijf moet ik, net als alle andere bedrijven, al aan de AVG voldoen.

Probleem is alleen dat heel veel bedrijven dat niet doen. Deels uit onbekwaamheid, deels uit moedwil.
Die onbekwamen hebben blijkbaar hulp nodig. Dan zijn audits en certificatie geen gek idee. Je bent daarmee redelijk zeker dat je aan de wet voldoet en je kunt tegenover de Autoriteit Persoonsgegevens aannemelijk maken dat je niet in de categorie onwilligen valt, wat bij eventuele fouten/problemen waarschijnlijk fors in de boetes kan schelen.
De onwilligen hebben blijkbaar een stok waarmee ze geslagen worden nodig. Het fijne van certificering is dat de Autoriteit Persoonsgegevens zijn aandacht vooral kan richten op bedrijven die die certificering niet hebben.

Puntje en paaltje enzo: blijkbaar zijn bedrijven niet in staat de wet na te leven en moeten ze een handje geholpen worden.

[Reactie gewijzigd door locke960 op 23 juli 2024 17:20]

Alle belangrijke normen (9001, 14001, 18001, 45001 etc) geven volledige vrijheid voor polderen. Ze eisen namelijk alleen dát je als bedrijf iets moet doen, niet hoé je dat doet. Alleen noem je toevallig VCA wat (helaas nog steeds) alleen een simpele checklist is. De meeste grote bouwers hebben dan ook ISO 18001/45001 en De Veiligheidsladder om de veiligheid en ARBO-omstandigheden te borgen en is VCA alleen nog maar een extra certificaat omdat opdrachtgevers dat nou eenmaal eisen.

[Reactie gewijzigd door Dennisdn op 23 juli 2024 17:20]

En met die ene laatste regel stippen ze aan wat de toegevoegde waarde is van een dergelijk certificaat - helemaal nul.

Dat is een erg zwart/witte interpretatie.

Een rijbewijs geeft aan dat er een momentopname is geweest waar je aan een gecertificeerde club (CBR) hebt laten zien dat je op dat moment fatsoenlijk kan rijden. Het rijbewijs heeft geen aantoonbare garantiestelling voor toekomstig rijdgedrag, immers in het verleden behaalde resultaten bieden geen garantie voor de toekomst .

Je hebt helemaal gelijk dat een certificaat dat vandaag word afgegeven morgen alweer achterhaald kan zijn, maar dat geld in zijn algemeenheid voor alle certificaten/dipolomas etc. Dat betekent niet automatisch dat deze geen waarde hebben.

Waar dit protocol mijnziens het meeste in de buurt komt is het theorie examen voor je rijbewijs. Jep, op papier weet de partij hoe het moet, maar dat is geen garantie dat die partij dat later ook doet!

Hier haal je een essentiëel punt aan. De daadwerkelijke compliance. Dat is de achilleshiel van iedere certificering. Frequente, inhoudelijke auditing is de enige manier om dit te waarborgen. Ik weet niet hoe de AP en de raad voor accreditatie dit gaan opstellen, maar daar zal de toegevoegde waarde van dit certificaat door bepaald worden.

Hoe gaat een grote club zoals een ziekenhuis (of nog leuker - een groep ziekenhuizen) dit certificaat verwerven? Het lijkt me dat een code review dan wel op zijn plaats is.

Helemaal mee eens. En niet alleen voor deze situatie maar denk ook eens aan banken, verzekeringsmaatschappijen, HR software etc. etc.

De gene die een beetje thuis zijn in die wereld qua softwarepakketten weten dat dat echt huge ass software pakketten zijn, die review je niet even.

Dat het veel werk kost om een goede review uit te voeren heeft dan gevolgen zoals:

• Extra kosten.
• Vertraagde introductie van nieuwe versies.

Dat is nu eenmaal de prijs die je betaald voor kwaliteit.

Of wordt er alleen naar het ontwerp van het pakket gekeken? 'In theorie ziet dit er goed uit'. Ja, dat zeiden ze bij de parkeergarage bij Eindhoven Airport ook.

Als je grondig wilt zijn is dit geen adequate benadering. Wat wel kan helpen is om de beveiligingsfilosofie achter de software tegen het licht te houden. Dus zaken zoals welke medewerkers onder welke omstandigheden toegang tot welke data hebben. Ga je bijvoorbeeld voor het simplistische account based access of werk je op basis van task based access waarbij één medewerker verschillende access levels kan hebben die op basis van de uit te voeren taken gectiveerd/geauthoriseerd dienen te worden.

En een paar versies later, is het certificaat dan nog geldig?

In principe niet lijkt mij, tenzij je alle addities/modificaties ook weer accrediteert.

Verder vind ik het én vroegbarig én aan de late kant om met de certificaten te komen. Vroegbarig, want de wet is nog maar net in werking, de kans is reeel dat deze inhoudelijk veranderd en/of dat er jurisprudentie komt waardoor de wet anders uitgelegd dient te worden. Als dat gebeurd, wat doet dat met de waarde/geldigheid van het certificaat?

De wet is al sinds 25 mei 2018 van kracht en daarvoor was er al een periode van enkele jaren die bedrijven/overheden konden/dienden te gebruiken om ervoor te zorgen dat ze compliant waren op 25 mei 2018. Aldus is een certificering nu alles behalve voorbarig in mijn ogen.

Het is zeker mogelijk dat er jurisprudentie komt welke invloed kan hebben op de certificering. Dat zou echter geen probleem hoeven te zijn. In een goed systeem heb je tenslotte frequente auditing. Indien er nieuwe jurisprudentie komt dan dient die in de eerstvolgende audit meegenomen te worden. Dat is niet anders dan dat je continue rekening moet houden met de stand der techniek. Wat vandaag als veilig word beschouwd kan morgen tenslotte onveilig zijn door ontdekking van een eerder onbekende zwakte.

En aan de late kant omdat de vraag hiernaar er al geruime tijd is (wat je ook wel had kunnen zien aankomen...).

Helemaal mee eens.

Als toezichthouder is dit juist een kerntaak voor de AP. Het helpen van bedrijven/instanties om aan de wet te kunnen voldoen. Als ze dit goed opzetten dan zal het juist minder werk voor ze betekenen omdat het aantal problemen/overtredingen zal dalen.

Er zijn hele reeksen certificaten in hele reeks vakgebieden welke op hele reeks wetten zijn gebaseerd. Wat dat betreft is dit niets nieuws/bijzonders. Denk als voorbeeld aan:

• Beroepsregisters
• Beroepen waarvoor een VOG vereist is
• Vergunningen voor vervoeren of verwerken van gevaarlijke stoffen
• etc. etc. etc.