Nu de storm rond de invoering van de Algemene Verordening Gegevensbescherming (AVG) na 25 mei wat is gaan liggen, richten organisaties zich logischerwijs op de borging van alle inspanningen die ze hebben gedaan om aan de nieuwe privacywetgeving te voldoen. Daarbij komt automatisch de vraag naar voren: hoe laten we zien dat we aantoonbaar ‘in control’ zijn?

Uiteraard wordt die aantoonbaarheid verbeterd door de maatregelen die een organisatie voor de AVG heeft genomen; denk aan het aanleggen van een verwerkingsregister, het opstellen van een privacystatement, en gedocumenteerde procedures om te voldoen aan de rechten van betrokkenen. Maar verwerkingsverantwoordelijken en verwerkers hebben daarnaast vaak behoefte aan een onafhankelijk oordeel over de beheersing van privacy. De vraag om zo’n audit of certificering die al dan niet leidt tot een keurmerk wordt versterkt door het feit dat de AVG zelf (de ontwikkeling van) certificeringsmechanismes aanmoedigt als middel om compliance met de wet aan te tonen. Dat doet ze met name in artikel 42. In artikel 43 AVG (‘Certificeringsorganen’) wordt ingegaan op de rolverdeling bij certificering.

Organisaties kijken naar deze artikelen uit de AVG en vragen zich af: hoe staat het daar nu mee? Aanbieders kijken naar dezelfde passages en aarzelen kennelijk soms niet om hun klanten een AVG-certificering of -keurmerk aan te bieden; de Autoriteit Persoonsgegevens (AP) heeft al gewaarschuwd voor ‘misleidende AVG keurmerken’. Hieronder zetten we een aantal zaken op een rijtje.