Brancheorganisatie Nederland ICT heeft een AVG-certificering gelanceerd voor bedrijven en organisaties die data verwerken en moeten voldoen aan de AVG (Algemene Verordening Gegevensbescherming). Met dat Data Pro-certificaat kunnen ze aantonen dat ze voldoen aan privacyregels rondom dataverwerking. Het initiatief komt van de branchevereniging. Leden krijgen korting op de certificeringsdienst.
In een persbericht over het Data Pro-certificaat meldt Nederland ICT dat de onderliggende gedragscode ter goedkeuring bij de Autoriteit Persoonsgegevens (AP) ligt. Een woordvoerder van de brancheorganisatie meldt dat Nederland ICT die AVG-certificering al een jaar geleden, bij de ingang van de AVG op 25 mei 2018, als één van de eerste branche-organisaties heeft neergelegd. Hij verwacht dat AP binnenkort haar goedkeuring zal geven aan de onderliggende gedragscode.
Nederland ICT licht toe dat het de afgelopen maanden hard heeft gewerkt om het certificeringsproces vorm te geven. In de week van 25 mei, één jaar na de ingangsdatum van de AVG, is de certificering een feit. Alle bedrijven die in Nederland persoonsgegevens verwerken kunnen volgens de branchevereniging aan de slag om het certificaat te behalen. Volgens de organisatie zijn de eerste bedrijven bijna gecertificeerd. Die gecertificeerde partijen komen in een openbaar register.
Nederland ICT: ‘Tegenwoordig zijn klanten verplicht om voor het aangaan van een overeenkomst te controleren of de verwerker aan de AVG voldoet en bijvoorbeeld passende beveiligingsmaatregelen neemt bij het verwerken van persoonsgegevens. Het is arbeidsintensief om iedere klant te laten controleren hoe zijn verwerkers de AVG hebben geïmplementeerd. Met het Data Pro Certificate laat een verwerker zien dat hij zich aan de Data Pro Code en de AVG houdt. Dit wordt door een externe auditor getoetst en in het Data Pro Certificate-register vastgelegd. Dit register is door iedereen te raadplegen.’
AP en gedragscode
In mei 2018 lanceerde Nederland ICT al een praktische doorvertaling van de AVG voor verwerkers: de Data Pro Code. Sylvia Huydecoper, juridisch adviseur bij Nederland ICT: ‘In de AVG is opgenomen dat brancheorganisaties een bijzondere rol kunnen vervullen voor hun achterban: zij zijn de aangewezen organisaties om gedragscodes te ontwikkelen. Artikel 40 van de AVG zegt dat vertegenwoordigers van een bepaalde branche, en dat zijn wij als Nederland ICT, de mogelijkheid hebben om dergelijke gedragscodes ter goedkeuring voor te leggen aan de toezichthouder, de AP. Dat hebben wij ook gedaan. We zijn actief in gesprek met de AP om onze code te optimaliseren en we hopen dat onze code binnenkort wordt goedgekeurd. Vanaf dat moment wordt onze code hét erkende uitgangspunt voor verwerkers in de ict-sector.’
Nederland ICT ziet het vanuit de rol van branchevereniging als taak om haar achterban te professionaliseren. De Data Pro Code en het Data Pro Certificate zijn volgens de vereniging voorbeelden van diensten die de achterban daarbij helpen. Daarnaast geven juristen regelmatig workshops over juridische thema’s zoals de AVG.
De AVG-hype
Organisaties zijn met name tot de ingangsdatum van de AVG, nu één jaar geleden, druk bezig geweest om compliant te zijn aan de wet, stelt de branche-organisatie. Huydecoper: ‘Je kon je inbox niet doornemen zonder een bericht te lezen over de AVG. Deze hype is voorbij, maar bedrijven moeten zich wel blijven inzetten om AVG-compliant te blijven. We zien dat steeds meer nadruk komt te liggen op handhaving, daarom moeten bedrijven scherp blijven op hun taken en verantwoordelijkheden als verwerker.’
Een positieve actie, maar wordt er eenmalig een certificaat afgegeven bij AVG-proof (volgens NL ICT) of is dit een jaarlijkse toetsing, zeg maar een APK?
Beste Cordny Nederkoorn,
Ik heb het even voor u nagevraagd bij Nederland ICT. Dat meldt:
Gecertificeerde partijen worden jaarlijks getoetst om te kijken of de certificering verlengd kan worden. Er is daarnaast een externe commissie met experts die zorgt dat de onderliggende code up-to-date blijft.
Groet,
Pim van der Beek, redacteur Computable
Pim, bedankt voor het navragen.
Groet,
Cordny Nederkoorn
TestingSaaS
Create Content through Testing
Een certificering van Nederland ICT lijkt me net zoveel waarde hebben als een sticker van de Smaakpolitie omdat het gewoon commerciële onzin is. AVG compliance gaat om een organisatorische attitude betreffende privacy waarin een grote rol weggelegd is voor de DPO – voorheen de EDP-auditor – die dus telkens moet afwegen of de verwerking van persoonsgegevens een relevant doel dient in een bepaald proces.
Dat juristen nu workshops over de AVG geven is leuk maar het is deze beroepsgroep die evenveel van de digitale transformatie weten als de gemiddelde politici. Er zijn nogal wat grijze vlakken in de IT die niet door de AVG gedekt worden. Een voorbeeld hiervan is de ‘actio pauliana’ van derdenverstrekking waarbij verantwoordelijkheid over de aansprakelijkheid middels een wirwar aan rechtspersonen wordt ontlopen. Een voorbeeld hiervan is dus de KNVB die via de achterdeur van commerciële partijen zoals Sportlink de gegevens van leden verkoopt:
https://nos.nl/artikel/2264083-knvb-verkoopt-gegevens-miljoenen-leden-privacywaakhond-laakt-methode.html
Oja, de DPO zal dus iedere keer in een conflict tussen winst en compliance komen want bovenstaande linkt maakt duidelijk dat er gewoon een levendige handel is in persoonsgegevens. Money talks, privacy walks……
Beste Ewout,
Ik snap je reactie, maar ik licht graag namens Nederland ICT kort toe waarom die conclusie niet klopt:
– De certificering is geen commercieel product. We zijn een branchevereniging en hebben geen winstoogmerk. Het principe van een gedragscode en certificering komt zelfs direct voort uit de tekst van de Avg. Ons belangrijkste doel is professionalisering van de sector.
– Je hebt volledig gelijk wat betreft de attitude binnen de organisatie. Een belangrijk onderdeel van de certificering is of een organisatie kan laten zien dat ze hebben nagedacht over de verwerking van gegevens, hoe ze dat hebben vertaald naar beleid en processen en hoe ze dat transparant maken naar klanten.
– De DPO (of FG) speelt daarin inderdaad een belangrijke rol. Maar niet elke organisatie is verplicht een DPO aan te stellen. Organisaties die dat wel zijn, kunnen dat via ons tegelijk met de certificering regelen.
– Onze juristen hebben jarenlange ervaring op het snijvlak van recht en IT. De code en certificering zijn bovendien ontwikkeld in samenwerking met onze leden. Als branchevereniging weten we als geen ander dat de dagelijkse praktijk van een ICT-ondernemer anders is dan de juridische werkelijkheid. We zien het als onze taak om die twee werelden bij elkaar te brengen. Data Pro is daar een heel concreet voorbeeld van.
Zie https://www.nederlandict.nl/dataprocertificate/ voor alle info en neem vooral contact met ons op als je vragen hebt!
Vriendelijke groet,
Tim (Nederland ICT)
Spijt me Tim maar die certificering is een commercieel produkt. In Duitsland werd kortgeleden gepubliceerd dat de AVG, daar DSGVO, een hele berg bedrijven en bedrijfjes goede verdiensten brengt, zo wil dat ook deze branchenvereniging. Dat certifikaat kost neeem ik aan het nodige.
Tim,
Even de definitie van een branchvereniging erbij gezocht:
“Een branchevereniging is een bundeling van meerdere bedrijven uit één branche en kan dus verschillende doelen nastreven zoals: behartiging van de collectieve belangen van de aangesloten leden, behartiging van deelbelangen van groepen en de behartiging van individuele belangen van leden. Daartoe verrichten zij activiteiten als lobby, CAO-onderhandeling, het geven van juridisch advies, het organiseren van bijeenkomsten, collectieve inkoop, etc.”
Het is maar een juridisch detail maar lees nog even rustig artikel 4 van je eigen statuten na, het bovenstaande wordt hierin keurig verwoord. De leden – welke belangen de vereniging behartigd – hebben een winstoogmerk dus is je statement nogal dubieus. Want een keurmerk van een brancheorganisatie heeft alle schijn tegen, het is zoiets als wij van WC-eend, adviseren WC-eend.