AVG-certificaat

Een AVG-certificaat is een schriftelijke verklaring dat een product, proces of dienst voldoet aan alle of bepaalde specifieke eisen uit de Algemene verordening gegevensbescherming (AVG). Met een AVG-certificaat kunnen organisaties aan hun doelgroep laten zien dat zij persoonsgegevens zorgvuldig verwerken en beschermen. Een AVG-certificaat is niet verplicht. Op dit moment is het nog niet mogelijk om een AVG-certificaat aan te vragen.

Op deze pagina

Aanvragen AVG-certificaat

Op dit moment zijn er in Nederland nog geen geaccrediteerde certificatie-instellingen voor het afgeven van AVG-certificaten. Dit zijn instellingen die door de Raad voor Accreditatie (RvA) zijn geaccrediteerd. Zodra de RvA certificatie-instellingen heeft geaccrediteerd, vindt u die informatie op onze website en die van de RvA.

U kunt dan als verwerkingsverantwoordelijke of verwerker een AVG-certificaat aanvragen bij zo’n certificatie-instelling. De certificatie-instelling beoordeelt dan of uw product, proces of dienst in aanmerking komt voor een AVG-certificaat. 

Goedkeuring criteria Brand Compliance

De AP heeft de criteria van Brand Compliance goedgekeurd (Certification Standard and Criteria BC 5701:2023). Het is echter nog niet mogelijk om bij Brand Compliance een AVG-certificaat aan te vragen. Brand Compliance moet hiervoor eerst nog worden geaccrediteerd door de RvA.

Heeft u vragen over het verloop van die procedure? Neem dan contact op met Brand Compliance. Mogelijk kunt u al starten met de voorbereidingen van een certificeringsproces. Brand Compliance kan u hierover informeren.

Alleen officieel AVG-certificaat is geldig

Om naleving van de AVG aan te tonen, kunt u alleen een certificaat gebruiken dat wordt uitgegeven door een geaccrediteerde organisatie. Een certificaat dat wordt uitgegeven door een niet-geaccrediteerde organisatie, geldt niet als AVG-certificaat. Ook niet als de organisatie certificaten uitgeeft op basis van goedgekeurde criteria. 

Zie ook: AP waarschuwt voor misleidend AVG-keurmerk.

Aanvragen accreditatie als certificatie-instelling

Wilt u als certificatie-instelling AVG-certificaten gaan uitgeven? Dan kunt u een aanvraag voor accreditatie indienen bij de RvA. De AP accrediteert zelf geen certificeringsinstellingen.

Opstellen certificatieschema voor de aanvraag

Voordat u een aanvraag bij de RvA indient, moet u een certificatieschema opstellen. U kunt als certificatie-instelling zelf een schema opstellen. Of u kunt dit schema laten opstellen en beheren door een externe schemabeheerder.

In het certificatieschema staan eisen waaraan de certificaathouder moet voldoen. Ook staan in het schema aanvullende eisen aan u als certificatie-instelling. De AP heeft deze aanvullende eisen vastgesteld en afgestemd met de European Data Protection Board (EDPB).

Norm ISO/IEC 17065

Voor accreditatie door de RvA is het gebruik van de norm ISO/IEC 17065 voorgeschreven in de AVG. Dit is de norm voor accreditatie van certificatie-instellingen voor producten, processen en diensten. De norm is de basis van het certificatieschema.

Beoordelen schema

Vraagt u accreditatie aan bij de RvA, dan evalueert de RvA uw certificatieschema. Vervolgens beoordeelt de AP of uw certificatieschema voldoende invulling geeft aan de relevante eisen uit de AVG. Heeft de AP het schema goedgekeurd? Dan kan het accreditatieproces bij de RvA verder gaan.

Stappen accreditering bij RvA en rol AP

Het accreditatieproces van de RvA en de rol van de AP bij de goedkeuring van certificatieschema’s bestaat uit een aantal stappen:

  • evaluatie door de RvA;
  • beoordeling door de AP;
  • accreditatie door de RvA.

Evaluatie door de RvA

  • De RvA beoordeelt of uw aanvraag voor accreditatie ontvankelijk is.
  • De RvA doet vooronderzoek. Dit is inclusief een evaluatie van het certificatieschema dat u of een externe schemabeheerder heeft opgesteld.
  • De RvA rondt het vooronderzoek af, onder voorbehoud van goedkeuring van het certificatieschema door de AP.

Beoordeling door de AP

  • Na een positieve afronding van de evaluatie door de RvA, beoordeelt de AP of het certificatieschema voldoende invulling geeft aan de relevante eisen uit de AVG.
  • Als certificatie-instelling of schemabeheerder stuurt u het certificatieschema naar de AP. De AP neemt uw aanvraag pas in behandeling als de RvA de evaluatie van het schema positief heeft afgerond. En u dit kunt aantonen.
  • De AP stemt het ontwerpbesluit tot goedkeuring van het certificatieschema af met de EDPB. Deze procedure bij de EDPB is in het Engels. Dat betekent dat u de documentatie in het Engels moet aanleveren bij de EDPB. Dit geldt ook als u een schema opstelt dat alleen in Nederland wordt gebruikt. De verdere communicatie vanuit de EDPB aan u verloopt ook in het Engels. Er is geen gratis vertaalmogelijkheid via de AP of de EDPB. De AP adviseert u daarom zelf te zorgen voor een in het Engels vertaalde versie van al uw documentatie.
  • Nadat de AP het certificatieschema heeft goedgekeurd, stuurt u dit besluit tot goedkeuring naar de RvA. De RvA gaat dan verder met de accreditatieprocedure.

Accreditatie door de RvA

  • De RvA doet een accreditatiebeoordeling.
  • De RvA neemt een accreditatiebesluit. Na accreditatie door de RvA bent u bevoegd om AVG-certificaten voor het betreffende certificatieschema toe te kennen.
  • Heeft de RvA u geaccrediteerd, dan zal de RvA u periodiek beoordelen.

Voor meer informatie, zie Accreditatieproces op de website van de RvA.

Vragen?

Heeft u vragen over het indienen en laten beoordelen van een certificatieschema bij de AP? Neem dan via e-mail contact op met de AP.

Verkrijgen goedgekeurd certificeringsschema

Wilt u meer weten over een goedgekeurd certificeringsschema? Of wilt u weten of u het certificeringsschema kunt verkrijgen? Neem dan contact op met de schema-eigenaar. Dat is de partij die het certificeringsschema heeft ontwikkeld.