Skip to content

De GDPR certificering marathon (deel 1)

Foto door Kaisove via Wikimedia

Update: lees hier ook de update uit 2024 op deze eerste post over certificering.

Het beschermen van persoonsgegevens volgens GDPR kent veel dimensies. DPO’s hebben ongetwijfeld een voorliefde voor bepaalde deelaspecten. Voor mij zijn dat o.a. de certificeringsmechanismen zoals beschreven in GDPR Art. 42-43. Sinds vorig jaar ben ik erkend EuroPriSe-Expert en geef ik erover les tijdens de GDPR Lead Auditor cursus van Data Protection Institute.

In dit artikel maak ik de balans op van de invoering van certificering volgens Artikel 42-43, twee jaar na de intrede van de GDPR. Naast een toelichting van de basisconcepten ga ik dieper in op wat je wel of niet kan certificeren en evalueer ik de stand van zaken. Vervolgens vind je ook een handig stappenplan voor certificering en eindigen doe ik met mijn persoonlijke conclusie.

Start with why…

Om het met de wijze woorden van wijlen Giovanni Buttarelli (EDPS) te zeggen:

“Certification is a business card for demonstrating accountability”

Certificering is vooral een aantoonbaarheidsinstrument. Het bevestigt dat een verwerkingsverantwoordelijke of verwerker bij bepaalde verwerkingsactiviteiten binnen een bepaald proces, product of dienst, in overeenstemming met GDPR handelt. Een auditor van een geaccrediteerd certificeringsorgaan stelt dit vast via een conformiteitsbeoordeling a.d.h.v. GDPR-criteria. Certificering zoals opgenomen in GDPR betreft een specifieke scope van het bedrijf (bepaalde verwerkingsprocessen dus), maar niet het bedrijf in zijn geheel.

Naast verantwoording (voor de toezichthouder) en vertrouwen (voor de betrokkene) bevordert het ook transparantie aangezien elke certificering gepaard gaat met een publiek rapport. Zo begrijpen toezichthouders, betrokkenen en business partners perfect wat er wel of niet gecertificeerd is en wat de resultaten zijn. Kijk maar naar de relatief uitgebreide Short Public Reports van EuroPriSe.

Hoewel verantwoording, vertrouwen en transparantie de geest van GDPR belichamen, erkennen vooral bedrijven ook commerciële belangen; privacy respecteren is nl. een mooi voorbeeld van klantvriendelijkheid en respect.

Interessant! Zijn er ook nadelen?

Certificeren kost tijd, energie en budget. Er moet dus vooraf een duidelijke strategie bepaald worden die met de objectieven en het beleid van de organisatie in lijn ligt. Eens je de certificering beet hebt, mag je jezelf terecht even op de schouder kloppen. Maar dan begint de uitdaging: je moet het elke dag blijven waarmaken. Elk jaar komt de auditor over de vloer om hiervan bevestiging te zien. Ook de toezichthouder speelt hierbij een belangrijke rol: deze wordt geïnformeerd over certificeringen, kan de uitkomst ervan beïnvloeden en heeft bovendien de mogelijkheid om een certificering te laten intrekken. De toezichthouder kan ook rekening houden met certificering tijdens het toezicht en zal het als een factor hanteren bij het bepalen van (de omvang van) een eventuele sanctie. Certificering biedt dus geen garanties en geldt niet als een vrijgeleide bij een inspectie.

Kan je ook een DPO of managementsysteem onder GDPR certificeren?

Kort antwoord: neen. GDPR verwijst expliciet naar ISO-17065 en dus naar de beoordeling van verwerkingsactiviteiten i.f.v. een proces, product of dienst. Dit sluit personen (bv. DPO, auditor) en managementsystemen (bv. ISO-27701) uit. Zijn deze zaken dan niet belangrijk? Natuurlijk wel! Certificaten dragen actief bij aan de algemene GDPR-conformiteit, alleen vallen ze niet onder het toepassingsgebied van GDPR Art. 42 en 43.

Biedt het een geldig alternatief voor Privacy Shield?

Certificeringsmechanismen kunnen inderdaad een passende waarborg bieden (cf. Art. 46.2.f), maar moeten steeds gekoppeld worden aan “bindende en afdwingbare toezeggingen” van de verwerkingsverantwoordelijke of verwerker in het derde land (lees: een contract of ander handvest). En dan kom je al snel uit bij de Schrems-II conclusie dat je als verwerkingsverantwoordelijke nog altijd een evaluatie hoort te maken van het nationaal rechtsstelsel van het derde land. Het is dus geen de facto oplossing voor bv. Amerikaanse IT-providers.

De informatie in artikel 46.2.f biedt trouwens weinig praktische handvaten en schreeuwt om een guideline. De EDPB kondigde die aan in 2018 en de Europese Commissie zette dat nog eens kracht bij in het rapport over 2 jaar GDPR-implementatie.

Wat is de stand van zaken 2 jaar na de intrede van de GDPR?

Dolgraag zou ik antwoorden: “Great succes!! De EDPB en toezichthouders keurden verschillende schema’s en certificeringsorganen goed en de markt kan de aanvragen amper volgen!”. De realiteit is helaas minder indrukwekkend. Er is er nog geen enkel (trans)-nationaal GDPR-certificaat, merkteken of zegel uitgereikt. Sterker nog: er is zelfs nog geen enkel certificeringsorgaan geaccrediteerd om het te mogen uitreiken.

Waar loopt het dan mis? Zowel het EU-rapport over 2 jaar GDPR-implementatie en verschillende jaarverslagen kondigden alvast aan het instrument te willen bevorderen. Heeft de geharmoniseerde aanpak die men met GDPR voor ogen had dan gefaald? Het antwoord is wellicht iets genuanceerder. Zoals ik mijn artikel begon heeft elke DPO wel een bepaald thema dat hoger op de agenda prijkt. Onder toezichthouders is dat niet anders. De EDPB heeft naar mijn mening te lang gewacht om guidelines uit te brengen over de bewuste artikels (en nog vele malen langer met de nog relevantere annexen). Hierdoor konden certificeringsorganen en nationale toezichthouders nog niet voluit aan de slag. Niet dat de meeste toezichthouders er trouwens tijd voor zouden hebben gehad. Men had de handen al vol genoeg met de operationele opstart in 2018, het omzetten naar nationale wetgeving en het verwerven van voldoende middelen. Er moet ook voldoende marktvraag zijn om druk op de ketel te zetten. Al deze oorzaken opgeteld en de algemene complexiteit zorgen er dus voor dat het idee eerst nog wat moest rijpen.

Schot in de zaak?

Los van COVID-19, was 2020 alvast een goed jaar voor certificering. Het ongeldig verklaren van Privacy Shield zorgt momenteel voor verhoogde aandacht, de publicatie van EUCC (het langverwacht kandidaat schema onder de Cybersecurity Act) toont de weg en het publiceren van aanvullende accreditatievereisten door maar liefst 8 toezichthouders, waaronder Groothertogdom Luxemburg, Groot-Brittannië, Nederland, Duitsland, Italië, Griekenland, Ierland en Tsjechië biedt perspectieven.

Bij de koplopers mogen we CNPD (Groothertogdom Luxemburg) rekenen aangezien zij als eerste toezichthouder aanvullende accreditatievereisten publiceerden en zelfs een eigen certificatieschema ontwikkelden genaamd GDPR-CARPA. Hiermee openden ze begin dit jaar de markt voor kandidaat-certificeringsinstellingen om hun criteria te gaan hanteren.

Persoonlijk kijk ik vooral uit naar de ontwikkelingen bij EuroPriSe (Duitsland) en ISDP©10003 (Italië) omdat zij voor een Europees gegevensbeschermingszegel (Art. 42.5) gaan. Maar ook nationale schema’s zoals GDPR-CARPA (Luxemburg) en BC 5701:2018 van Brand Compliance (Nederland) lijken me zeer concreet.

De laatste kilometers…

Met accreditatievereisten als startschot overloop ik hieronder de volgende stappen met jou:

Stappenplan voor certificering

  1. Toezichthouder maakt haar huiswerk en bepaalt in een strategisch plan hoe ze certificeringsmechanismen wil bevorderen en hoe ze dit praktisch wil gaan implementeren: Prioriteit? Planning? Accreditatietaak (toezichthouder zelf en/of het nationale accreditatieorgaan?), een eigen schema ontwikkelen of de markt stimuleren?
  2. Toezichthouder bereidt accreditatievereisten (ISO-17065 + aanvullende vereisten) voor en verzoekt EDPB om een opinie,
  3. EDPB publiceert een opinie en verzoekt de toezichthouder om bij te sturen i.f.v. het coherentiemechanisme*,
  4. Een schema-eigenaar (certificeringsorgaan, derde partij of de toezichthouder zelf) ontwikkelt een GDPR-schema. Dit kan breed (bv. alle IT-producten en IT-diensten) of specifiek (bv. mobile banking apps) zijn,
  5. Een certificeringsorgaan knoopt informele gesprekken aan met de toezichthouder, overlegt over een voorstel tot schema en accreditatievereisten, stelt dit bij o.b.v. feedback en verstuurt een formele aanvraag,
  6. Certificeringsorgaan en schema worden samen geaccrediteerd,
  7. Verwerkingsverantwoordelijke of verwerker vraagt een audit aan voor een bepaalde scope (“Target of Evaluation”),
  8. Certificeringsorgaan stelt competente auditor(s) aan,
  9. Auditor voert conformiteitsbeoordeling uit,
  10. Certificeringsorgaan evalueert de conformiteitsbeoordeling en informeert de toezichthouder over de beslissing. De toezichthouder kan de beslissing eventueel beïnvloeden (bv. Stel dat er net een inspectie aan de gang is over de scope van de certificering),
  11. Certificeringsorgaan reikt certificaat, merkteken of zegel uit na een succesvolle beoordeling en publiceert de beslissing. Hoera!

* Als het om een voorstel tot Europees gegevensbeschermingszegel betreft, is een opinie van de EDPB onvoldoende en moet het effectief ook haar zegen geven. Een kandidaat moet dan een verzoek lanceren via de nationale toezichthouder waar haar maatschappelijke zetel gevestigd is. Een lang proces zo blijkt aangezien EuroPriSe en ISDP©10003 er voorlopig hun tanden op stuk bijten.

Conclusie

Het is al een lange en moeilijke weg geweest maar ondertussen zijn de eerste stappen gezet en kan de dialoog met kandidaten beginnen. Eens het eerste certificeringsorgaan geaccrediteerd raakt, zal de eerste certificering snel volgen. En dan is de markt vertrokken…

Optimist als ik ben waag ik een gokje dat we de eerste GDPR-certificering zullen meemaken in het voorjaar van 2021. Graag maak ik met jou een afspraak rond deze tijd om te kijken of de voorspelling uitkwam.

Wat denk jij?

Bronnen en nuttige links

Leave a Reply