Certificering Avg-gedragscode Nederland ICT komt op stoom

Tientallen leden van branchevereniging hebben belangstelling getoond voor het certificeringsproces en twaalf daarvan zijn aan het certificeringsproces begonnen, meldt woordvoerder Tim Toornvliet van Nederland ICT. "We hebben bijvoorbeeld een paar honderd verwerkersovereenkomsten verkocht. Voor onze 600 leden is de verwerkersovereenkomst gratis te downloaden. Deze is gebaseerd op de Data Pro Code. Dat is een goede eerste stap richting certificering. We horen via onze helpdesk en workshops dat veel bedrijven die stap overwegen."

AP nog niet helemaal tevreden

Deze week maakte de Autoriteit Persoonsgegevens (AP) bekend dat de Data Pro Code inhoudelijk is getoetst en voorlopig goedgekeurd. Voorafgaand daaraan heeft de branchevereniging de code al gepubliceerd en een certificeringsprocedure opgezet waarmee leden kunnen aantonen dat zij aan de gedragscode voldoen.

Voor een definitieve goedkeuring van de Data Pro Code door de Autoriteit Persoonsgegevens moet Nederland ICT nog een toezichthouder in het leven roepen die ook na uitgifte van certificaten de houders ervan controleert op de naleving. Toornvliet:"Wij hebben ervoor gekozen om eerst een gedragscode te maken en die aan de AP voor te leggen. Dat is conform artikel 40 van de Avg. Die code biedt een laagdrempelige manier voor bedrijven om te toetsen of ze hun gegevensbescherming op orde hebben. Voor bedrijven die een stap verder willen gaan, bieden we sinds kort de certificering aan. Deze is gebaseerd op de gedragscode, maar gaat dus nog een stap verder: een onafhankelijke auditor toetst of je voldoet aan de code en reikt een certificaat uit als dat het geval is."

Verwerkersovereenkomsten vormen pijnpunt

Een van de eerste bedrijven die het certificaat begin juli kreeg uitgereikt is PMNetworking. "Het certificaat wekt vertrouwen bij klanten", geeft accountmanager Hanneke Leegerstee als belangrijkste motivatie voor de snelle actie op het beschikbaar komen van de certificeringsprocedure. Voor een deel van de klanten van PMNetworking is de beveiliging erg belangrijk. Het bedrijf hoefde technisch dan ook niet veel te doen om aan de eisen van de Avg te voldoen. "Het meeste werk zat in het opstellen van de verwerkersovereenkomsten en het juridisch inkaderen van de leveringsvoorwaarden die per klant verschillen."

Online-procedure

Voor het verkrijgen van het certificaat was het voldoende om online een vragenlijst in te vullen en documentatie in te sturen. Die is vervolgens gecontroleerd door een extern juridisch kantoor dat door Nederland ICT is ingeschakeld. Waar nodig doet de auditer telefonisch of op locatie verder onderzoek. Toornvliet: "We hebben de certificering zo opgezet dat de audit uitgevoerd kan worden door iedereen die voldoet aan de gestelde kwaliteitseisen. Op dit moment worden de audits uitgevoerd door een IT-jurist uit ons netwerk."

Nederland ICT start de certificering bewust langzaam op. "Zo kunnen we steeds de nodige verbeteringen  doorvoeren. Zodra het aantal aanvragen opschaalt, zullen we het aantal auditors vergroten. Hiervoor hebben we een flexibele schil aan potentiële auditors paraat."