Nu de meeste AVG implementaties een jaar oud zijn, vragen organisaties zich meer en meer af hoe de staat van deze implementatie getoetst kan worden (op continue verbetering, onderhoud, werking, etc.) of zelfs gecertificeerd. En dan tegen een objectieve en officiële norm.

Het goede nieuws is dat er nu een objectieve norm bestaat waaraan een AVG implementatie getoetst kan worden; deze norm is zelfs certificeerbaar. Deze norm is de BS10012 norm en is ontwikkeld door British Standards Institution voor de GDPR.

En aangezien de GDPR hetzelfde is als onze AVG, kan de BS10012 dus ook uitstekend gebruikt worden om AVG implementaties te toetsen. Naast het toetsen (door een terzake kundig auditor) is het ook mogelijk de AVG implementatie te laten certificeren. Uiteraard zijn aan certificeren hogere kosten verbonden dan aan toetsen. In Nederland worden AVG implementaties bv. gecertificeerd door TuV Nederland ( https://www.tuv.nl/nl/home/  ).

N.a.v. vragen uit onze klantenkring hebben wij een auditschema ontwikkeld o.b.v. BS10012 om middels een formele audit vast te kunnen stellen wat de status van de AVG implementatie is. Vervolgens kunnen wij dan middels een zogenaamde TPM (Third Party Memorandum) als gecertificeerde ISO27001 Lead Auditors vastleggen wat de status van de AVG implementatie is. En omdat we onze klanten graag verder helpen, vullen wij de audit resultaten aan met aanbevelingen voor verbeteringen. Bij de meeste klanten, kunnen wij een dergelijke audit in ongeveer 2 dagen uitvoeren (inclusief bespreken resultaten en aanbevelingen). Wij zien dat het BSI auditschema vooral gewaardeerd wordt door organisaties die intensief persoonsgegevens verwerken zoals de Re-integratie/Sociale Werkvoorziening branche en Gezondheidszorg. Maar ook ICT bedrijven die formeel moeten aantonen aan klanten dat zij AVG proof werken, vinden het een aantrekkelijke oplossing. Verder blijkt het schema ook een mooie opstap naar een ISO27001 en/of NEN7510 certificaat, temeer daar BS10012 naadloos in ISO en/of NEN kan worden geïntegreerd.

Zelf doen of uitbesteden ? Het goede nieuws is dat de BS10012 norm gewoon gekocht kan worden bij BSI (zie link hieronder) en dat een organisatie er dan mee aan de slag kan gaan. Dit vereist echter wel “wat“ kennis en ervaring (van/met ISO27001 en de AVG); als die onvoldoende aanwezig is, kan uitbesteden dus effectiever en efficiënter zijn.

https://www.bsigroup.com/en-GB/BS-10012-Personal-information-management/

Eildert Karstens, ISO27001 Lead Auditor, ISO31000 Lead Risk Manager en Partner bij IsoSecure