De European Data Protection Board (EDPB) heeft een eerste versie aangenomen van guidelines over een AVG-certificaat als doorgifte-instrument. In deze guidelines staan voorwaarden om op basis van een AVG-certificaat én een doorgiftecontract persoonsgegevens te delen met landen buiten Europa.
Met een AVG-certificaat kan een organisatie aantonen dat de interne processen in lijn zijn met de Algemene verordening gegevensbescherming (AVG). En dat de organisatie die processen ook correct toepast.
Om zo’n certificaat te verkrijgen moet een bedrijf zich laten controleren door een geaccrediteerde certificatie-instelling. Op dit moment zijn er in Nederland nog geen geaccrediteerde certificatie-instellingen, maar die komen er naar verwachting in de toekomst wel.
Een AVG-certificaat kan de basis zijn om op een veilige manier persoonsgegevens te versturen vanuit de Europese Unie (EU) naar landen buiten de EU. Europese bedrijven laten met zo’n certificaat zien dat zij de AVG goed hebben geïmplementeerd binnen én buiten de EU.
Ook kunnen buitenlandse bedrijven die zich buiten de EU bevinden en die vanuit het buitenland producten en diensten aan mensen in de EU aanbieden, met zo’n certificaat laten zien dat zij in lijn met de AVG werken.
Dit doen zij door zich te laten certificeren én een aanvullend doorgiftecontract aan te gaan. Op die manier kunnen AVG-certificaten dus dienen als doorgifte-instrument (1).
Over AVG-certificering als doorgifte-instrument zijn nu Guidelines on certification as tools for transfers gepubliceerd (2).
Deze guidelines zijn nog niet definitief. Iedereen die dat wil, kan tot en met 30 september 2022 reageren op de guidelines via de website van de EDPB. Na deze consultatie stelt de EDPB de definitieve guidelines vast.
AVG-certificaat (3);
Guidelines over certificering van de EDPB (4), Annex 2 (5) en het Addendum (6).
“Het verhaal klopt niet helemaal. Het principe van AVG-certificaten bestaat al 4 jaar. Momenteel worden er al twee soorten ingezet, nl. AVG-certificaat met nationale scope en met een Europese scope. Het nieuwe (bij deze derde soort) is dat er nu richtlijnen zijn om een AVG-certificaat in te zetten als doorgifte-instrument. Dus: dat je een AVG-certificaat (plus doorgiftecontract) kunt gebruiken om persoonsgegevens te delen met landen buiten Europa.
Wat hier nieuw aan is in vergelijking met de eerste 2, is dat de auditor bedrijven niet alleen controleert of het bedrijf zich houdt aan de AVG binnen de EU, maar ook of het zich hieraan houdt buiten de EU. Bij het verwerken van persoonsgegevens buiten de EU moeten namelijk extra zaken geregeld worden om data daar veilig verwerken. Die extra bescherming wordt met name geregeld via het aanvullende doorgifte contract en door een aantal aanvullende toetsingscriteria waar auditors op controleren.”
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal/doorgifte-binnen-en-buiten-de-eu
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-072022-certification-tool-transfers_en
https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/avg-certificaat
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2018/guidelines-12018-certification-and-identifying_en
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2019/guidelines-12018-certification-and-identifying_en
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidance-certification-criteria-assessment_en
