GDPR-certificering: volgt na de marathon de sprint?

Dit gastartikel is geschreven door onze docent Kenny Willems

Met certificeringsmarathon, schreef ik in 2020 een eerste analyse over de (trage) uitrol van GDPR-certificering. Sindsdien is er heel wat veranderd en is het hoog tijd voor een nieuwe stand van zaken. 

Waar staan we vandaag? 🥳 

In 2020 hoopte ik dat we een jaar later zouden klinken op de eerste certificering. Ook zou ik op seriSe gegokt hebben om als eerste geaccrediteerde instantie met een EU-zegel over de meet te komen. Het blijkt dat ik geen goede waarzegger ben… Het duurde immers nog 3 jaar1 (i.e. bijna 6 jaar na intrede van de GDPR) op basis van een schema van… Europrivacy, een quasi-naamgenoot. 

Ondertussen telt het EDPB-certificeringsregister vijf2 schema’s: 

Mits wat opzoekwerk, kom ik tot het onderstaande overzicht: 

Wat valt op? 🔎 

De marathon was een feit. De go-to-market tussen aanvraag en eerste certificering blijkt nog steeds moeizaam te verlopen. Autoriteiten, die de wettelijke taak hebben om certificering te bevorderen, korten best hun procedures in om de markt verder te stimuleren. 

• Scope: Europrivacy is voorlopig het enige EU-zegel dat voor zowel vewerkingsverantwoordelijke als verwerker geldt. EuroPriSe besloot enkele jaren terug om strategisch het schema op te delen en heeft voorlopig enkel het EU-zegel beet voor verwerker-schema. Zowel BC5701 als AUDITOR hebben wel hun ambitie uitgesproken om het nationaal schema naar een Europees zegel te tillen. 

• Focus: De meeste schema’s zijn algemeen opgesteld voor een breed scala aan processen, producten of diensten. Maar het staat vrij om specifieke schema’s te ontwikkelen zoals de European Cloud Service Data Protection Certification (AUDITOR) conformity assessment. Zij mikken specifiek op Cloud Providers. Europrivacy kiest dan weer voor een hybride model waar je naast de core criteria ook extensies kan toevoegen zoals ePrivacy, AI en andere markten. 

• Transfer tool: In theorie kan een certificeringsschema een passende waarborg zijn voor internationale doorgiften (cfr. artikel 46.2.f GDPR). De EDPB publiceerde met Guideline 07-2022 alvast een richtsnoer om dit verder te bevorderen. Opmerkelijk is dat geen enkel schema (en bij uitbreiding geen enkele gedragscode) een passende oplossing biedt. Aangezien de weg naar certificering al zodanig complex is en er wellicht nog meer toetsing nodig is om ook als transfermechanisme te gelden, lijkt me dit een strategische afweging te zijn geweest. 

• Aantal geaccrediteerde instanties en uitgereikte certificaten: Het valt op dat er verschillende businessmodellen zijn. Terwijl EuroPriSe zowel optreedt als schema-eigenaar en als certificeringsorgaan, splitst men bij Europrivacy de schema-eigenaar (ECCP) van hun partners die het schema hanteren. 

Cybersecurity als katalysator? 🔮 

Hoewel de markt nog maar net op gang komt en het afwachten is welke waarde men uiteindelijk aan zulk certificaat zal toekennen, blijft certificering een krachtig instrument. Belangrijk is dat de eerste certificaten eindelijk uitgereikt werden en dat het thema aan belang wint. 

Zo zagen we in januari 2024 de publicatie van het eerste schema onder de Cybersecurity Act. Deze certificering plugt perfect in bij demonstreren van conformiteit m.b.t cybersecurity bij Cyber Resilience Act, NIS-2 en zelfs de AI Act3. In juli 2024 stuurde EDPB nog een update naar ENISA over het oprichten van een gezamenlijke ad-hoc werkgroep met als taak te onderzoeken hoe gegevensbescherming binnen EUCS-schema’s aan bod kunnen komen. Omdat certificering in dit kader eerder verplichtend werkt, is de kans groot dat organisaties ook zullen overwegen om een GDPR-certificering te behalen. 

Business case klaar? 🤔 

Ben je vandaag op zoek naar mogelijkheden om jouw conformiteit te demonstreren en zo vertrouwen te winnen? Dan is GDPR-certificering een geldige optie geworden. Maar is het de juiste oplossing? Om dit te onderzoeken stelt je best een goede business case op. Hieronder stip ik enkele criteria aan om rekening mee te houden. 

• Belangrijkste voordelen 

• Aantoonbaarheid en vertrouwen ↗️ 

• Concurrentievoordeel (USP) ↗️ 

• Compliance risico ↘️ 

• Catalysator om algemene GDPR-maturiteit een boost te geven ↗️ 

• Het maakt het leven van de DPO een stuk makkelijker 

• Belangrijkste nadelen 

• Werken in een bepaald keurslijf van beleid, procedures en documentatie zorgt voor verhoogde complexiteit bij toekomstige wijzigingen 

• De “high maintenance” factor: bij EuroPrivacy geldt bv. een certificering bv voor 3 jaar, maar elk van de tussenliggende jaren is er wel werk en zelfs een interim surveillance audit. Dank @Kris Somers om dit aan te stippen. 

• Ondanks een vermoeden van conformiteit zal het toezicht van een autoriteit niet spectaculair verminderen 

• Sterker nog: bij een duidelijke inbreuk die valt binnen het toepassingsgebied van het certificaat, kan het zwaarder doorwegen in het bepalen van de sanctie 

• Reputatieschade bij intrekken van het certificaat 

• Kosten 

• €€€ = implementatie + initiële certificering + jaarlijkse surveillance audit + onderhoudskosten (bv. publicatie in register) 

• Wijzigt de Target of Evaluation frequent? Dan kan het zijn dat de auditor vroeger dan verwacht terugkomt 

• Het loont om de markt te vergelijken. Zo is Europrivacy relatief commerciëel ingesteld en biedt o.a. een Welcome pack aan t.w.v. €6000 waar de eigenlijke certificering nog niet eens in opgenomen is 

• Alternatieven 

• Doe gewoon verder… 

• Maak een DPIA (samenvatting) publiek 

• Sluit aan op een gedragscode (of neem initiatief om er een op te stellen binnen de sector) 

• Publiceer een samenvatting van een audit rapport, eventueel o.b.v. certificerinschema, zonder certificering 

Kortom, “bezint eer ge begint”. Bevestig dat certificering het juiste instrument is en dat je klaar bent om het contractuele en wettelijke engagement aan te gaan. 

Wat als mijn organisatie geen ambitie of middelen heeft om te certificeren? 🤔 

Een certificaat behalen hoeft niet altijd een doelstelling te zijn. De meeste schema’s zijn gratis beschikbaar en kunnen ook bijdragen aan andere initiatieven.  

Zo zou het gebruik van een GDPR-schema een goede methodiek kunnen zijn voor het objectief evalueren van interne processen, producten en diensten. Anders dan de klassieke benadering van een managementsysteem, kan de organisatie op deze manier ingeleid worden in de productgebaseerde audit. Het kan ook helpen bij de due diligence van verwerkers. 

Bovendien schept zo’n evaluatiemethode een duidelijk beeld van de verwachtingen die de DPO heeft ten aanzien van bepaalde verwerkingen. Het kan de ontwikkelteams en aankoopverantwoordelijken helpen in het maken / vinden van de juiste insteek om GDPR-conform te zijn.  

Meer weten? Schrijf je in voor de GDPR-audit cursus van DPI! 

Nieuwsgierig over hoe GDPR-certificering werkt en wat het voor jou kan betekenen? Volg dan de GDPR-auditcursus van  Data Protection Institute, waar ik de week afsluit op vrijdag. 

Mijn bijdrage start met een korte introductie over de concepten van certificering en accreditatie maar focust voornamelijk op de praktijk, waar cursisten een fictief product evalueren a.d.h.v. een GDPR-schema. 

De volgende lessenreeks vindt plaats tussen 4 en 8 november 2024 in Elewijt. Er zijn nog enkele plaatsen beschikbaar, wees er snel bij!.  

Hopelijk tot binnenkort! 

Kenny