College Bescherming Persoonsgegevens


21 november 2003

Certificaat voor rechtmatige verwerking van persoonsgegevens

Het College bescherming persoonsgegevens (CBP) heeft samen met een aantal beroepsorganisaties een systeem ontwikkeld voor auditing van verwerkingen van persoonsgegevens, waarbij het voldoen aan wet- en regelgeving resulteert in de afgifte van een goedkeurende verklaring en certificaat. Het zogenaamde `privacycertificaat' wordt toegekend aan een specifieke rechtmatige verwerking van persoonsgegevens door een organisatie. Naar verwachting worden in het eerste kwartaal van 2004 de eerste verwerkingen gecertificeerd, zo is bekend gemaakt tijdens het congres van NOREA, ISACA en VERA op 12 en 13 november.

Accreditatie van de privacy-auditor
Het CBP zal in eerste instantie een tweetal accreditatie-instellingen benoemen, te weten NOREA en NIVRA. Deze instellingen zijn bevoegd tot het accrediteren van auditors. Privacy-auditors zijn onderzoekers die verwerkingen van persoonsgegevens binnen organisaties zullen toetsen aan de geldende wet- en regelgeving. Wanneer een privacy-auditor tot een positief oordeel komt, mag de auditor de onderzochte verwerking voorzien van een certificaat. Het CBP speelt geen rol bij het aanstellen van privacy-auditors noch bij het verlenen van certificaten. Het is wel nadrukkelijk betrokken bij het ontwikkelen van de voorwaarden waaronder accreditatie en certificering plaatsvinden.

Privacy-auditors certificeren verwerkingen
Elke organisatie kan een aanvraag doen voor een certificaat bij geaccrediteerde privacy-auditors. Deze onderzoekt vervolgens de betreffende verwerking van persoonsgegevens binnen de organisatie.

Een organisatie ontvangt een certificaat voor één bepaalde verwerking en wordt niet in zijn totaliteit voorzien van een certificaat. Het certificaat verklaart dat de verwerking is getoetst aan het door het CBP erkende normenkader en is geen bewijs van goedkeuring door het CBP. Burgers en betrokkenen kunnen er het vertrouwen aan ontlenen dat persoonsgegevens nu en in de toekomst rechtmatig verwerkt zullen worden. De erkende privacy-audit zal met regelmaat worden herhaald.

Over het CBP
Het College bescherming persoonsgegevens (CBP) houdt -onder de Wet bescherming persoonsgegevens (WBP)- toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Bij het CBP moet het gebruik van persoonsgegevens worden gemeld, tenzij hiervoor een vrijstelling geldt.

Het CBP adviseert de regering en organisaties over de bescherming van persoonsgegevens en onderwerpen die daarmee samenhangen. Het CBP toetst gedragscodes en bemiddelt in geschillen tussen burgers en gebruikers van persoonsgegevens. Op eigen initiatief of op verzoek van een belanghebbende kan het CBP onderzoeken of de manier waarop persoonsgegevens in een bepaalde situatie zijn gebruikt, in overeenstemming is met de wet en daaraan zonodig gevolgen verbinden. Voor in gebreke blijven bij de melding kan een boete worden opgelegd. Bij overtreding van de wet of daarop gebaseerde regelingen kan het CBP overgaan tot bestuursdwang of een dwangsom opleggen.