College Bescherming Persoonsgegevens
21 november 2003
Certificaat voor rechtmatige verwerking van persoonsgegevens
Het College bescherming persoonsgegevens (CBP) heeft samen met een
aantal beroepsorganisaties een systeem ontwikkeld voor auditing van
verwerkingen van persoonsgegevens, waarbij het voldoen aan wet- en
regelgeving resulteert in de afgifte van een goedkeurende verklaring
en certificaat. Het zogenaamde `privacycertificaat' wordt toegekend
aan een specifieke rechtmatige verwerking van persoonsgegevens door
een organisatie. Naar verwachting worden in het eerste kwartaal van
2004 de eerste verwerkingen gecertificeerd, zo is bekend gemaakt
tijdens het congres van NOREA, ISACA en VERA op 12 en 13 november.
Accreditatie van de privacy-auditor
Het CBP zal in eerste instantie een tweetal accreditatie-instellingen
benoemen, te weten NOREA en NIVRA. Deze instellingen zijn bevoegd tot
het accrediteren van auditors. Privacy-auditors zijn onderzoekers die
verwerkingen van persoonsgegevens binnen organisaties zullen toetsen
aan de geldende wet- en regelgeving. Wanneer een privacy-auditor tot
een positief oordeel komt, mag de auditor de onderzochte verwerking
voorzien van een certificaat. Het CBP speelt geen rol bij het
aanstellen van privacy-auditors noch bij het verlenen van
certificaten. Het is wel nadrukkelijk betrokken bij het ontwikkelen
van de voorwaarden waaronder accreditatie en certificering
plaatsvinden.
Privacy-auditors certificeren verwerkingen
Elke organisatie kan een aanvraag doen voor een certificaat bij
geaccrediteerde privacy-auditors. Deze onderzoekt vervolgens de
betreffende verwerking van persoonsgegevens binnen de organisatie.
Een organisatie ontvangt een certificaat voor één bepaalde verwerking
en wordt niet in zijn totaliteit voorzien van een certificaat. Het
certificaat verklaart dat de verwerking is getoetst aan het door het
CBP erkende normenkader en is geen bewijs van goedkeuring door het
CBP. Burgers en betrokkenen kunnen er het vertrouwen aan ontlenen dat
persoonsgegevens nu en in de toekomst rechtmatig verwerkt zullen
worden. De erkende privacy-audit zal met regelmaat worden herhaald.
Over het CBP
Het College bescherming persoonsgegevens (CBP) houdt -onder de Wet
bescherming persoonsgegevens (WBP)- toezicht op de naleving van wetten
die het gebruik van persoonsgegevens regelen. Bij het CBP moet het
gebruik van persoonsgegevens worden gemeld, tenzij hiervoor een
vrijstelling geldt.
Het CBP adviseert de regering en organisaties over de bescherming van
persoonsgegevens en onderwerpen die daarmee samenhangen. Het CBP
toetst gedragscodes en bemiddelt in geschillen tussen burgers en
gebruikers van persoonsgegevens. Op eigen initiatief of op verzoek van
een belanghebbende kan het CBP onderzoeken of de manier waarop
persoonsgegevens in een bepaalde situatie zijn gebruikt, in
overeenstemming is met de wet en daaraan zonodig gevolgen verbinden.
Voor in gebreke blijven bij de melding kan een boete worden opgelegd.
Bij overtreding van de wet of daarop gebaseerde regelingen kan het CBP
overgaan tot bestuursdwang of een dwangsom opleggen.