Bedrijven willen best wel compliant zijn met de GDPR-wetgeving. En sommige adviseurs bieden daarvoor een soort van GDPR compliancy-certificaat aan. Althans, zo lijkt het wel. Maar is dat nuttig? Bovendien: kan dat zomaar?
LinkedIn ongeveer een week geleden. In één post staat een foto van het grondwerken- & afbraakbedrijf Boutsen & Zonen uit Limburg. ‘Weer een organisatie GDPR-Compliant!’, lezen we.
‘Na een grondige data-audit van de verwerking van persoonsgegevens bij Boutsen, kunnen wij met fierheid mededelen dat er alweer een organisatie GDPR-Proof werd verklaard’, schrijft Danny Baerts, die het bericht online zette. Baerts heeft een webbedrijf en biedt ook GDPR-diensten aan.
Op de foto staan zelf staan twee zaakvoerders vóór hun vrachtwagen. Ze steken de duimen in de lucht. Linksonder de foto staat ook een soort van stempel. Een rond keurmerk met daarin vermeld: ‘100 procent GDPR compliant’.
Bestaat er een certificaat?
Meteen erna komen er nogal wat negatieve reacties op de post, waarbij een aantal de geldigheid (en de waarde) van zo’n GDPR compliance-certificaat in twijfel trekken.
Ook de Vlaamse Toezichtcommissie (VTC), die bevoegd is voor de Vlaamse openbare sector, is formeel. ‘De VTC geeft geen attestering, certificering of erkenning over ‘GDPR compliant zijn’. Bij mijn weten doet ook de Gegevensbeschermingsautoriteit (GBA) dit niet. Het betreft hier dus louter een privé-initiatief’, antwoordt Caroline Vernaillen van de VTC.
Al heeft ook Vernaillen zo haar vragen. ‘Wat door dit bedrijf verstaan wordt onder ‘100 procent GDPR-compliant’ is dan ook niet duidelijk. En een dergelijke verklaring heeft voor ons als toezichthoudende autoriteit geen enkele waarde.’
Kwestie van marketing
We nemen contact op met Danny Baerts, de man van de post en het initiatief. Hij is overigens external dpo (data protection officer) en wil een en ander afzwakken. ‘Er is nog steeds geen officieel GDPR-certificaat’, geeft Baerts toe. ‘Wij begeleiden ondernemingen en organisaties richting honderd procent compliancy. Wij kunnen enkel alle nodige stappen en audits realiseren om een onderneming in orde te stellen met de nieuwe wetgeving’, stelt hij.
Baerts is wel verbolgen over de reacties. ‘De reacties op mijn posts zijn persoonlijke interpretaties van mensen die geen marketing verstaan’, klinkt het fors. ‘De stempel die wij plaatsen bij een foto is uiteraard geen certificaat, maar enkel een uitbeelding dat de onderneming in kwestie functioneert naar de nieuwe normen’, meent hij.
‘Fout gelopen met GDPR-business’
Niet alle specialisten reageren even fors, maar hebben toch wel hun bedenkingen. ‘Naar de letter van de wet staat er inderdaad niets verkeerd’, reageert Jan Guldentops, beveiligingsspecialist en ceo van BA. ‘Maar naar de geest van de wet, zit het wel fout. Het is vooral die double speak die me wat tegen de borst stuit’, zegt hij. ‘Ik vind het een foute manier om zo je diensten te verkopen, want het is op zijn minst misleidend.’
Volgens Guldentops is het voorbeeld kenmerkend van hoe het, volgens hem, fout is gelopen met de business die er rond GDPR is ontstaan. ‘Die business is toch ook voor een stuk in de handen gevallen van consultants en juristen die soms weinig idee hebben van hoe databeveiliging functioneert.’
Kan je wel GDPR compliant zijn?
Los van de ongeldigheid van zo’n certificaat: kan je hoegenaamd GDPR compliant worden genoemd? ‘GDPR compliant zijn is een voortdurend proces, en kan niet gewoon vastgesteld worden door een momentopname bij een audit’, stelt Caroline Vernaillen van de VTC.
Ook Danny Baerts erkent dit. ‘Om te beginnen: echt honderd procent halen is utopisch. En zoals je weet leven data, waardoor wij steeds moeten monitoren. Wij hebben reeds verschillende bedrijven geauditeerd en het traject loopt steeds drie jaren, van it tot legal’, aldus Baerts. ‘Wij zijn trouwens een associatie van vier dpo’’s, wel gecertificeerd waarvan er één een docent is’, verdedigt Baerts zich.
Al wil Jan Guldentops, zelf ook dpo, ook dit nog wel even kaderen: ‘Op zich is er ook geen echt certificaat voor dpo. Er is wel een soort van bottom-line waar zo’n dpo-opleiding aan moet voldoen. Dat is toch iets anders’, stelt hij.
Komt er een certificering voor GDPR?
De onduidelijkheid rond die certificaten heeft zijn effect in de markt. ‘Volgens mij heeft het nog lang geduurd voordat er enkele organisaties begonnen te claimen dat zij een certificaat voor de nieuwe privacywetgeving kunnen of mogen uitbrengen’, oppert GDPR-consultant Peter Witsenburg. ‘Maar zoiets kan niet zonder toestemming van de officiële Gegevensbeschermingsautoriteit. En deze is bij ons nog maar net geïnstalleerd, laat staan dat die zich hier nu al mee bezig kunnen houden’, aldus Witsenburg.
(Computable had voor dit artikel ook de Gegevensbeschermingsautoriteit gecontacteerd, maar ontving vooralsnog geen reactie.)
Wat doet Europa?
Op Europees niveau is er, volgens Witsenburg, al wel beweging om certificeringsinstanties te kunnen aanduiden per land binnen de EU. ‘Al is er nog onenigheid hoe en wie die dan gaat opstellen qua onpartijdigheid’, stelt hij. ‘Al zou het wel positief zijn om het kaf van het koren te kunnen scheiden: per land zou er dan minstens één organisatie worden aangeduid.’
Toch vindt hij er ook een negatief kantje aan. ‘Omdat men dan men direct gaat claimen dat je door een papiertje te halen honderd procent GDPR compliant bent, wat dus niet bestaat. Ik vergelijk het ook een beetje met de dpo-certificeringen die je overal ‘bijna’ kunt krijgen. Zelfs binnen één dag.’
En wat met ISO?
Voor informatiebeveiliging vallen bedrijven vaak terug op ISO-normen. Denk bijvoorbeeld aan ISO 27001, een ISO-standaard voor informatiebeveiliging. ‘Mogelijk kunnen die hier soelaas brengen’, merkt Witsenburg op.
Zo is er enkele weken geleden de nieuwe ISO27001:2019 gepubliceerd. ‘Hierin is het privacygedeelte van persoons-herleidbare informatie deels mee opgenomen’, vertelt hij. ‘Deze laatste heeft mijn voorkeur qua certificering.’
Of hoe de kwestie van certificaten nog wel even zal verdergaan. Met of zonder foto’s. En met of zonder duimpjes omhoog.
Ik zou er op willen wijzen dat er geen nieuwe 27001 standaard gepubliceerd is. Wel werd 27701:2019 gepubliceerd, die aangeeft op welke wijze het ISMS, gedefinieerd door ISO 27001:2013 en geimplementeerd op basis van 27002:2013 , aangewend kan worden om PII (persoonlijk Identificeerbare Informatie) te beheren en te beschermen.
Geert, correct het is een aanvulling op de bestaande ISO27001 norm en geeft een goede basis om de P van Protection in GDPR in goede banen te leiden.
Klopt inderdaad. Zo had ik het inderdaad ook bedoeld in mijn artikel: er is geen nieuwe ISO27001 standaard gepubliceerd is, maar wel ISO 27701:2019. Dank voor de verduidelijking (en interesse) alvast.