NL aanvullende accreditatie-eisen certificeringsorganen Autoriteit Persoonsgegevens1De tekst van deze aanvullende eisen in de Engelse taal is authentiek. Bij interpretatieverschillen is de Engelse tekst leidend

De Autoriteit Persoonsgegevens (hierna: AP) heeft op 8 juni 2021 het volgende besluit genomen inzake de aanvullende accreditatie-eisen voor certificeringsorganen met betrekking tot ISO/IEC 17065:2012 (hierna: ISO 17065) en overeenkomstig artikel 43, eerste lid, onder b, en artikel 43, derde lid, van de AVG:

De onderstaande punten (afgezien van punt 9) verwijzen naar de secties in ISO 17065 en geven de aanvullende eisen weer voor de desbetreffende ISO 17065-normelementen.

0. Voorwoord

De taken en verantwoordelijkheden van de AP en de Raad voor Accreditatie (hierna: RvA) als de nationale accreditatie-instantie (NAI) met betrekking tot accreditatie voor AVG-certificeringsschema’s zijn beschreven in de Uitvoeringswet Algemene Verordening Gegevensbescherming (hierna: UAVG) en in een ministeriële regeling (Regeling van de Minister voor Rechtsbescherming van 16 mei 2018 tot aanwijzing van de Raad voor Accreditatie als accrediterende instantie als bedoeld in artikel 43, eerste lid, van de Algemene verordening gegevensbescherming).2Staatscourant 2018, 28116. De operationele procedures met betrekking tot de accreditatie voor AVG-certificeringsschema’s zijn vastgelegd in een informatieprotocol tussen de AP en de RvA.3Staatscourant 2020, 11507.

1. Reikwijdte

Dit document bevat aanvullende eisen bij ISO 17065 voor de beoordeling van de competentie, de consistente werkwijze en de onpartijdigheid van AVG-certificeringsorganen.

De reikwijdte van ISO 17065 wordt toegepast in overeenstemming met de AVG. In de EDPB-richtsnoeren inzake accreditatie en certificering wordt nadere informatie gegeven. De brede reikwijdte van ISO 17065, die producten, processen en diensten omvat, prevaleert niet boven de AVG of doet hier geen afbreuk aan. Derhalve moet certificering betrekking hebben op de verwerking van persoonsgegevens. En hoewel een governancesysteem, bijvoorbeeld een privacy-informatiemanagementsysteem, deel kan uitmaken van een certificeringsmechanisme, mag het niet het enige element zijn.

De reikwijdte van een certificeringsmechanisme, bijvoorbeeld de certificering van de verwerking van clouddiensten, moet worden meegenomen in de beoordeling door de RvA en de AP tijdens het accreditatieproces, met name ten aanzien van criteria, deskundigheid en evaluatiemethodiek.

Ten slotte kan op grond van artikel 42, eerste lid, van de AVG alleen een AVG-certificering worden toegekend met betrekking tot de verwerkingsactiviteiten van de verwerkingsverantwoordelijke en de verwerker.

2. Normatieve referentie

De AVG prevaleert boven ISO 17065. Indien in de aanvullende eisen of door middel van een certificeringsmechanisme wordt verwezen naar andere ISO-normen, worden deze geïnterpreteerd in overeenstemming met de eisen die in de AVG zijn vastgesteld.

3. Termen en begripsomschrijvingen

De termen en begripsomschrijvingen van de richtsnoeren inzake accreditatie4Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation. en certificering5Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation. zijn van toepassing en hebben voorrang op de ISO-definities. Voor het gemak worden de belangrijkste definities die in dit document worden gebruikt, hieronder opgesomd.

4. Algemene eisen voor accreditatie

4.1. Juridische en contractuele aangelegenheden

4.1.1. Wettelijke verantwoordelijkheid

Een certificeringsorgaan moet (te allen tijde) aan de RvA kunnen aantonen te beschikken over up-to-date procedures waaruit blijkt dat de wettelijke verantwoordelijkheden worden nageleefd die zijn vastgelegd in de accreditatievoorwaarden, inclusief de aanvullende eisen met betrekking tot de toepassing van de AVG.

Het certificeringsorgaan dient aan te kunnen tonen dat zijn procedures en maatregelen die specifiek gericht zijn op de controle en behandeling van de persoonsgegevens van de organisatie van de aanvrager en de cliënt in het kader van het certificeringproces voldoen aan de AVG en de UAVG. Als zodanig moet het in staat zijn het bewijs te leveren dat aan de eisen van het accreditatieproces is voldaan.

Het certificeringsorgaan levert het bewijs van naleving zoals vereist tijdens het accreditatieproces.

Dit houdt in ieder geval in dat het certificeringsorgaan aan de RvA bevestigt dat het niet onderworpen is aan een AP-onderzoek dat of regelgevende actie die zou kunnen inhouden dat het niet aan deze eis kan voldoen en als zodanig de accreditatie zou kunnen verhinderen.

4.1.2. Certificeringsovereenkomst

Het certificeringsorgaan dient naast de eisen van ISO 17065 aan te tonen dat zijn certificeringovereenkomsten:

4.1.3. Gebruik van gegevensbeschermingszegels en -merken

Certificaten, zegels en merken mogen alleen worden gebruikt in overeenstemming met de artikelen 42 en 43 van de AVG en de richtsnoeren inzake accreditatie en certificering.

4.2. Omgaan met onpartijdigheid

In aanvulling op de eisen van ISO 17065, met name 3.13 en 4.2, moet het certificeringsorgaan aan de RvA aantonen:

4.3. Aansprakelijkheid en financiering

In aanvulling op de eis in 4.3.1 van ISO 17065 moet het certificeringsorgaan regelmatig (d.w.z. eenmaal per jaar) aan het RvA aantonen over passende maatregelen te beschikken (bijvoorbeeld verzekering en/of reserves) om zijn aansprakelijkheden in de geografische regio's waar het actief is, te dekken. Voorts dient het certificeringsorgaan aan te tonen dat het financieel stabiel en onafhankelijk is. Het besluit met betrekking tot de selectie en de aanwijzing van de bewijsstukken valt onder de discretionaire bevoegdheid van de RvA.

4.4. Niet-discriminatoire voorwaarden

De eisen van 4.4 van ISO 17065 zijn van toepassing.

4.5. Vertrouwelijkheid

De eisen van 4.5 van ISO 17065 zijn van toepassing.

4.6. Openbare informatie

In aanvulling op de eisen in 4.6 van ISO 17065 moet het certificeringsorgaan aan de RvA aantonen dat:

5. Eisen aan de structuur Artikel 43, vierde lid van de AVG [“juiste” beoordeling]

5.1. Organisatiestructuur en topmanagement

De eisen van 5.1 van ISO 17065 zijn van toepassing.

5.2. Mechanismen ter waarborging van onpartijdigheid

De eisen van 5.2 van ISO 17065 zijn van toepassing.

6. Eisen aan het personeel

6.1. Medewerkers van het certificeringsorgaan

In aanvulling op de eis in punt 6 van ISO 17065 moet het certificeringsorgaan aan de RvA aantonen dat zijn medewerkers:

Voor medewerkers met technische expertise:

Voor medewerkers met juridische expertise:

6.2. Voorzieningen voor evaluatie

De eisen van 6.2 van ISO 17065 zijn van toepassing

7. Eisen aan de processen Artikel 43, tweede lid, onder c) en d), van de AVG.

7.1. Algemeen

In aanvulling op de vereiste in 7.1 van ISO 17065 moet de RvA het volgende waarborgen:

7.2. Toepassing

In aanvulling op punt 7.2 van ISO 17065 eist het certificeringsorgaan dat de aanvraag:

7.3. Toetsing van de aanvraag

In aanvulling op punt 7.3 van ISO 17065:

7.4. Evaluatie

In aanvulling op punt 7.4 van ISO 17065 moeten in het certificeringssysteem toereikende evaluatiemethoden worden beschreven om te beoordelen of de verwerkingshandeling(en) aan de certificeringscriteria voldoet (voldoen), met inbegrip van onderwerpen als:

Het certificeringsorgaan dient erop toe te zien dat deze evaluatiemethoden worden gestandaardiseerd en consequent worden toegepast. Dit betekent dat vergelijkbare evaluatiemethoden worden gebruikt voor vergelijkbare ToE's. Elke afwijking van deze procedure moet door het certificeringsorgaan worden gemotiveerd.

In aanvulling op punt 7.4.2 van ISO 17065 mag de evaluatie worden uitgevoerd door onderaannemers die door het certificeringsorgaan zijn erkend, met gebruikmaking van dezelfde vereisten voor medewerkers vermeld in punt 6.

In aanvulling op punt 7.4.5 van ISO 17065 moet worden bepaald dat in het kader van een nieuwe evaluatie rekening mag worden gehouden met bestaande certificering, die betrekking heeft op hetzelfde voorwerp van de certificering. Het certificaat alleen is echter niet voldoende bewijs en het certificeringsorgaan is verplicht te controleren of aan de criteria met betrekking tot het voorwerp van de certificering wordt voldaan. Het volledige evaluatierapport en andere relevante informatie die een evaluatie van de bestaande certificering en de resultaten daarvan mogelijk maakt, worden in aanmerking genomen om tot een geïnformeerd besluit te komen.

Indien in het kader van een nieuwe evaluatie rekening wordt gehouden met bestaande certificering, dient de reikwijdte van die certificering ook in detail te worden beoordeeld met betrekking tot de naleving van de relevante certificeringscriteria.

In aanvulling op punt 7.4.6 van ISO 17065 moet het certificeringsorgaan in zijn certificeringregeling gedetailleerd vastleggen hoe de aanvrager door de in punt 7.4.6 vereiste informatie op de hoogte is van afwijkingen van de regeling. Dit omvat ten minste de aard en het tijdstip van deze informatie.

In aanvulling op punt 7.4.9 van ISO 17065 moet de evaluatiedocumentatie op verzoek volledig toegankelijk worden gemaakt voor de AP.

7.5. Herziening

In aanvulling op punt 7.5 van ISO 17065 zijn procedures voor de toekenning, regelmatige herziening en intrekking van de respectieve certificeringen overeenkomstig artikel 43, tweede en derde lid, van de AVG vereist.

7.6. Certificeringsbesluit

In aanvulling op punt 7.6.1 van ISO 17065 moet het certificeringsorgaan in zijn procedures gedetailleerd vastleggen hoe haar onafhankelijkheid en verantwoordelijkheden met betrekking tot individuele certificeringsbeslissingen worden gewaarborgd.

In aanvulling op punt 7.6 van ISO 17065 moet het certificeringsorgaan onmiddellijk vóór de afgifte of verlenging van de certificering de AP op de hoogte stellen door de ontwerp-goedkeuring, met inbegrip van de samenvatting van het evaluatierapport, aan de AP voor te leggen. In de samenvatting wordt duidelijk beschreven hoe aan de criteria wordt voldaan, zodat de redenen voor het verlenen of behouden van de certificering worden vermeld.

Naast de controle die wordt uitgevoerd in de aanvraagfase, voorafgaand aan de afgifte van de certificering, moet het certificeringsorgaan bij de aanvrager nagaan of er geen sprake is van een onderzoek of regelgevende maatregelen van de AP die de afgifte van de certificering zouden kunnen verhinderen.

7.7. Certificeringsdocumentatie

In aanvulling op punt 7.7.1, onder e), van ISO 17065 en in overeenstemming met artikel 42, zevende lid, van de AVG wordt vereist dat de geldigheidsduur van de certificeringen maximaal drie jaar bedraagt.

In aanvulling op punt 7.7.1, onder e), van ISO 17065 wordt vereist dat de periode van de voorgenomen monitoring in de zin van punt 7.9van dit document wordt gedocumenteerd.

In aanvulling op punt 7.7.1, onder f), van ISO 17065 moet het certificeringsorgaan het voorwerp van de certificering in de certificeringsdocumentatie vermelden (met vermelding van de versiestatus of soortgelijke kenmerken, indien van toepassing).

Bij de afgifte van het certificaat moet het certificeringsorgaan een kopie van de in punt 7.7.1 van ISO 17065 bedoelde certificeringsdocumentatie verstrekken aan de AP.

7.8. Repertorium van gecertificeerde producten

In aanvulling op punt 7.8 van ISO 17065 maakt het certificeringsorgaan een verslag van de afgegeven certificeringen publiek toegankelijk, met inbegrip van informatie over het certificeringsmechanisme en de geldigheidsduur van de certificeringen.

Het certificeringsorgaan stelt een samenvatting van het evaluatierapport ter beschikking aan het publiek. Het doel van deze samenvatting is om te helpen bij de transparantie over wat is gecertificeerd en hoe dit is beoordeeld. De volgende onderwerpen zullen worden toegelicht:

7.9. Toezicht

In aanvulling op de punten 7.9.1, 7.9.2 en 7.9.3 van ISO 17065 en overeenkomstig artikel 43, tweede lid, onder c), van de AVG zijn er regelmatig controlemaatregelen vereist om de certificering tijdens de controleperiode te behouden. Dergelijke maatregelen moeten risicogebaseerd en evenredig zijn en de maximale periode tussen de toezichtsactiviteiten mag niet meer dan 12 maanden bedragen.

7.10. Wijzigingen die van invloed zijn op de certificering

In aanvulling op de punten 7.10.1 en 7.10.2 van ISO 17065 moet het certificeringsorgaan ook rekening houden met wijzigingen die van invloed zijn op de certificering:

De door het certificeringsorgaan uit te voeren wijzigingsprocedures omvatten onder meer: overgangsperioden, goedkeuringsproces met de AP, herbeoordeling van het relevante voorwerp van de certificering en passende maatregelen om de certificering in te trekken als de gecertificeerde verwerking niet langer in overeenstemming is met de bijgewerkte criteria.

7.11. Beëindiging, vermindering, opschorting of intrekking van de certificering

In aanvulling op punt 7.11.1 van ISO 17065 moet het certificeringsorgaan de AP en de RvA onverwijld schriftelijk informeren over de genomen maatregelen en over voortzetting, beperkingen, opschorting en intrekking van de certificering.

Indien de AP overeenkomstig artikel 58, tweede lid, onder h), van de AVG vaststelt dat niet of niet langer aan de eisen voor de certificering wordt voldaan, aanvaardt het certificeringsorgaan besluiten of bevelen om de certificering in te trekken of niet af te geven.

7.12. Registratie

In aanvulling op punt 7.12 van ISO 17065 is het certificeringsorgaan verplicht om alle documentatie volledig, begrijpelijk en up-to-date te houden en geschikt te maken voor audits.

7.13. Klachten en beroepsprocedures

In aanvulling op punt 7.13.1 van ISO 17065 moet het certificeringsorgaan het volgende beschrijven:

In aanvulling op punt 7.13.2 van ISO 17065 moet het certificeringsorgaan het volgende beschrijven:

De certificeringsorganen maken hun klachtenbehandelingsprocedures openbaar en gemakkelijk toegankelijk voor de betrokkenen.

Het certificeringsorgaan is verplicht de indiener van een klacht zonder onnodige vertraging en in ieder geval binnen een maand na ontvangst van de klacht op de hoogte te stellen van de voortgang en/of het resultaat van de klacht. Deze termijn kan zo nodig worden verlengd. In dat geval deelt het certificeringsorgaan de indiener van de klacht binnen een maand na ontvangst van het verzoek mee wanneer het resultaat kan worden verwacht.

In aanvulling op punt 7.13.1 van ISO 17065 moet het certificeringsorgaan bepalen hoe de scheiding tussen certificeringactiviteiten en de behandeling van beroepsprocedures en klachten wordt gewaarborgd.

8. Eisen aan het managementsysteem

In aanvulling op hoofdstuk 8 van ISO 17065 moeten de managementbeginselen en de gedocumenteerde uitvoering ervan transparant zijn en door het geaccrediteerde certificeringsorgaan in de accreditatieprocedure overeenkomstig artikel 58 van de AVG en vervolgens op verzoek van de AP op elk moment tijdens een onderzoek worden bekendgemaakt in de vorm van gegevensbeschermingscontroles overeenkomstig artikel 58, eerste lid, onder b), van de AVG of een herziening van de overeenkomstig artikel 42, zevende lid, van de AVG afgegeven certificeringen overeenkomstig artikel 58, eerste lid, onder c), van de AVG.

De procedures in geval van opschorting of intrekking van de accreditatie worden geïntegreerd in het managementsysteem van het certificeringsorgaan, met inbegrip van de kennisgeving aan hun klanten en aanvragers.

Het certificeringsorgaan stelt een klachtenbehandelingsproces met de nodige niveaus van onafhankelijkheid vast als integraal onderdeel van het managementsysteem, waarmee met name de eisen van punt 4.1.2.2, onder c), punt 4.1.2.2, onder j), punt 4.6, onder d), en punt 7.13 van ISO 17065 worden uitgevoerd.

8.1. Algemene eisen voor het managementsysteem

De eisen van 8.1 Opties van ISO 17065 zijn van toepassing.

8.2. Documentatie voor het managementsysteem

De eisen van 8.2 van ISO 17065 zijn van toepassing.

8.3. Controle van documenten

De eisen van 8.3 van ISO 17065 zijn van toepassing.

8.4. Controle van dossiers

De eisen van 8.4 van ISO 17065 zijn van toepassing.

8.5. Managementbeoordeling

De eisen van 8.5 van ISO 17065 zijn van toepassing.

8.6. Interne audits

De eisen van 8.6 van ISO 17065 zijn van toepassing.

8.7. Corrigerende acties

De eisen van 8.7 van ISO 17065 zijn van toepassing.

8.8. Preventieve acties

De eisen van 8.8 van ISO 17065 zijn van toepassing.

9. Verdere aanvullende eisen

9.1. Actualiseren van de evaluatiemethoden

Het certificeringsorgaan stelt procedures vast voor de bijwerking van de evaluatiemethoden voor de toepassing in het kader van de evaluatie overeenkomstig punt 7.4 van ISO 17065 en onderhavig document. De bijwerking moet plaatsvinden in het kader van wijzigingen in het wettelijk kader, de relevante risico's, de stand van de techniek en de uitvoeringskosten van de technische en organisatorische maatregelen.

9.2. Behoud van deskundigheid

De certificeringsorganen stellen procedures vast om de opleiding van hun werknemers te waarborgen met het oog op de actualisering van hun vaardigheden, rekening houdend met de in punt 9.1 van dit document vermelde ontwikkelingen.

9.3. Verantwoordelijkheden en competenties

9.3.1. Communicatie tussen het certificeringsorgaan en zijn cliënten en aanvragers

Er dienen procedures te worden vastgesteld voor de toepassing van passende procedures en communicatiestructuren tussen het certificeringsorgaan en zijn cliënt of aanvrager. Dit omvat:

9.3.2. Documentatie van de evaluatieactiviteiten

Er gelden geen aanvullende eisen.

9.3.3. Behandeling van klachten

Als integraal onderdeel van het managementsysteem wordt een klachtenbehandelingsprocedure vastgesteld, waarmee name de eisen van punt 4.1.2.2, onder c), punt 4.1.2.2, onder j), punt 4.6, onder d), en punt 7.13 van ISO 17065 moeten worden uitgevoerd.

Relevante klachten en bezwaren moeten met de AP worden gedeeld.

9.3.4. Management van intrekking

De procedures in geval van schorsing of intrekking van de accreditatie worden geïntegreerd in het managementsysteem van het certificeringsorgaan, met inbegrip van de kennisgeving aan cliënten.