De Autoriteit Persoonsgevens (AP) waarschuwt voor bedrijven die zeggen dat ze een keurmerk kunnen afgeven waarmee organisaties kunnen aantonen dat ze voldoen aan de Algemene verordening gegevensbescherming (AVG). Het zou hier gaan om bedrog.

De bedrijven waar de AP op doelt zeggen soms nauw samen te werken met de Nederlandse toezichthouder op de privacywetgeving, maar zou niet kloppen. De AP heeft geen AVG-keurmerk goedgekeurd. Wel is de organisatie betrokken bij accreditatie van instellingen die een AVG-certificaat kunnen toekennen. Een AVG-certificaat is een schriftelijke verklaring dat een product, proces of dienst aan alle of bepaalde specifieke eisen uit de AVG voldoet. Organisaties die persoonsgegevens verwerken kunnen met een AVG-certificaat laten zien dat ze de persoonsgegevens zorgvuldig verwerken en beschermen.

AVG-certificaat aanvragen
Organisaties kunnen op termijn een AVG-certificaat aanvragen bij een certificatie-instelling die is goedgekeurd (geaccrediteerd) door de Raad voor accreditatie (RvA). Op dit moment zijn er in Nederland nog geen certificatie-instellingen geaccrediteerd voor het afgeven van AVG-certificaten. Zodra de RvA certificatie-instellingen heeft geaccrediteerd, is dat te lezen op de website van de AP en die van de RvA.
Certificatie-instellingen die AVG-certificaten willen uitgeven, kunnen daarvoor een aanvraag tot accreditatie indienen bij de RvA. De AP geeft zelf geen certificaten uit en accrediteert geen certificeringsinstellingen, maar maakt wel onderdeel uit van het beoordelingsproces.

In de gaten houden
Het hebben van een AVG-certificaat betekent niet dat een organisatie voor altijd voldoet aan de AVG. Organisaties die persoonsgegevens verwerken moeten altijd in de gaten houden of de gegevensverwerking verandert en wat dat betekent voor de mensen van wie de persoonsgegevens zijn. Ook kan het zijn dat de stand van de techniek verandert, waardoor bijvoorbeeld beveiligingsinstellingen aangepast moeten worden aan de nieuwste ontwikkelingen.