Sinds de inwerkingtreding van de General Data Protection Regulation ("GDPR") is de naleving van de wetgeving inzake de bescherming van persoonsgegevens een centrale vereiste geworden voor bedrijven en overheidsinstellingen die actief zijn op het grondgebied van de Europese Unie ("EU"). Dit brengt juridische en financiële risico's met zich mee die niet kunnen worden genegeerd door voor de verwerking verantwoordelijken en verwerkers.

Europrivacy is een certificeringsschema dat is onderzocht en ontwikkeld via het Europese onderzoeksprogramma om naleving van de GDPR en aanvullende regelgeving op het gebied van gegevensbescherming te beoordelen, te documenteren, te certificeren en te waarderen. Het wordt onderhouden door het European Centre for Certification and Privacy ("ECCP") in Luxemburg onder toezicht van een internationale raad van deskundigen op het gebied van gegevensbescherming.

Europrivacy is ontwikkeld op basis van ISO/IEC 17065 en artikel 42 van de GDPR "om aan te tonen dat verwerkingsactiviteiten door verwerkingsverantwoordelijken en verwerkers aan deze verordening voldoen".

Het is veel meer dan een eenvoudig certificeringsprogramma. Het biedt een uitgebreide set online hulpmiddelen en diensten om naleving van gegevensbescherming effectief te implementeren, te verbeteren en aan te tonen. Het wordt ondersteund door een gemeenschap van gekwalificeerde partners, een online academie, een communitywebsite en online tools. Het biedt talloze voordelen.

Toepassingsgebied en toepasbaarheid

Doel: Europrivacy maakt het mogelijk om naleving van de GDPR en aanvullende regelgeving op het gebied van gegevensbescherming te beoordelen, te documenteren, te certificeren en te waarderen. In het bijzonder helpt het bedrijven en ondernemingen om:

1. Beperk juridische en financiële risico's door naleving te controleren en te documenteren
2. Communiceer en waardeer compliance door er een pluspunt en bron van waardecreatie van te maken;
3. Profiteer van de Europrivacy-certificering en online bronnen en zorg voor naleving ervan.
    

Wat: Dankzij het hybride model, is Europrivacy van toepassing op bijna alle gegevensverwerkende activiteiten, inclusief innovatieve technologieën zoals kunstmatige intelligentie, blockchain, e-gezondheid en het internet van dingen. Er is een aantal specifieke uitzonderingen, zoals biomedische gegevens.

Hoewel de Europrivacy-methodologie kan worden toegepast op diverse evaluatiedoelen, kunnen volgens artikel 42 GDPR alleen gegevensverwerkingsactiviteiten worden gecertificeerd. 42 GDPR kunnen alleen gegevensverwerkingsactiviteiten worden gecertificeerd. Bijgevolg is het voor EU-jurisdicties niet mogelijk om een heel bedrijf in één keer te certificeren of zelfs maar zijn hele managementsysteem onder de GDPR. De positieve kant van dit element is dat naleving geleidelijk kan worden gecertificeerd, te beginnen met prioritaire gegevensverwerkingsactiviteiten en de certificering stap voor stap uit te breiden naar meer gegevensverwerking.

Wie: Europrivacy is van toepassing op zowel voor de verwerking verantwoordelijken als verwerkers van gegevens.

Waar: Europrivacy kan overal worden gebruikt om naleving van de GDPR te beoordelen. Het afgeven van certificaten is echter niet van toepassing op rechtsgebieden die geen adequate en toereikende garanties bieden voor de rechten en vrijheden van betrokkenen. Voorlopig is het beperkt tot aanvragers die gevestigd zijn in de Europese Economische Ruimte en binnenkort zal het worden uitgebreid naar derde landen.

Uitbreidbaarheid: Europrivacy is ontwikkeld en ontworpen om gemakkelijk te kunnen worden uitgebreid met aanvullende nationale regelgeving voor gegevensbescherming, waaronder regelgeving van buiten de EU, en met domein- en technologiespecifieke regelgeving.

Geldigheid: Certificaten zijn geldig voor hernieuwbare periodes van drie jaar.

Certificeringsproces

De certificeringsprocedure kan worden onderverdeeld in de volgende grote stappen:

1. Bereid uw naleving van de Europrivacy-criteria voor en documenteer deze met behulp van het Europrivacy Welcome Pack met hulpmiddelen en gekwalificeerde partners om uw risico's te beperken. U kunt ook criteria Uitbreidingen gebruiken om naleving van aanvullende EU- of nationale regelgeving te certificeren.
2. Certificeer de naleving van uw gegevensverwerking door eengekwalificeerde certificeringsinstantie die uw naleving waardeert en communiceert. De certificeringsinstantie moet geautoriseerd zijn door ECCP en een geldige accreditatie hebben bij een bevoegde nationale autoriteit. Het certificaat wordt gepubliceerd in het officiële Europrivacy-register van certificaten om verificatie door derden mogelijk te maken en vervalsing te voorkomen.
3. Onderhoud, communiceer en waardeer uw compliance dankzij online bronnen en tools, waaronder communicatierichtlijnen en sjablonen, voortdurende updates over compliancevereisten en jaarlijkse toezichtsaudits.

Innovatief certificeringsmodel van Europrivacy

Europrivacy biedt een innovatief hybride certificeringsmodel dat profiteert van de voordelen van een universeel certificeringsschema aangevuld met domeinspecifieke en technologiespecifieke criteria, afhankelijk van de aard van het te evalueren doel.

GDPR-kerncriteria: Het certificeringsproces begint altijd met de Europrivacy-lijst van GDPR-kerncriteria, die de verschillende GDPR-verplichtingen omvat, zoals hieronder wordt uitgelegd:

C - Aanvullende controles: De Kerncriteria worden aangevuld met Aanvullende Controles en Controles, om de naleving te beoordelen van domeinspecifieke en technologiespecifieke verplichtingen die van toepassing kunnen zijn op het Doel van Evaluatie.

T - Technische en organisatorische maatregelen: De Technische en Organisatorische Maatregelen Controles en Controles zijn gericht op het beoordelen van de geschiktheid van de getroffen maatregelen om de verwerkte gegevens te beveiligen. Behalve voor gegevensverwerking met een hoog risico, kan het worden vervangen door een geldig ISO/IEC 27001-certificaat dat het evaluatiedoel omvat.

S - Checklist voor toezichtsaudits: Er zijn enkele aanvullende criteria gespecificeerd voor de toezichtsaudits om de voortdurende naleving in de loop van de tijd te beoordelen en te garanderen.

N - Nationale verplichtingen: Europrivacy ondersteunt de beoordeling van de naleving van aanvullende nationale verplichtingen via twee instrumenten:

• Nationale verplichtingenprofielen voor elk van de lidstaten van de Europese Economische Ruimte. Deze bronnen kunnen worden gebruikt om een National Obligation Compliance Assessment Report (NOCAR) op te stellen.
• Uitbreiding van de nationale Europrivacy-criteria om te beoordelen en te certificeren dat een beoordelingsdoel voldoet aan aanvullende nationale regelgeving op het gebied van gegevensbescherming. Deze uitbreidingen zijn optioneel en worden op vrijwillige basis gebruikt om een Europrivacy-certificering uit te breiden naar de overeenkomstige niet-EU-jurisdictie(s).