Werk je conform de GDPR-regelgeving? Specialisten ter zake zullen je uitleggen dat het beantwoorden van deze vraag niet eenvoudig is. De Luxemburgse gegevensbeschermingsautoriteit, CNPD, heeft een hulpmiddel gepubliceerd om meer garanties te krijgen over jouw GDPR-implementatie: GDPR-CARPA.

GDPR-CARPA is niet enkel een hulpmiddel. De werkelijke kracht ervan is dat het ingezet kan worden in een certificeringstraject. Een certificaat is het ideale uithangbord om aan te tonen aan klanten en leveranciers dat je conform de GDPR-regels werkt.

De GDPR-CARPA-certificeringscriteria bevatten de regels die moeten worden gevolgd om GDPR-conformiteit aan te tonen. Bedrijven die deze regels willen implementeren, moeten ervoor zorgen dat hun interne maatregelen zodanig zijn ontworpen, geïmplementeerd en beheerd dat ze kunnen voldoen aan de vereisten die door de CNPD in een schema zijn vastgelegd.

De certificering omvat niet de hele organisatie, maar een set van verwerkingsactiviteiten (die u al dan niet uitbesteed heeft). Bedrijven kunnen er dus voor kiezen om hun HR-verwerkingen te laten certificeren, terwijl een ander bedrijf kiest voor de marketing activiteiten. Deze aanpak zorgt er naar onze mening voor dat GDPR-CARPA vooral succesvol zal zijn in een B2B context. Boekhouders, HR-bedrijven of marketing firma’s hebben er immers voordeel bij hun aangeboden diensten te laten certificeren zodat hun klanten extra vertrouwen krijgen dat men conform de GDPR werkt.

Wanneer men na de implementatie van GDPR-CARPA ervoor kiest een certificaat te behalen, zal een auditor tijdens een certificatie nagaan of het ontwerp, de uitvoering en de werking van deze maatregelen voldoen aan de eisen die gesteld worden door de certificatiecriteria. Tijdens zo’n audit beoordeelt de auditor in de eerste fase de gedocumenteerde beschrijving van een maatregel (bijvoorbeeld in de vorm van een procedure) en controleert of deze in theorie zal functioneren zoals vereist door de certificatiecriteria. Tijdens de tweede fase oordeelt de auditor over de operationele effectiviteit van de maatregel door na te gaan of deze in de praktijk werkt zoals het hoort en zoals gedocumenteerd. De auditor zal dit doen door middel van observatie, evaluatie, steekproeven, interviews, interactie, bijvoorbeeld met een interface, enz.

Vier jaar na de invoering van de GDPR is het Luxemburgse initiatief een belangrijke stap in de richting van GDPR-certificering. Het succes zal echter nog moeten blijken. Certificaten zijn immers maar waardevol als ze als dusdanig worden herkend en erkend door de markt. We zijn benieuwd welk bedrijf als eerste zich zal laten certificeren.