De geboorte van een privacy keurmerk

May 31, 2018

Als je hard hebt gewerkt aan het voldoen aan de regels is het fijn om dat ook te kunnen laten zien. Dat vinden onze klanten en dat vinden wij ook. Vanuit dat oogpunt hoopten we al een tijdje dat er een betrouwbaar privacy keurmerk zou komen. Nu zagen we wel dat er allerlei zelfverklaarde stempels, zegels en certificaten zijn opgekomen. Die hebben vaak een hoog ‘wij van wc-eend’ gehalte. De toetsing vindt vaak plaats op basis van zelf verzonnen regels. En als er al toetsing is, is die vaak niet of beperkt onafhankelijk. Om die reden hebben we de handschoen zelf opgepakt.

Belangrijke uitgangspunten waren daarbij:

  1. geen eigen vlees keuren
  2. gebruik van een breed raamwerk dat door de branche gedragen wordt
  3. toetsing door kwalitatieve onafhankelijke auditors
  4. organisaties moeten kunnen laten zien dat privacy binnen hun organisatie goed geregeld is

Met deze vier uitgangspunten zijn we aan de slag gegaan. We wilden een keurmerk dat inzicht geeft over de mate waarin een organisatie serieus met de privacyregels omgaat. We wilden dus niet iets zeggen over een enkele dienst (verwerking), maar over de hele organisatie. Zo kun je als klant/patient/huurder/afnemer/burger zien of een organisatie het onderwerp serieus neemt. Een volwassenheidsmodel biedt bovendien de mogelijkheid om te zien hoe goed iemand scoort op een bepaalde schaal. Alternatieve modellen zijn vaak meer alles of niets. Je voldoet wel of niet. Onze praktijk wijst uit dat de werkelijke wereld vaak niet zwart-wit is. Daarom zijn we uitgekomen bij het CIP volwassenheidsmodel (PriSA). Gedragen door de markt, praktisch bruikbaar en met verschillende niveaus.

We zijn op dit moment druk bezig met het opdoen van onze eerste ervaringen met de eerste organisatie die mogelijk het keurmerk gaat ontvangen. Dat levert interessante inzichten op. Die delen we graag in een volgende blog. Uiteraard is dit pas het begin. Ons keurmerk moet op termijn open gaan voor andere partijen. Ons doel is om de (privacy)wereld iets mooier te maken en daar hoort geen keurmerk bij waarmee alleen maar Privacy Company klanten kunnen deelnemen. Datzelfde geldt voor onze auditors. Op termijn moet daar de toetreding ook open worden. En willen we onderzoeken of we ook geaccrediteerd kunnen worden door de toezichthouder. Maar eerst gaan we verder bouwen aan de organisatie, processen en procedures. We hopen nog vele organisaties een keurmerk te kunnen gaan verstrekken. Uiteraard alleen degenen die het verdienen. Een keurmerk moet natuurlijk wel iets zeggen.

Kijk voor meer informatie over het keurmerk op privacycompany.eu/privacy-keurmerk

Download