Een beschrijving van de technische en organisatorische maatregelen van de bewaring en beveiliging van de persoonsgegevens is opgenomen in bijlage 2 bij de verwerkersovereenkomst. Roeland Verhulsdonck is binnen Qwasp BV als securitymanager aangewezen. Jan van de Wetering is aangewezen als functionaris voor gegevensbescherming.

 

Voor de verwerkingsverantwoordelijke is het van belang dat een deskundige derde de maatregelen beoordeelt die de bewerker heeft getroffen. De verwerkingsverantwoordelijke en de verwerker moeten aan kunnen tonen dat de persoonsgegevens volgens de regels van de AVG worden verwerkt.

 

De monitor bevindt zich in de opstartfase. We zitten in de plan-do-check-act-cyclus zoals bedoeld in de CBP richtsnoeren gepubliceerd op 1 maart 2013. De risico's zijn beoordeeld en we maken gebruik van algemeen geaccepteerde beveiligingsstandaarden. Het informatiesysteem is nog niet af. We gaan uit van een audit tijdens de zomermaanden, wanneer de monitor volop in bedrijf zal zijn en haar definitieve vorm heeft gekregen. Of de monitor voldoet aan de eisen uit de AVG, willen we aantonen aan de hand van een AVG-certificaat. 

 

Een AVG-certificaat moet worden aangevraagd bij een certificatie-instelling die daarvoor is geaccrediteerd door de Raad voor Accreditatie (RvA). Op dit moment zijn er in Nederland nog geen geaccrediteerde certificatie-instellingen voor het afgeven van AVG-certificaten in het kader van de verwerking van persoonsgegevens. De Autoriteit Persoonsgegevens heeft aangegeven dat zodra dat het geval zal zijn, de informatie te vinden zal zijn op hun website en die van de RvA.

 

Indien rond juni 2020 nog geen certificatie-instelling zou zijn geaccrediteerd, zullen we een audit laten uitvoeren of wordt voldaan aan de NEN-ISO/IEC 27001 normen. Het AVG-certificaat zal dan worden aangevraagd zodra dat wel mogelijk zal zijn.

 

De conclusie is derhalve dat er in dit stadium (begin maart 2020) nog geen audit heeft plaatsgevonden en dat ook steeds de planning is geweest om een audit te laten uitvoeren in de zomer van 2020. Opzet is om een AVG-certificaat aan te vragen, maar als dat nog niet mogelijk is doordat nog geen certificatie-instellingen zijn geaccrediteerd, zal moeten worden volstaan met een ISO-certificaat.