Informatieprotocol AP-RvA met betrekking tot accreditatie van AVG-certificeringsorganen

Partijen, de Autoriteit Persoonsgegevens en de Raad voor Accreditatie,

Overwegende dat:

  • De Autoriteit Persoonsgegevens (AP), op grond van artikel 15, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming, onder meer is belast met het toezicht op de naleving van de Algemene verordening gegevensbescherming (AVG)1en op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens wet bepaalde. De bevoegdheid van de AP ten aanzien van dit onderwerp betreft het goedkeuren van certificeringscriteria overeenkomstig artikel 42, vijfde lid Algemene verordening gegevensbescherming jo. artikel 58, derde lid, onder f, AVG. Daarnaast is het voor de AP mogelijk om aanvullende accreditatiecriteria op te stellen op basis van artikel 43, derde lid, Algemene verordening gegevensbescherming jo. art. 57, eerste lid, onder p, Algemene verordening gegevensbescherming. Voordat de Raad voor Accreditatie (RvA) accreditatie kan verlenen bij de (kandidaat) certificeringsorganen2 beoordeelt de AP3, indien zij dit niet eerder heeft gedaan, in het kader van de Algemene verordening gegevensbescherming de voorgelegde certificeringscriteria.

  • De taak van de RvA4 in ieder geval bestaat uit het uitvoeren van initiële en periodieke beoordelingen van (kandidaat) certificeringsorganen op basis van de NEN-EN-ISO/IEC 17065 en is de nationale accreditatie-instantie die is aangewezen in overeenstemming met Verordening (EG) nr. 765/2008 van het Europees parlement en de Raad 5.

  • Overeenkomstig artikel 43, eerste lid, van de Algemene verordening gegevensbescherming in samenhang bezien met artikel 21 van de Uitvoeringswet Algemene verordening gegevensbescherming de RvA bij ministeriële regeling van 16 mei 2018 is aangewezen als accrediterende instantie.

  • In dit informatieprotocol afspraken zijn vastgelegd tussen de AP en de RvA. Deze afspraken hebben betrekking op het proces van het accrediteren van certificeringsorganen als bedoeld in artikel 43 van de AVG en het uitoefenen van toezicht op het accrediteringsproces en de geaccrediteerde instellingen.

  • Het in de rede ligt dat de RvA en de AP informatie uitwisselen om zo enerzijds de (administratieve) belasting voor de certificeringsorganen te beperken en anderzijds te komen tot een efficiënte en doeltreffende invulling van het toezicht en de controles

  • Het wenselijk is om deze afspraken over de informatie-uitwisseling tussen de RvA en de AP vast te leggen in een informatieprotocol en aan dit protocol voldoende bekendheid te geven, met name richting de certificeringsorganen, zodat kenbaar is voor betrokken partijen in welke gevallen de AP en de RvA informatie met elkaar zullen delen en waarop deze informatie betrekking heeft.

Komen overeen als volgt:

Artikel 1 Definities

In dit informatieprotocol wordt verstaan onder:

a. De RvA:

de Raad voor Accreditatie, gevestigd te Utrecht.

b. De AP:

de Autoriteit Persoonsgegevens, als bedoeld in artikel 6, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming.

c. Certificeringsorganen:

Geaccrediteerde of kandidaat certificeringsorganen op basis van artikel 42 en 43 Algemene verordening gegevensbescherming.

d. Informatie-uitwisseling:

de uitwisseling van gegevens die verband houden met de accreditatie van en het toezicht op certificeringsorganen tussen de AP en de RvA zoals in dit protocol omschreven.

e. Protocol:

onderhavig informatieprotocol.

f. Accreditatie:

accreditatie zoals bedoeld in artikel 43 van de Algemene verordening gegevensbescherming op basis van Verordening (EG) 765/2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten.

g. Ernstige situatie:

een situatie die, naar het oordeel van Partijen, een dusdanig risico kan opleveren, dat directe actie van één van de partijen noodzakelijk kan zijn. Te denken valt bijvoorbeeld aan:

  • Een bedreiging voor het stelsel, bijvoorbeeld door:

    • Aanwijzingen van (moedwillige) fraude zoals vervalsing van bewijsstukken, (pogingen tot) intimidatie, omkoping of andere pogingen om het oordeel van de toezichthouder, auditor of beoordelaar te beïnvloeden;

  • Een situatie waarbij er geen vertrouwen is in het door het certificeringsorgaan afgegeven certificaat.

Deze opsomming is niet uitputtend.

Artikel 2 Reikwijdte van het protocol

De informatie-uitwisseling heeft uitsluitend betrekking op certificeringsorganen die geaccrediteerd zijn op basis van de Algemene verordening gegevensbescherming alsmede op instellingen die een verzoek tot accreditatie hiertoe hebben ingediend voor zover het werkzaamheden betreft op basis van de hiervoor genoemde wet- en regelgeving.

Artikel 3 Inhoud van de informatie-uitwisseling

  • 1. De AP vraagt zo nodig de rapporten naar aanleiding van de periodieke beoordeling door de RvA van certificeringsorganen rechtstreeks op bij de desbetreffende organen. De RvA informeert de AP desgevraagd over geplande kantoorbezoeken en bijwoningen bij certificeringsorganen, zodat de AP daarmee bij de planning van haar eigen bezoeken rekening kan houden. Tevens verstrekt de RvA op verzoek van de AP een overzicht van de rapportages die de RvA in een bepaalde periode heeft uitgebracht over de beoordelingen bij certificeringsorganen.

  • 2. De RvA informeert de AP over wijzigingen in de status van de accreditatie van een certificeringsorgaan met betrekking tot AVG certificatie, inclusief verlening, schorsing of intrekking van een (deel)scope van de accreditatie, intrekken van de aanvraag tot accreditatie/scope-uitbreiding of een negatief besluit over een aanvraag. De informatie die de AP wil ontvangen ziet op de redenen voor de wijzigingen in de status van accreditaties. De RvA informeert de AP wanneer een certificeringsorgaan een volledige aanvraag heeft ingediend tot uitbreiding op basis van een door de AP goedgekeurd of nog goed te keuren AVG-schema of een Europees goedgekeurd of nog goed te keuren AVG-schema.

  • 3. De RvA geeft de AP informatie over punten die voor de AP mogelijk speciale aandacht behoeven in het kader van haar toezicht. De AP geeft de RvA informatie over punten die voor de RvA mogelijk speciale aandacht behoeven in het kader van haar toezicht.

  • 4. De AP informeert de RvA over geplande bezoeken die in het kader van het toezicht op de Algemene verordening gegevensbescherming en de Uitvoeringswet Algemene verordening gegevensbescherming m.b.t. de naleving van de certificeringstaak aan certificeringsorganen worden afgelegd en over de, voor de RvA relevante, resultaten van die bezoeken. De AP informeert de RvA over toezichtactiviteiten, waaronder handhavingsactiviteiten, die voor de RvA relevant kunnen zijn. Ook relevante bevindingen van de jaarafsluiting worden gerapporteerd.

  • 5. De RvA en de AP informeren elkaar zo spoedig mogelijk over ‘ernstige situaties’. De nadere invulling van het begrip ‘ernstige situaties’ zal tijdens het periodiek overleg tussen de RvA en de AP aan de orde komen, eventueel naar aanleiding van bijzondere situaties en concrete gevallen.

  • 6. De AP informeert de RvA actief over publicaties/nieuwsberichten/evaluaties die zij uitgeeft voor en over de Algemene verordening gegevensbescherming en de Uitvoeringswet Algemene verordening gegevensbescherming voor zover dit accreditatie raakt.

  • 7. De RvA informeert de AP over andere aangelegenheden dan die direct betrekking hebben op de beoordeling als deze aangelegenheden naar de inschatting van de RvA politieke implicaties kunnen hebben.

Artikel 4 Overleg en contactpersonen

  • 1. De AP en de RvA wijzen ieder een contactpersoon aan en een vervanger voor deze contactpersoon.

  • 2. Contactpersonen zijn niet bevoegd tot het binden van de AP en de RvA en/of tot het maken van afspraken die leiden tot financiële verplichtingen tussen de AP en de RvA. Contactpersonen overleggen zo vaak als nodig is voor een goede uitvoering van de afspraken in het protocol, doch ten minste 1 maal per jaar.

  • 3. Jaarlijks, of zoveel vaker als nodig is, vindt bestuurlijk overleg plaats tussen de RvA en de AP.

  • 4. De RvA en de AP hebben periodiek voortgangsoverleg ter bespreking van de operationele voortgang in de uitvoering van de overeengekomen taken. In dit overleg wordt ook aandacht besteed aan de wijze waarop de RvA en de AP de op grond van dit protocol ontvangen informatie hebben betrokken in de werkzaamheden en wordt een terugkoppeling gegeven over de resultaten daarvan.

  • 5. Naast dit periodieke overleg kunnen de RvA en de AP het initiatief nemen tot overleg over bijzondere situaties.

Artikel 5 Vertrouwelijkheid en geheimhoudingsplicht

De informatie die de AP en de RvA over en weer aan elkaar verstrekken, wordt uitsluitend gebruikt voor de taakuitoefening van de AP respectievelijk de RvA, tenzij de wet anders bepaalt, en wordt voor het overige geheim gehouden.

Artikel 6 Evaluatie

De uitvoering van de in het protocol neergelegde afspraken wordt naar behoefte geëvalueerd. In ieder geval 1 jaar na de ondertekening van dit protocol.

Artikel 7 Opzegtermijn

De AP en RvA kunnen het protocol te allen tijde schriftelijk opzeggen waarbij een opzeggingstermijn in acht wordt genomen van ten minste vier maanden. Opzegging van het protocol geschiedt alleen om zwaarwegende redenen en niet eerder dan nadat de AP en de RvA hierover overleg hebben gevoerd.

Artikel 8 Afdwingbaarheid

De afspraken in het protocol zijn niet in rechte afdwingbaar.

Artikel 9 Openbaarheid

De AP en de RvA hechten aan transparantie over de tussen hen gemaakte afspraken en zullen zorgdragen voor bekendheid bij de betrokken partijen, waaronder in ieder geval de certificeringsorganen. De AP en de RvA zullen een afschrift van het protocol op hun website plaatsen.

Artikel 10 Aanpassing

Op verzoek van de RvA en/of de AP kan het protocol worden aangepast indien de AP en de RvA overeenstemming bereiken over een eventuele aanpassing of wijziging.

Artikel 11 Inwerkingtreding

Dit protocol wordt in de Staatscourant gepubliceerd en treedt in werking met ingang van de dag na publicatie ervan in de Staatscourant.

Aldus overeengekomen en in tweevoud ondertekend teDen Haag op 17 december 2019

R.D. Nieuweboer Voorzitter raad van bestuur Raad voor Accreditatie

A. Wolfsen Voorzitter Autoriteit Persoonsgegevens

X Noot
1

Verordening (EU) 2016/679 van het Europees parlement en de raad van 27 april 2016.

X Noot
2

De AVG gebruikt de termen ‘certificeringsorgaan’ en ‘certificeringsmechanisme’. De RvA gebruikt hiervoor de termen ‘certificatie instelling (CI)’, respectievelijk ‘certificatieschema’.

X Noot
3

Na afronding van een door de RvA verricht vooronderzoek inclusief schema-evaluatie.

X Noot
4

Kernactiviteit van de RvA is het verlenen van accreditatiediensten. Als nationale accreditatie-instantie zorgt de RvA ervoor dat belanghebbende partijen een gerechtvaardigd vertrouwen kunnen hebben in alle onder zijn toezicht uitgegeven conformiteitverklaringen en beoordelingsrapporten.

X Noot
5

Verordening (EG) nr. 765/2008 van het Europees parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van product en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30)

Naar boven