BC5701: de norm voor aantoonbare AVG-compliance - een interview met Brand Compliance

Geplaatst 02-12-24

Het is voor veel organisaties van belang om aantoonbaar te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De BC5701-norm van Brand Compliance biedt organisaties een bewezen methode om de privacy van betrokkenen en de bescherming van hun persoonsgegevens te waarborgen. We spraken met de CEO van Brand Compliance, Christian Oudenbroek, over de totstandkoming van de door hem ontwikkelde BC5701-norm, het belang ervan en de voordelen van de samenwerking met TrustBound, zoals het feit dat een licentie via TrustBound verkrijgbaar is. 

“De samenwerking met TrustBound stelt ons in staat om de BC5701-norm toegankelijker en makkelijker implementeerbaar te maken voor organisaties."
- Christian Oudenbroek, CEO Brand Compliance” 

Een officiële norm 

De BC5701 is een officiële norm ontwikkeld door Brand Compliance en PIIMS, waarmee organisaties aantonen dat hun processen voor de verwerking van persoonsgegevens voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG). Deze norm biedt een raamwerk waarmee organisaties een aantoonbare stap zetten richting AVG-naleving, specifiek voor hun verwerkingsprocessen en goedgekeurd door de Autoriteit Persoonsgegevens

Certificering door Brand Compliance  

Belangrijk om te benadrukken: Brand Compliance is de enige instantie die bevoegd is om een certificering af te geven op basis van de BC5701. Dit betekent dat Brand Compliance een onafhankelijke audit uitvoert om te toetsen of een organisatie voldoet aan de eisen van de norm. Bij een positief resultaat kan de organisatie het BC5701-certificaat behalen, waarmee het aantoont dat de gegevensverwerkingsprocessen aantoonbaar AVG-compliant zijn. 

Om dit te verduidelijken, legden we Christian diverse vragen voor.

Totstandkoming BC5710

Hoe is de BC5701-norm tot stand gekomen, en waarom hebben jullie deze norm ontwikkeld? 

“Als Brand Compliance, een onafhankelijke certificerende instelling, hebben we altijd audits, inspecties en controles uitgevoerd. Door de jaren heen groeiden we. We breidden uit naar België en onder andere met NEN-certificeringen voor de zorgsector." 

"Toen in 2018 de AVG-wetgeving opkwam, zagen bedrijven dit als een bedreiging en waren ze bang om niet compliant te zijn. Omdat de AVG stelt dat organisaties persoonsgegevens moeten beschermen en dat dit aantoonbaar moet gebeuren, leek het ons waardevol om een norm te ontwikkelen die hieraan voldoet. Veel branchegenoten waren terughoudend om hieraan mee te werken vanwege de hoge kosten en complexiteit. Dus besloten we om de uitdaging zelf aan te gaan.” 

Kun je iets meer vertellen over het project rondom de ontwikkeling en de erkenning van de BC5701-standaard? 

“We hebben de eerste versie van de norm ontwikkeld en deze in de praktijk getest. Het proces was niet eenvoudig, want naast de standaard moesten we ook een toetsingsschema opstellen voor ons als auditbureau. Deze schema’s zijn inmiddels ook goedgekeurd door de Raad voor Accreditatie. Onze samenwerking met PIIMS, die een implementatiehandleiding had ontwikkeld, heeft ook een belangrijke bijdrage geleverd. Samen hebben we de standaard en de implementatierichtlijnen verfijnd, wat uiteindelijk resulteerde in de officiële goedkeuring door de Autoriteit Persoonsgegevens."  

"BC5701 biedt organisaties nu de mogelijkheid om aan te tonen dat zij voldoen aan specifieke eisen voor de verwerking van persoonsgegevens. Met deze certificering kunnen organisaties een concurrerend voordeel behalen en het vertrouwen van hun klanten versterken.”

BC5710 als procescertificering

Cruciaal om te vermelden is dat het een procescertificering betreft. Kun je daarover iets meer zeggen? 

“Een belangrijk aspect van de BC5701-certificering is dat het zich specifiek richt op procescertificering. Dit betekent dat de certificering alleen van toepassing is op specifieke processen binnen de organisatie waarin persoonsgegevens worden verwerkt. Bij veel bekende standaarden, zoals ISO 27001, gaat het meestal om managementsystemen. De BC5701 is daarentegen geen managementopzet, maar een procesopzet.” 

Voor wie?

Voor welke organisaties is de BC5701-standaard vooral interessant?

“De norm is vooral van belang voor organisaties die persoonsgegevens verwerken als kern van hun dienstverlening. Denk aan overheidsinstanties zoals gemeenten en provincies, maar ook aan bedrijven zoals loonverwerkingsbureaus en marketingbureaus. Voor deze organisaties is het belangrijk om hun processen rondom gegevensverwerking aantoonbaar compliant te maken. Dat is niet alleen waardevol na een boete of datalek, maar kan ook een concurrentievoordeel opleveren.”

Biedt de BC5701-certificering garantie op volledige AVG-compliance voor een organisatie?

“De BC5701-certificering richt zich op specifieke processen binnen een organisatie en garandeert dat deze processen voldoen aan de AVG-eisen. Het is echter geen organisatiebrede garantie. Wat we met deze norm wél garanderen, is dat, na de certificering, een bepaald proces voldoet aan de vereisten van de AVG. Dit kan een belangrijke stap zijn in de richting van volledige AVG-compliance, maar het blijft essentieel om ook andere processen en systemen op orde te hebben.” 

Certificeringstraject BC5710

Hoelang duurt het om het certificeringstraject te doorlopen en wat komt daarbij kijken?

“De tijdsinvestering hangt af van de complexiteit en omvang van het te certificeren proces. Een organisatie kan het certificeringstraject relatief snel doorlopen, mits zij al een basisniveau van informatiebeveiliging heeft. De BC5701-norm vereist dat de organisatie zowel informatiebeveiliging als AVG-compliance borgt. Met de implementatierichtlijn doorlopen organisaties stap voor stap de vereisten. TrustBound GRC-software maakt het vervolgens mogelijk om deze processen digitaal te monitoren en te beheren, wat het certificeringstraject aanzienlijk vereenvoudigt.” 

Wat heb je er als organisatie aan?

Hoe ondersteunt de BC5701 de positionering van privacy-professionals binnen een organisatie?

“Privacy professionals, zoals Functionarissen Gegevensbescherming (FG’s), hebben vaak moeite om hun meerwaarde binnen een organisatie te tonen. Met een certificering op de BC5701-norm laten zij zien dat hun werk een meetbare impact heeft op de compliance van de organisatie. Dit geeft hun een sterkere positie richting het management en stelt hen in staat om transparant te rapporteren over hun prestaties.” 

Wat merkt het bestuur c.q. management van een organisatie van een gecertificeerde norm als BC5701?

“Bestuurders waarderen het dat de processen rondom gegevensverwerking transparant en aantoonbaar compliant zijn. Dit biedt een mate van zekerheid, vooral na incidenten zoals een datalek of boete, of ter preventie daarvan. De certificering kan zelfs worden ingezet als concurrentievoordeel, bijvoorbeeld wanneer klanten vragen om bewijs van AVG-compliance. Maar je laat hiermee ook aan potentiële opdrachtgevers buiten de EU zien dat je professioneel en kundig met gegevensverwerking omgaat. Het is in feite een soort keurmerk.” 

De meerwaarde van TrustBound bij de implementatie van BC7501

Hoe helpt de samenwerking met TrustBound organisaties bij het naleven van de BC5701-norm?

“De samenwerking met TrustBound stelt ons in staat om de BC5701-norm toegankelijker en makkelijker implementeerbaar te maken voor organisaties. De software van TrustBound biedt organisaties een tool waarmee ze hun processen rond gegevensverwerking monitoren, de voortgang bijhouden en eventuele updates realtime verwerken. Hierdoor wordt het behalen van de certificering een gestroomlijnd proces, met duidelijke richtlijnen en minder ruimte voor fouten.” 

De BC5701-certificering biedt een waardevolle oplossing voor organisaties die persoonsgegevens verwerken en aantoonbaar willen voldoen aan de AVG. Door gebruik te maken van TrustBound GRC-software maken organisaties dit proces nog eenvoudiger en efficiënter. Dankzij TrustBound verloopt het proces richting certificering strakker, gerichter en wordt het goed geborgd. In een tijd waarin gegevensbescherming steeds belangrijker wordt, is de BC5701-norm een krachtige manier om vertrouwen op te bouwen en te behouden – zowel intern als extern. 

Implementatierichtlijnen in het BC5701-boek

Om organisaties te ondersteunen bij de praktische toepassing van deze norm, hebben Brand Compliance en PIIMS gezamenlijk een implementatierichtlijn ontwikkeld, vastgelegd in een uitgebreid BC5701-boek. Dit boek biedt een stapsgewijze handleiding voor de implementatie van de norm, zodat organisaties concreet weten waar te beginnen en hoe zij hun processen aantoonbaar AVG-compliant kunnen maken. Het boek behandelt onder andere: 

  • Hoe de verwerkingsprocessen in kaart gebracht moeten worden 
  • Welke stappen nodig zijn om aan de norm te voldoen 
  • Voorbereiding voor een audit en de certificering 

Met behulp van deze richtlijnen werken organisaties, eventueel ondersteund door GRC-software van TrustBound, systematisch en efficiënt toe naar een procescertificering.