Wat is BC 5701?

De AVG geeft op Europees niveau eisen en verplichtingen weer ten opzichte van privacybescherming. Om aantoonbaar te voldoen aan de eisen met betrekking tot het verwerken van persoonsgegevens, is een AVG certificering mogelijk. Hiervoor is de BC 5701 standaard ontwikkeld. Deze standaard bevat criteria voor het aantoonbaar passend uitwerken en consistent toepassen van de AVG bij het verwerken van persoonsgegevens.

De opbouw van de BC 5701 standaard

De eisen die vanuit de AVG gesteld worden vormen de basis van de BC 5701 standaard. Daarbij wordt voor de bescherming van persoonsgegevens geleund op bestaande normen vanuit de informatiebeveiliging (IB). Ook is een managementsysteem toegevoegd voor de continuïteit van de compliance. Samen vormen ze de drie bouwstenen van de BC 5701 standaard.

Waarom is een BC 5701 certificering belangrijk?

Binnen de AVG is er een aantoningsplicht (artikel 5 lid 2) voor organisaties die verantwoordelijk zijn voor de verwerking van persoonsgegevens. Een certificering van het verwerkingsproces, aan de hand van de BC 5701 standaard, is een manier om aan deze aantoningsplicht te voldoen. Daarnaast zijn er aanvullende voordelen:

Voor wie is de BC 5701 bedoeld?

De BC 5701 standaard is bedoeld voor alle verwerkingen die in Nederland plaatsvinden, door organisaties die in Nederland gevestigd zijn. Dit is ongeacht de branche waarbinnen dat gebeurt of de verwerkingsrol die de organisatie vervult. De certificering heeft altijd betrekking op één of meer verwerkingen die vanuit een bepaalde AVG-rol worden uitgevoerd. Het is dus niet mogelijk om met de BC 5701 een product te certificeren. 

Hoe lang is een BC 5701 certificaat geldig?

Het behalen van een BC 5701 certificering is een proces van 6 tot 12 maanden. Dit is afhankelijk van de betrokkenheid, beschikbare resources, complexiteit van de verwerkingscontext en de AVG-volwassenheid van de organisatie, waarbij het uiteindelijke certificaat 3 jaar geldig is. Na certificering volgt er jaarlijks één controle-audit om na te gaan of u nog aan de gestelde eisen voldoet. Na drie jaar krijgt uw organisatie te maken met een her-certificering. Bij een positief resultaat ontvangt u opnieuw een certificaat voor een periode van drie jaar. Het is dus van belang dat uw organisatie het certificeringstraject ziet als een proces, en niet als project.

Status goedkeuringsproces BC 5701

Naar aanleiding van een positief ontwerpbesluit van de Autoriteit Persoonsgegevens (AP) is de BC 5701 momenteel onderdeel van een Europees goedkeuringsproces. Binnen dit proces vraagt de AP formeel advies aan de European Data Protection Board (EDPB). Daarnaast wordt het certificeringsproces van onze partner Brand Compliance, tevens ontwikkelaar van de BC 5701, beoordeeld door de Raad van Accreditatie. Naar verwachting wordt dit proces afgerond in het derde kwartaal van 2023 en neemt de AP dan een officieel besluit tot goedkeuring. Toch is het belangrijk om nu al met deze nieuwe standaard aan de slag te gaan. Een implementatieproces duurt namelijk ongeveer 6 tot 12 maanden. Dit betekent dat u nu al moet starten om straks als één van de eerste organisaties in Nederland het officiële AVG-certificaat in ontvangst te mogen nemen.

Aan de slag met BC 5701 via Beschermheren

Waarschijnlijk heeft uw organisatie al een aantal maatregelen getroffen om te voldoen aan de AVG. U vraagt uzelf dan ook ongetwijfeld af hoe ver u van uw doel verwijderd bent en wat er nog moet gebeuren om aan de BC 5701 te voldoen. Beschermheren beschikt over een team van informatiebeveiliging- en privacy experts om u hierin te begeleiden en te ondersteunen tijdens het certificeringstraject. Wij bieden verschillende scenario’s voor de implementatie van BC 5701 binnen uw organisatie. Deze zijn gebaseerd op de mate van zelfwerkzaamheid (autonomie om zelfstandig e.e.a. te realiseren) en/of uw zelfredzaamheid (het vermogen zelfstandig e.e.a. te realiseren) en/of de gewenste inzet (ondersteuning) door Beschermheren.

Bent u benieuwd naar de mogelijkheden om uw organisatie te certificeren voor de BC 5701? Neem dan vandaag nog contact met ons op en zet de eerste stappen naar privacy- en informatiebescherming als integraal onderdeel van de organisatie.