De GDPR bepaalt dat verwerkingsverantwoordelijken en verwerkers zich vrijwillig kunnen laten certificeren door daartoe bevoegde certificeringsorganen, die over de nodige deskundigheid beschikken met betrekking tot gegevensbescherming.
Certificeringsorganen die kunnen certificeren in het kader van de GDPR moeten geaccrediteerd zijn door een daartoe gevoegde instantie, zoals een bevoegde toezichthoudende autoriteit of een nationale accreditatie-instantie conform het Europees recht.
Bekomen van een certificering
Om een certificering te krijgen dat de verwerkingsverantwoordelijke of verwerker toelaat aan te tonen dat hij verwerkingen uitvoert conform de GDPR, moet de verwerkingsverantwoordelijke of de verwerker een transparant proces doorlopen.
Hiertoe geeft hij aan de bevoegde instantie die de certificeringsprocedure uitvoert alle noodzakelijke informatie en verleent aan die instantie toegang tot zijn verwerkingsactivietieten.
Het te doorlopen proces en de criteria waaraan moet worden voldaan zijn vooraf goedgekeurd door de bevoegde toezichthoudende autoriteit of door het Comité.
Wanneer de criteria werden goedgekeurd door het Comité, dan kan de aanvraag leiden tot een Europees gemeenschappelijk gegevensbeschermingscertificaat.
Geldigheid van het afgeleverde certificaat (art. 42, 7)
Een door een bevoegde instantie afgeleverd certificaat is geldig voor een periode van 3 jaar, en kan nadien worden verlengd onder dezelfde voorwaarden, indien bij voortduring aan dezelfde eisen kan worden voldaan door de aanvrager.
Wanneer de aanvrager niet of niet meer voldoet aan de gestelde eisen tot het bekomen van het certificaat dan wordt het ingetrokken.
Waarde van een certificering (art. 42, 2)
Een certificering is echter geen garantie voor een verwerkingsverantwoordelijke of verwerker hij de voorwaarden van de GDPR naleeft.
De verwerkingsverantwoordelijke of de verwerker moeten er nog altijd voor zorgen dat zij gedurende de geldigheidsduur van de certificering blijvend persoonsgegevens verwerken conform de GDPR.
Ze doet ook geen afbreuk aan de competenties van de bevoegde toezichthoudende autoriteiten om bijvoorbeeld een bij haar ingediende klacht of inbreuk op de GDPR te behandelen.
Dit betekent dat een certificering eigenlijk eerder de waarde heeft van een vermoeden in hoofde van de verwerkingsverantwoordelijk of van de verwerker dat hij de verplichtingen van de GDPR naleeft.
Bij een inbreuk van of een klacht inzake de uitgevoerde verwerkingen kan er nog steeds een onderzoek plaats vinden naar de verwerkingsactiviteiten van de verwerkingsverantwoordelijke of van de verwerker.
Bloep, 13 november 2025.