De European Data Protection Board (EDPB) heeft een eerste versie aangenomen van guidelines over een AVG-certificaat als doorgifte-instrument. Hierin staan voorwaarden om op basis van een AVG-certificaat en een doorgiftecontract persoonsgegevens te delen met landen buiten Europa.
Met een AVG-certificaat kan een organisatie aantonen dat de interne processen in lijn zijn met de Algemene verordening gegevensbescherming (AVG). En dat de organisatie die processen ook correct toepast.
Om zo’n certificaat te verkrijgen moet een bedrijf zich laten controleren door een geaccrediteerde certificatie-instelling. Op dit moment zijn er in Nederland nog geen geaccrediteerde certificatie-instellingen, maar die komen er naar verwachting in de toekomst wel.
Basis
Een AVG-certificaat kan de basis zijn om op een veilige manier persoonsgegevens te versturen vanuit de EU naar landen buiten de EU. Europese bedrijven laten met zo’n certificaat zien dat zij de AVG goed hebben geïmplementeerd binnen en buiten de EU.
Ook kunnen buitenlandse bedrijven die zich buiten de EU bevinden en die vanuit het buitenland producten en diensten aan mensen in de EU aanbieden, met zo’n certificaat laten zien dat zij in lijn met de AVG werken. Dit doen zij door zich te laten certificeren en een aanvullend doorgiftecontract aan te gaan. Op die manier kunnen AVG-certificaten dus dienen als doorgifte-instrument.