Ik had naast botox ook kunnen zeggen ‘fillers’, ‘implantaat’, ‘facelift’ of iedere andere vorm van cosmetische chirurgie. Leuk om naar te kijken, maar het bedekt de feitelijke inhoud.
Voor privacy certificering geldt hetzelfde. Want om maar even simpel te beginnen: privacy certificering bestaat niet. Althans: het begrip privacy certificering zoals de AVG dit bedoelt is nog helemaal niet uitgewerkt. Even een paar dingen die vanuit de wet nog niet goed naar de praktijk zijn vertaald:
– Wat moet de scope zijn van een certificering
– Wat is het normenkader
– Wat is het toetsingsschema (wie mag vaststellen, hoe, met welke regelmaat)
– Wie ziet toe op consistente certificering
Maar de markt is creatief. Allerlei privacy keurmerken (‘AVG compliance’, ‘AVG OK’, ‘privacy proof’) schieten als paddenstoelen uit de grond. En dat mag, want we leven in een vrije markt.
Maar bedenk wel: de feitelijke waarde van ieder keurmerk is op dit moment relatief en subjectief. Met andere woorden: als organisatie denk je misschien een goede stap te maken om te investeren in een privacy certificering, maar de feitelijke zeggenschap is erg laag. Want wat zegt het certificaat eigenlijk?
Dus investeer vooral in cosmetische chirurgie als je dit wilt, maar besef dat omstanders misschien alleen de te ver opgevulde lippen en de levenloos gespoten gezichten zien.
Mijn suggestie: wacht nog even met privacy certificering. Concentreer je liever op andere vragen, zoals: “hoe effectief zijn de zaken die we de afgelopen periode hebben gedaan om AVG compliant te raken. Hebben we ons doel bereikt en / of kan het handiger?”