Er komt een officieel AVG-certificaat dat door de Autoriteit Persoonsgegevens wordt erkend. Met het certificaat kunnen bedrijven aantonen dat zij aan de privacywet voldoen. De toezichthouder werkt daarvoor samen met de Raad voor Accreditatie.

Het gaat niet om een certificaat dat door de Autoriteit Persoonsgegevens zelf wordt uitgereikt, maar om een protocol waarmee instellingen zelf hun eigen AVG-certificaat kunnen opstellen. Dat betekent dat een bedrijf naar een certificatie-instelling kan gaan, en zijn product of dienst kan laten toetsen aan de privacywet. De instelling beoordeelt dan zelf of het bedrijf voldoet aan de eisen en zo aanspraak maakt op een AVG-certificaat. De Autoriteit Persoonsgegevens werkt samen met de Raad voor Accreditatie om het protocol op te stellen. "De RvA werkt op dit moment aan de eerste stap in het accreditatieproces van de eerste instellingen die AVG-certificaten uit gaan geven", schrijft de AP. Na die accreditatie beoordeelt ook de toezichthouder zelf de certificatie-instellingen nog. Pas als dat is gebeurd, mogen de instellingen hun certificaten uitreiken.

Voor het opstellen van het protocol voor de certificaten worden de richtlijnen van het European Data Protection Board gevolgd. Een certificaat kan straks aantonen aan welke onderdelen van de Europese privacywetgeving een bedrijf precies voldoet. Het certificaat is geldig voor bepaalde onderdelen of processen die in de AVG beschreven worden. "Wij zijn blij dat het AVG-certificaat er als nieuw instrument van de AVG komt", schrijft AP-voorzitter Aleid Wolfsen. "Met dit informatieprotocol willen we zorgen dat we bedrijven gezamenlijk zo goed en efficiënt mogelijk kunnen helpen om het AVG-certificaat te behalen. Dat is belangrijk, want dat kan helderheid bieden over de privacy-waarborgen die verwacht kunnen worden bij een product of dienst."

Bedrijven en overheden hebben al sinds voor de invoering van de AVG moeite om te voldoen aan de ingewikkelde privacywet, die op veel punten aan interpretatie onderhevig is. De Autoriteit Persoonsgegevens geeft advies, maar zegt niet per bedrijf waaraan zij moeten voldoen om zich aan de wet te houden. Veel adviesbureaus speelden de afgelopen jaren op die onzekerheid in door zelf certificeringen en diploma's aan te bieden aan bedrijven die cursussen volgden of zichzelf lieten testen. Zulke certificeringen hadden echter niet veel juridische waarde. Ook bij de huidige certificaten maakt de toezichthouder een kanttekening: "De organisatie blijft verantwoordelijk voor naleving van de privacywet op alle onderdelen."