Berichten

Toezichthouder voornemens gedragscode Nederland ICT goed te keuren

Geplaatst op | Bericht | Sabine

Gedragscodes zijn bedoeld om bij te dragen aan een juiste toepassing van de AVG in een bepaalde sector. Verwerkers en verwerkingsverantwoordelijken kunnen naar gedragscodes verwijzen om te demonstreren dat zij aan de regels van de AVG voldoen. De vereniging Nederland ICT heeft een gedragscode opgesteld voor verwerkers in de ICT-sector, de Data Pro Code. De gedragscode is bedoeld als een nadere uitwerking van de verplichtingen uit artikel 28 AVG voor verwerkers. De Autoriteit Persoonsgegevens heeft aangegeven dat zij voornemens is de gedragscode goed te keuren, onder de voorwaarde dat een toezichthouder wordt aangesteld en goedgekeurd. Belanghebbenden hebben nu de mogelijkheid om zienswijzen in te brengen, alvorens de toezichthouder tot goedkeuring over gaat. De termijn hiervoor eindigt op 23 september.

Gedragscodes

Het doel van gedragscodes is het invullen van open normen in de AVG voor specifieke sectoren. Daarnaast kunnen ze helpen te demonstreren dat conform de AVG wordt gehandeld. Ze vereenvoudigen dus het voldoen aan de verantwoordingsplicht uit de AVG. Deelname aan een gedragscode betekent niet dat daardoor automatisch aan de AVG wordt voldaan. De EDPB (European Data Protection Board) benadrukt dit in één van haar guidelines.

Data Pro Code

De gedragscode van Nederland ICT is bedoeld voor verwerkers in de ICT-sector. Dit zijn partijen die in opdracht en ten behoeve van een andere partij persoonsgegevens verwerken. Leden van Nederland ICT en hun klanten hebben veel te maken met verwerkerscontracten. De gedragscode kan helpen om onderhandelingen over die contracten te vereenvoudigen.

Data Pro Statement

Indien een verwerker wil aansluiten bij de Data Pro Code, dient het Data Pro Statement te worden ingevuld. Door het verschaffen van informatie via dit document, voldoet de verwerker aan de informatieplichten van de Data Pro Code. De verwerker dient in informatie te voorzien over met name vier onderwerpen:

  • de getroffen beveiligingsmaatregelen;
  • het beleid van de verwerker voor het voldoen aan verzoeken van betrokkenen;
  • het informeren en ondersteunen van de verwerkingsverantwoordelijke bij een datalek;
  • (de uitkomsten van) controles over de naleving van het beveiligingsbeleid.

Door het toevoegen van de “Standaardclausules voor verwerkingen” van de Data Pro Code aan het Data Pro Statement, vormt dat document de verwerkersovereenkomst. De verwerker mag overigens van die clausules afwijken. Indien deze clausules overwegend in het voordeel van de verwerker zouden zijn opgesteld, is het echter de vraag of er daadwerkelijk sprake zal zijn van vereenvoudigde onderhandelingen.

Data Pro register

De onafhankelijke toezichthouder van de Data Pro Code toetst of een verwerker, die zich wil aansluiten bij de Data Pro Code, in voldoende mate conform de gedragsregels van de Data Pro Code handelt. Indien dit het geval is, wordt de verwerker geregistreerd in het Data Pro register. Door de registratie heeft de verwerker het gebruiksrecht op het Data Pro Certificate. Met dat certificaat wordt aangetoond dat de verwerker conform de gedragsregels van de Data Pro Code handelt.

Er vindt jaarlijks een toetsing plaats door de Data Pro Toezichthouder. Er worden aanvullende toetsingen verricht bij een onvoldoende resultaat van een eerdere toetsing of indien een klacht, de wet of de openbare orde daartoe aanleiding geeft. Ook kunnen willekeurige extra toetsingen plaatsvinden. Indien na toetsing blijkt dat de verwerker niet (meer) volgens de gedragsregels handelt, kan deze worden geschrapt uit het register.

Conclusie

Over een maand zal er hopelijk meer duidelijkheid komen over de definitieve goedkeuring van de Data Pro Code. Het kan voor verwerkers zekerheid geven ten aanzien van de vraag of het beveiligingsbeleid toereikend is. Daarnaast kan het discussies over de AVG tussen verwerkingsverantwoordelijken en verwerkers verminderen. Een goedkeuring van de gedragscode zou dus veel voordelen opleveren, zowel voor verwerkers als verwerkingsverantwoordelijken. Wij zullen u op de hoogte houden van de ontwikkelingen!

Heeft u vragen naar aanleiding van dit artikel, bijvoorbeeld over de gedragscode? Neem dan vrijblijvend contact op met Floortje Eijdems of met één van de andere leden van het Privacy-team.