De AVG-gedragscode van Nederland ICT, de Data Pro Code, is voorlopig goedgekeurd door de Autoriteit Persoonsgegevens. Het ontwerpbesluit van de AP is gepubliceerd in de Staatscourant van 12 augustus. De komende 6 weken kan men op- of aanmerkingen op dit besluit insturen. Daarnaast zal Nederland ICT een orgaan oprichten dat toezicht houdt op naleving van de code. Deze aanvullende eis is recent opgenomen in de richtlijnen van de European Data Protection Board (EDPB) met betrekking tot toezicht op gedragscodes. Vanaf het moment dat dit toezichthoudend orgaan is geaccrediteerd door de AP, zal de code de eerste goedgekeurde AVG-gedragscode in Nederland zijn.
Branchevereniging heeft bijzondere rol
Nederland ICT vertegenwoordigt de ICT-sector, verwerkers van data. Met deze tool wordt het werken met de AVG makkelijker voor ondernemingen die optreden als verwerker van persoonsgegevens. Zij kunnen zich aansluiten bij deze gedragscode. De gedragscode van Nederland ICT gaat in op het informeren van de opdrachtgever over de genomen beveiligingsmaatregelen, de inhoud van de verwerkersovereenkomst, de omgang met de rechten van betrokkenen en met datalekken, en op toetsing, evaluatie en aanpassing van de genomen beveiligingsmaatregelen.
In artikel 40 AVG is opgenomen dat een branche of sector een gedragscode kan opstellen voor de manier waarop de branche of sector omgaat met persoonsgegevens. Organisaties binnen die branche of sector kunnen zich vervolgens aansluiten bij de gedragscode. Overkoepelende verenigingen kunnen de AP vragen een gedragscode goed te keuren. De AP keurt een gedragscode goed als deze aan de eisen voor een gedragscode voldoet.
Toezichthoudend orgaan
Als een organisatie een gedragscode opstelt dan moet zij ook een toezichthoudend orgaan in het leven roepen. Dit orgaan is een nieuw instrument onder de AVG en controleert de naleving van de gedragscode, beoordeelt of aangesloten partijen in aanmerking komen om de gedragscode toe te passen en behandelt klachten over inbreuken op de gedragscode. Het toezichthoudende orgaan moet worden geaccrediteerd door de Autoriteit Persoonsgegevens of door een andere Europese privacy toezichthouder. Nederland ICT heeft het noodzakelijke toezichthoudend orgaan nog niet opgericht, maar zal hiertoe op korte termijn overgaan. De AP verbindt daarom een opschortende voorwaarde aan de goedkeuring.
Eerste bedrijven zijn Data Pro gecertificeerd
Verwerkers die zich houden aan de Data Pro Code, kunnen dit aantonen door zich te laten certificeren. Deze Data Pro certificering werd in mei 2019 gelanceerd en inmiddels zijn de eerste bedrijven gecertificeerd. Certificering houdt concreet in dat een externe auditor toetst hoe het is gesteld met het Data Pro Statement van het bedrijf. Ook doet de auditor een risicoanalyse en toetst hij de antwoorden van het bedrijf op diverse privacy-issues. Ieder bedrijf dat slaagt, ontvangt het Data Pro Certificate en wordt opgenomen in het Data Pro register.
Meer informatie
Heeft u vragen over dit onderwerp? Wilt u meer informatie? Neem dan contact op met Sharinne Ibrahim of een van de advocaten van team Privacy. Zij zijn u graag van dienst.
Augustus 2019
