AVG-gedragscode

AVG-gedragscodes worden door de wetgever gezien als een goede manier om de naleving van de privacywet- en regelgeving te bevorderen. Omdat de Data Pro Code door een branchevereniging uit de ICT-sector, NLdigital, is opgesteld, kan in de gedragscode sector-specifiek uiteen worden gezet op welke wijze de regels uit de AVG toegepast moeten worden. Organisaties uit de betreffende sector die zich conformeren aan deze gedragscode, kunnen daarmee aantonen op welke wijze zij invulling geven aan de verplichtingen uit de AVG.

Data Pro Code

Met de goedkeuring van de Data Pro Code door de Autoriteit Persoonsgegevens, is de eerste AVG-gedragscode voor de ICT-sector een feit. De Data Pro Code richt zich op ICT-bedrijven die voor hun opdrachtgevers als verwerker in de zin van de AVG optreden. Ofwel, ICT-bedrijven die in het kader van hun dienstverlening persoonsgegevens ten behoeve van hun opdrachtgevers verwerken. Denk bijvoorbeeld aan hostingleveranciers die persoonsgegevens van hun opdrachtgever op hun servers opslaan.

De Data Pro Code bevat onder meer richtlijnen over de informatie die de aangesloten bedrijven aan opdrachtgevers kunnen verstreken. Denk daarbij bijvoorbeeld aan informatie over de getroffen beveiligingsmaatregelen, de omgang met datalekken en hoe er met de rechten van de betrokkenen wordt omgegaan. Als een ICT-bedrijf zich aantoonbaar conformeert aan deze gedragsregels, wordt hij opgenomen in het ‘Data Pro register’. Dit ICT-bedrijf conformeert zich daarmee ook aan extern toezicht. Mocht op enig moment blijken dat dit bedrijf niet meer voldoet aan de Data Pro Code, dan wordt hij uit dit register verwijderd.

Waarom aansluiten bij de Data Pro Code?

Voor ICT-bedrijven biedt het aansluiten bij de Data Pro Code in ieder geval de volgende voordelen. Allereerst biedt deze gedragscode een leidraad om compliance met de AVG te kunnen bewerkstelligen. De Data Pro Code is toegesneden op de toepassing van de AVG binnen de ICT-sector. In de tweede plaats kan het ICT-bedrijf, door zich te conformeren aan deze gedragscode, laten zien op welke wijze hij invulling geeft aan de verplichtingen uit de AVG. Bijvoorbeeld wanneer hij zich dient te verantwoorden tegenover de Autoriteit Persoonsgegevens. Verder kan het ICT-bedrijf daarmee tegenover zijn opdrachtgevers laten zien dat hij compliant is met de AVG. Opdrachtgevers – de verwerkingsverantwoordelijken in de zin van de AVG – zijn immers op grond van de AVG verplicht om uitsluitend verwerkers in te schakelen die afdoende garanties met betrekking tot AVG-compliance bieden. De omstandigheid dat het ICT-bedrijf is aangesloten bij de Data Pro Code, kan aan de conclusie bijdragen dat de bedoelde garanties worden geboden.

Toezicht

De wet eist dat op de naleving van de gedragscode dient te worden toegezien door een toezichthoudend orgaan. Voorts dient dat orgaan aanvragen om aan te sluiten bij de gedragscode te beoordelen en klachten over inbreuken op de gedragscode te behandelen. Het toezichthoudend orgaan dient door de Autoriteit Persoonsgegevens te worden geaccrediteerd. Voor het toezicht op de Data Pro Code is er echter nog geen toezichthoudend orgaan. De criteria voor een dergelijke accreditatie liggen namelijk nog ter beoordeling bij de European Data Protection Board. De Autoriteit Persoonsgegevens verwacht hierover voor het einde van dit jaar uitsluitsel te krijgen. Daarna zal er voor de Data Pro Code nog een toezichthoudend orgaan moeten worden opgericht en geaccrediteerd.

Afronding

De Data Pro Code betreft de eerste goedgekeurde AVG-gedragscode in Nederland. De tijd zal ons moeten leren of de ICT-praktijk de Data Pro Code bruikbaar vindt en zich daar veelvuldig aan zal conformeren. Daarnaast zullen er nu mogelijk ook andere sectoren volgen met het opstellen van AVG-gedragscodes. Uiteraard houden wij u op de hoogte van dergelijke ontwikkelingen.