flib 50 jaar
Gepubliceerd op: 9 september 2020

Gedragscode Data Pro Code van NLdigital goedgekeurd door de Autoriteit Persoonsgegevens

Op 20 augustus 2020 heeft de Autoriteit Persoonsgegevens (AP), op de door NLdigital (de nieuwe naam van Nederland ICT) ingediende aanvraag ex artikel 40 lid 5 AVG een goedkeurend besluit genomen onder nummer z2018-11482. De Data Pro Code is de eerste gedragscode onder de Algemene Verordening Gegevensbescherming (AVG) die de AP heeft goedgekeurd. De gedragscode ziet op verplichtingen van verwerkers van persoonsgegevens, dus niet op de verplichtingen van de verwerkingsverantwoordelijken. Wat betekent dit besluit in het algemeen voor het opstellen van dergelijke gedragscodes?

Betekenis goedgekeurde gedragscode

De meest in het oog springende betekenis is dat de eerste gedragscode een feit is en de gedragscode van artikel 40 AVG niet meer een onderwerp is dat enkel theoretisch wordt behandeld bij opleidingen over de AVG.

Verder is nu duidelijk aan de hand van welke toets een aanvraag voor goedkeuring van een gedragscode wordt beoordeeld. Deze toets bestaat uit beoordeling van de ontvankelijkheid van de aanvraag, waarna een inhoudelijke beoordeling volgt.

De ontvankelijkheid

Representativiteit van de indiener van de gedragscode.
NLdigital is een branchevereniging die zichzelf omschrijft als een belangenbehartiger en vertegenwoordiger van de Nederlandse ICT-sector, met een ledenaantal van 600 bedrijven die een dwarsdoorsnede vormen van alle ICT-bedrijven in Nederland. De gedragscode is verder niet exclusief voor leden. Ook niet-leden kunnen zich vrijwillig aansluiten bij de gedragscode.

Overleg met belanghebbenden bij het opstellen van de gedragscode.
De gedragscode is in eerste instantie vormgegeven door een ‘kopgroep’ die bestond uit grote, kleine en micro bedrijven in de ICT-sector, verwerkingsverantwoordelijken en verwerkers, en externe deskundige. Daarna hebben sessies plaatsgevonden met relevante stakeholders als VNO-NCW, VNG en CIO Platform Nederland.

Materieel toepassingsgebied van de gedragscode.
NLdigital heeft toegelicht dat de gedragscode een nadere uitwerking is van de verplichtingen van verwerkers op grond van artikel 28 van de AVG, wat ook blijkt uit de inhoud van de gedragscode die is toegespitst op de verwerker.

Territoriaal toepassingsgebied van de gedragscode.
In de gedragscode is bepaald dat deze uitsluitend ziet op verwerkingen in Nederland en niet op verwerkingen in andere lidstaten. Daarmee is voldoende duidelijk wat het territoriale toepassingsgebied is van de gedragscode.

Is er een orgaan aangewezen dat toezicht houdt op de naleving van de gedragscode?
Artikel 41 van de AVG geeft aan dat het toezicht op de naleving van de gedragscode kan worden uitgeoefend door een orgaan dat beschikt over voldoende deskundigheid en dat is geaccrediteerd. De richtsnoeren van de European Data Protection Board (EDPB) stellen de aanwezigheid van een dergelijk orgaan als voorwaarde voor goedkeuring van de gedragscode. In de gedragscode is weliswaar opgenomen dat er een onafhankelijke deskundige toezichthouder zal worden opgericht, maar dat die er nog niet is. Om die reden is het oprichten van een dergelijk orgaan als opschortende voorwaarde aan de goedkeuring van de gedragscode verbonden.

Is er een evaluatie en bijstellingsprocedure voorzien in de gedragscode?
In de gedragscode is voorzien in een apart college dat eens per twee jaar de gedragscode zal evalueren en eventuele wijzigingen zal vaststellen. Deze wijzigingen zullen dan opnieuw ter beoordeling aan de AP worden voorgelegd. Deze procedure van evaluatie en wijziging is door de AP als voldoende beoordeeld.

Inhoudelijke beoordeling van de gedragscode

Nut en noodzaak van de gedragscode.
NLdigital heeft duidelijk gemaakt dat er weliswaar grote ICT bedrijven zijn die privacy compliance afdelingen hebben, maar dat bij MKB, kleine en micro ondernemingen behoefte bestaat aan concrete handvatten bij het toepassen van de AVG in de dagelijkse praktijk. Met name de vragen hoe een verwerker aan derden kan laten zien dat hij passende maatregelen heeft genomen en hoe hij kan voorkomen met een te grote variëteit van verwerkersovereenkomsten te maken krijgt, zijn door NLdigital beantwoord, onder meer door het Data Pro Statement en de Standaardclausules bij de gedragscode op te nemen.

Nadere toelichting van de AVG.
Met de gedragscode wil NLdigital concrete gedragsregels geven voor verwerkers. Bij de gedragscode is een Data Pro Statement opgenomen dat de verwerker moet invullen en publiceren of moet opnemen in het verwerkerscontract. Verder zijn bij de gedragscode standaardclausules opgenomen die de verplichtingen van de verwerker op grond van artikel 28 AVG voldoende toelichten.

Mechanismen voor uitoefenen toezicht op de naleving van de gedragscode.
In de gedragscode geeft NLdigital aan dat de verwerker die de gedragscode toepast zich jaarlijks onafhankelijk zal laten toetsen. Daarnaast kunnen er additionele toetsingen plaatsvinden. Bij voldoende resultaat wordt de verwerker opgenomen in het openbare Data Pro Register. De Data Pro Toezichthouder draagt zorg voor een klachtprocedure, waarvan de uitkomst aanleiding kan zijn tot schrapping uit het register. De Data Pro Toezichthouder moet nog worden opgericht en geaccrediteerd.

Bevordering van doeltreffende uitvoering van de AVG.
Artikel 28 lid 1 van de AVG legt de verwerkingsverantwoordelijke op om bij het inschakelen van een verwerker uitsluitend een beroep op een verwerker te doen als die afdoende garanties biedt met betrekking tot het toepassen van de technische en organisatorische maatregelen die de AVG vereist. Omdat de gedragscode de verwerkers in de ICT sector ondersteunt bij het bieden van voldoende transparantie over deze garanties kunnen de verwerkingsverantwoordelijken tot een goede keus komen bij het aanstellen van een verwerker, waarmee de gedragscode de doeltreffende uitvoering van de AVG ondersteunt.

Conclusie

Bij het aanvragen van goedkeuring van een gedragscode in de zin van artikel 40 AVG is het eerste schaap over de dam. Het gaat in dit geval om ICT-bedrijven die voor vele sectoren als verwerker van persoonsgegevens optreden. Het wachten is op een gedragscode voor een relevante sector van verwerkingsverantwoordelijken.

Nu artikel 46 lid 2 sub e AVG doorgifte van persoonsgegevens naar derde landen mogelijk maakt op basis van een goedgekeurde gedragscode, is er sprake van een nieuwe mogelijkheid om rechtmatig persoonsgegevens door te geven naar derde landen, zeker gezien de aard en functie van de ICT industrie. Uiteraard moet dit plaatsvinden samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen.

NLdigital
NLdigital is een representatieve brancheorganisatie van ICT bedrijven in Nederland.
De Data Pro Code van branchevereniging NLdigital is een gedragscode waarbij organisaties in de ICT-sector zich kunnen aansluiten. Veel van de leden van NLdigital treden voor hun opdrachtgevers op als verwerker van persoonsgegevens. De Data Pro Code is bedoeld om deze bedrijven, groot en klein, te helpen om aan de verplichtingen uit de AVG te voldoen.

De Gedragscode Data Pro Code kent een bijlage met daarin een Standaard Verwerkersovereenkomst. De Standaard Verwerkersovereenkomst bestaat uit twee delen: het Data Pro Statement en de Standaardclausules voor verwerkingen. De andere bijlage bestaat uit de uitgangspunten privacybeleid en Data Pro Statement.

Wilt u meer weten over dit onderwerp, ict- en it-recht, of heeft u een concrete vraag neem dan contact op met een van onze specialisten. Zij informeren u vrijblijvend over dit onderwerp.

Artikelen door Jop Fellinger

Stuur ons een bericht

Voor verdere vragen kunt u het formulier hieronder gebruiken. Wij nemen dan zo spoedig mogelijk contact met u op.