Voorgenomen goedkeuring Data Pro Code, de gedragscode van Nederland ICT

26 augustus 2019 | Blog

De Algemene Verordening Gegevensbescherming ('AVG') bepaalt specifiek dat lidstaten gedragscodes op het gebied van privacybescherming dienen te bevorderen (art. 40 lid 5 AVG). In een gedragscode maakt de branche of sector de algemene normen uit de AVG concreter. De branchevereniging van de ICT-sector, Nederland ICT, heeft een gedragscode opgesteld, de 'Data Pro Code'. De Autoriteit Persoonsgegevens ('AP') is van plan om deze gedragscode goed te keuren, lees het ontwerpbesluit hier. De gedragscode moet bijdragen aan een juiste toepassing van de AVG en verwerkers kunnen zich aansluiten bij deze gedragscode. Belanghebbenden kunnen tot 6 weken na 12 augustus jl. hun zienswijze indienen.

Wat staat er in de Data Pro Code?
De Data Pro Code geeft concrete gedragsregels voor verwerkers in de ICT-branche. De code bevat een nadere uitwerking van de verplichtingen voor verwerkers op grond van artikel 28 AVG en is alleen van toepassing op verwerkingen in Nederland. De AP is van oordeel dat de Data Pro Code voor de ICT-sector de verplichtingen voor verwerkers op grond van artikel 28 AVG voldoende toelicht. Informatieplichten en verantwoording door middel van toezicht vormen het zwaartepunt van de Data Pro Code.

Bij de Data Pro Code is een bijlage opgenomen met daarin een Standaard Verwerkersovereenkomst. De Standaard Verwerkersovereenkomst bestaat uit twee delen: het zogenoemde Data Pro Statement en Standaardclausules voor verwerkingen. Om tot een evenwichtige en toetsbare invulling van het statement te komen zal een verwerker een onderliggend privacy-beleid moeten hanteren. De Data Pro Code levert uitgangspunten voor de invulling van het onderliggende privacy-beleid.

In het statement informeert de verwerker zijn opdrachtgever over de getroffen beveiligingsmaatregelen ten aanzien van zijn dienst of product. De verwerker gaat daarin bijvoorbeeld in op zaken als:

  • Het gekozen information security management systeem, de beveiligingsnorm(en) of standaard;
  • Certificeringen van de verwerker (indien van toepassing);
  • Of en welke (sub)verwerkers worden ingezet;
  • Pseudonimisering en versleuteling van persoonsgegevens;
  • Het vermogen om op een permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • Het vermogen om bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen (back-ups, redundantie)

De verwerker moet het statement invullen en publiceren of opnemen in een verwerkersovereenkomst. Hij dient dit op zodanige wijze te doen dat een opdrachtgever zelf in staat is om een beoordeling te maken of deze maatregelen voldoende zijn, gelet op het door de opdrachtgever voorgenomen gebruik van de dienst of het product en de daarmee mogelijke verwerking van persoonsgegevens.

Toezicht op naleving
In de Data Pro Code is opgenomen dat een verwerker die de gedragscode toepast zich jaarlijks onafhankelijk zal laten toetsen. Ook kunnen additionele toetsingen plaatsvinden op ad random basis en kunnen toetsingen plaatsvinden naar aanleiding van een klacht of signaal. Bij voldoende resultaat wordt de verwerker opgenomen in het openbaar toegankelijke Data Pro Register. De Data Pro Toezichthouder zal dit register beheren, maakt het openbaar en kan verwerkers eruit verwijderen indien de omstandigheden daar aanleiding toe geven. Een verwerker die geregistreerd staat in het Data Pro Register kan vervolgens een 'Data Pro Certificate' voeren.

De Data Pro Toezichthouder moet nog  worden opgericht en geaccrediteerd door de AP. De oprichting is een voorwaarde voor de definitieve goedkeuring van de gedragscode door de AP.

Ei van Columbus?
De Data Pro Code is zeker een vooruitgang. Er kan verwacht worden dat IT-bedrijven die aan de code voldoen, goed hebben nagedacht over de eisen die het privacy-recht in de praktijk stelt. De suggestie dat sprake is van 'certificering' (een suggestie die Nederland ICT met het 'Data Pro Certificate' wekt) acht ik minder gelukkig. Het voldoen aan de gedragscode hoeft immers zeker nog niet te betekenen dat een verwerker in overeenstemming met de AVG handelt (zoals bij certificering in de zin van art. 42 AVG wel aan de orde zou moeten zijn). Op basis van de code informeert de leverancier immers slechts hoe invulling wordt gegeven aan eisen uit de AVG. De vraag of die invulling in een specifiek geval afdoende is dient dan nog steeds beantwoord te worden. De vaak ingewikkelde (juridische) discussies tussen IT-leveranciers en opdrachtgevers over het vereiste niveau van beveiliging en bijbehorende aansprakelijkheid zullen door de code dus niet tot het verleden gaan behoren.

Uiteraard houden wij deze ontwikkeling in de gaten. Wilt u actief op de hoogte worden gehouden, schrijf u dan hier in voor onze nieuwsbrief IT & Privacy.

Heeft u naar aanleiding van dit blog vragen? Neem dan contact op met Martin Hemmer.

Meld u aan voor onze nieuwsbrieven