De branchevereniging NLdigital heeft de AVG-gedragscode Data Pro Code in het leven geroepen voor verwerkers in de ICT-sector. Door aan deze code te voldoen, toont een ICT-bedrijf AVG-proof te zijn. De Data Pro Code is nu als allereerste privacy-gedragscode in Nederland goedgekeurd door de Autoriteit Persoonsgegevens (AP).

Het is niet vreemd dat de ICT-branche als eerste een goedgekeurde privacy-gedragscode heeft. De meeste IT-bedrijven verwerken immers persoonsgegevens voor hun klanten.

Vele IT-organisaties hebben zich de afgelopen maanden al aangesloten bij de Data Pro Code, die eind 2019 werd gelanceerd. Daarbij moeten ze voldoen aan praktische standaarden voor het waarborgen van privacy bij dataverwerking. Als een ICT-bedrijf kan aantonen te voldoen aan de code, krijgt ze een certificaat en wordt opgenomen in het (openbare) Data Pro register.

Door de definitieve goedkeuring van de AP krijgt deze certificering nu nog meer gewicht.

Wat houdt de gedragscode in?

De Data Pro Code gaat in op het informeren van de opdrachtgever (verwerkingsverantwoordelijke) over:

  • genomen beveiligingsmaatregelen;

  • de inhoud van de verwerkersovereenkomst;

  • de omgang met rechten van betrokkenen;

  • de omgang met datalekken.

Ook toont het hoe de IT-organisatie omgaat met toetsing, evaluatie en aanpassing van de genomen beveiligingsmaatregelen.

Wilt u zich laten certificeren?

Data Pro Code NLdigital

Bent u verwerker in de IT-sector en wilt u opgenomen worden in het Data Pro register? Dan begint u met het invullen van een Data Pro Statement; een checklist voor verwerkers. Het toont aan hoe wordt omgegaan met (de beveiliging van) persoonsgegevens.

Vervolgens kunt u zich laten certificeren door NLdigital. Dit werkt via een online platform en steeksproefsgewijze audits. Bedrijven met meer dan 50 medewerkers krijgen sowieso een auditor op bezoek in het certificeringsproces.

Bent u AVG-proof? Dan ontvangt u het Data Pro Certificate.

Wat houdt het Data Pro Statement in?

In het Data Pro Statement staan verschillende topics. Zo geeft de verwerker middels het Statement inzicht in het gekozen information security management systeem. Ook praktische zaken zijn opgenomen, zoals een lijst met (sub)verwerkers, de bewaartermijn van persoonsgegevens en de gegevens van de contactpersoon voor dataprotectie.

Tevens neemt u beveiligingsmaatregelen op in het Data Pro Statement. Denk aan:

  • pseudonimisering en versleuteling van persoonsgegevens;

  • het vermogen om bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

  • het vermogen om op een permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te garanderen.

Het Data Pro Statement dient opgenomen te worden in de verwerkersovereenkomst. De verwerkersovereenkomst bestaat naast het Data Pro Statement ook uit de standaardclausules voor verwerkingen of een daarmee vergelijkbare verwerkersovereenkomst.

Goedgekeurd, maar toezicht ontbreekt nog (steeds)

Data Pro code toezicht

De Data Pro Code moet natuurlijk worden nageleefd. Daarvoor is een toezichthoudend orgaan nodig. Dit orgaan controleert de naleving van de code en beoordeelt of de aangesloten verwerkers de gedragscode kunnen toepassen. Daarnaast behandelt het klachten over inbreuken op de gedragscode.

Het ontbreken van dit orgaan, is de reden dat de Data Pro Code vorig jaar voorlopig en dus niet definitief werd goedgekeurd. Gek genoeg, ontbreekt het toezichthoudend orgaan nog altijd.

Waarom?

De criteria voor onder meer het beoordelen van de onafhankelijkheid en deskundigheid van een dergelijk orgaan, liggen nog ter beoordeling voor aan de European Data Protection Board. De AP verwacht voor het eind van het jaar hier uitsluitsel over te krijgen.

Omdat de processen echter op orde zijn en het slechts wachten is op een Europees besluit, ziet de AP geen beletsel meer om de code nu toch definitief goed te keuren.

Zodra de Europese regels en criteria bekend zijn, richt NLdigital het toezichthoudend orgaan op.

Blijf op de hoogte

Op de hoogte blijven van deze en andere ontwikkelingen? Meldt u zich dan nu aan voor de maandelijkse nieuwsbrief van Legalz.