Brancheorganisatie Nederland ICT heeft een keurmerk ontwikkeld voor dataverwerkers. Daarmee moet voor klanten van ict-bedrijven duidelijk zijn dat gegevens worden verwerkt volgens de nieuwe Europese regels voor dataverwerking en privacy, die zijn vastgelegd in de GDPR/AVG die in mei 2018 ingaat. Het keurmerk krijgt de naam Data Pro.
De term Data Pro verwijst naar beide aspecten van gegevensbescherming: juridisch (data processor) en bedrijfsmatig (data professional). Nederland ICT: ‘Met de Data Pro Code willen we bedrijven in de eerste plaats helpen om te voldoen aan de wet en daarnaast om aan hun klanten te laten zien dat ze op een professionele manier omgaan met hun data.’
De brancheorganisatie benadrukt dat de ict-sector zeer divers is, maar springt met het keurmerk in op de gemeenschappelijke activiteiten van het verzamelen, bewerken en bewaren van data in opdracht van klanten.
Nederland ICT: ‘Voor deze rol van data processor (dataverwerker) of verwerker geeft de AVG/GDPR andere regels dan voor verantwoordelijken. Om ict-bedrijven te helpen aan deze regels te voldoen, hebben we de Data Pro Code ontwikkeld.’ Volgens de brancheorganisatie biedt de AVG in grote lijnen principes voor de omgang met persoonsgegevens. ‘De vertaling en invulling van deze principes verschilt sterk per branche of zelfs per bedrijf. In de AVG wordt daarom expliciet verwezen naar de rol van brancheverenigingen bij het implementeren van de AVG. Met het ontwikkelen van de Data Pro Code wil Nederland ICT invulling geven aan deze rol.’
8 principes en certificaat
In samenwerking met de leden heeft Nederland ICT de eisen die de AVG stelt aan verwerkers vertaald naar acht principes. In die principes staat uitgelegd wat er van een professionele data processor kan worden verwacht. ‘De Data Pro Code vormt ook de basis voor de standaard verwerkersovereenkomst van Nederland ICT. In deze overeenkomst wordt vastgelegd hoe een bedrijf aan de principes uit de code voldoet (het Data Pro Statement)’, aldus de brancheorganisatie in een bericht over de aankondiging van Data Pro.
Volgens Nederland ICT kunnen dataverwerkers die de Data Pro Code toepassen, daarmee laten zien dat zij staan voor een professionele omgang met persoonsgegevens die aan hen worden toevertrouwd. Voor klanten en ketenpartners moet de code ook duidelijkheid en transparantie bieden over wat ze van ict-bedrijven mogen verwachten.
Nederland ICT wil verder bedrijven die voldoen aan de code gelegenheid geven om dit aan te tonen door middel van een Data Pro-certificaat, dat door een onafhankelijke partij zal worden uitgevoerd en jaarlijks getoetst op basis van actuele wetgeving.
Nergens – óók niet op de NederlandICT-site – ook maar een woord over de toepasselijkheid van de artikelen 42 jo. 43 AVG.
Van een ‘keurmerk’ is ook niet werkelijke sprake; de Data Pro Code zélf noemt die term dan ook (terecht) niet.
Een non-item dus.
Het past naadloos in het recente bericht zijdens VNO-NCW – en ook MKB.nl – dat de Autoriteit Persoonsgegevens (AP) de nieuwe privacywet na invoering op 25 mei aanstaande niet direct moet handhaven, maar moet inzetten op voorlichting en ondersteuning van (mkb-)bedrijven. NederlandICT is lid van VNO-NCW.
Holland op zijn smalst.
Maar ook de verantwoordelijk minister Dekker gaat braaf mee in de gekleurde berichtgeving, daarbij een nadrukkelijk en ongepast politiek signaal gevend aan de AP (https://www.tweedekamer.nl/kamerstukken/plenaire_verslagen/kamer_in_het_kort/algemene-verordening-gegevensbescherming-besproken).
Anders dan ook dit artikel – en ook MKB.nl – weer stelt is de AVG al sinds 25 mei 2016 van toepassing, de AVG zal over krap 70 dagen worden *gehandhaafd*. De afgelopen twee jaar waren bedoeld als overgangs- en implementatieperiode.
Iedereen heeft dus ruimschoots de tijd gehad de eigen verantwoordelijkheid in te vullen.
Dat zoals MKB.nl stelt “Veel kleine bedrijven zijn nog onvoldoende op de hoogte en er is nog te veel onduidelijkheid over de concrete toepassing van de wet. Nieuw is dat bedrijven verplicht zijn aan te tonen dat ze aan de nieuwe wet voldoen.” is bezijden de werkelijkheid.
Bewustwording en ondersteuning is een gepasseerd station. Hardnekkig duikgedrag moet nu consequenties hebben.
Maar minister Dekker degradeert de AP verder – voor zover dat al mogelijk is – tot een salonkeffertje.
Volgens Dekker zal de AP in het eerste jaar dat de AVG van kracht is vooral voorlichten en bijsturen. Toegegeven, zijdens de AP heeft dat laatste de afgelopen twee implementatiejaren inderdaad grondig ontbroken.
In het kader van de Europa-brede rechtsbescherming van het individu – tot aan het CJEU – zullen de komende proefprocessen dan ook zonder meer interessant worden.
Dat had iedereen dus al mijlen vooruit kunnen zien aankomen. Een toch wel strenge wet die veel bedrijven eigenlijk niet zo goed uitkomt en een overheid die er boterzacht mee omgaat. Want die privacy voor de burgers is toch wel lastig.
@JD : zo streng is die wet niet. Bedrijven die de afgelopen decennia de WPR/WBP netjes hebben gevolgd zullen nauwelijks last hebben gehad van de implementatie van de GDPR-eisen.
Ik voorspelde 2 jaar geleden dat er binnen één jaar allerlei brandbrieven zouden komen ‘dat het toch wel erg veel en moeilijk was’. Dat lijkt echter nauwelijks het geval te zijn geweest.
Opvallend is wél het plotselinge aantal vacatures voor interimmers om de GDPR-eisen nog even snel in te vullen, te beginnen met ‘bewustwording’. En daarnaast bedrijven en overheden die een (verplichte) DPO werven. Allebei gevallen waarin men overduidelijk twee jaar achterover heeft gezeten.
Zet daarnaast VNG en VNO-NCW die zichzelf deze dagen op privacy-gebied in de voet schieten en het plaatje is compleet.
Het is niet ingewikkeld, het wordt ingewikkeld gemáákt.