De Autoriteit Persoonsgegevens (AP) is van plan de Data Pro Code, een gedragscode voor dataverwerkende bedrijven, goed te keuren. Met de door branche-organisatie NL Digital (voorheen Nederland ICT) opgezette certificering geven dataverwerkende bedrijven te kennen dat ze voldoen aan de AVG (Algemene Verordening Gegevensbescherming). Er is echter nog een obstakel: het ontbreekt aan een toezichthoudend orgaan dat vanuit de ict-branche toeziet op de naleving van die code.
Omdat de ict-brancheorganisatie het noodzakelijke toezichthoudend orgaan nog niet opgericht, verbindt de AP daarom een opschortende voorwaarde aan de goedkeuring. Dat betekent dat de code pas wordt goedgekeurd na de oprichting van een orgaan.
‘Als een organisatie een gedragscode opstelt, dan moet zij ook een toezichthoudend orgaan in het leven roepen. Dit orgaan is een nieuw instrument onder de AVG en controleert de naleving van de gedragscode, beoordeelt of aangesloten partijen in aanmerking komen om de gedragscode toe te passen en behandelt klachten over inbreuken op de gedragscode. Het toezichthoudende orgaan moet worden geaccrediteerd door de Autoriteit Persoonsgegevens of door een andere Europese privacytoezichthouder’, licht AP toe.
Een woordvoerder van NL Digital reageert: ‘Het is zowel voor de AP als de branche-organisatie nog pionieren om tot een gedragscode te komen. Op het moment dat de code is gemaakt, vlak na de ingang van de AVG in mei vorig jaar, dachten we dat een onafhankelijk auditor die de certificering uitgevoerd voldoende was.’ Hij legt uit dat er later een artikel is uitgekomen vanuit de Europese privacytoezichthouders dat er extra eisen worden gesteld aan dat toezicht. Er moet een los orgaan komen dat verdere bevoegdheden en plichten heeft dan de auditor.
Positief
De privacywaakhond is verder positief over de Data Pro Code. ‘Met deze tool wordt het werken met de AVG makkelijker voor ondernemingen die optreden als verwerker van persoonsgegevens. Zij kunnen zich aansluiten bij deze gedragscode. De gedragscode van Nederland ICT gaat in op het informeren van de opdrachtgever over de genomen beveiligingsmaatregelen, de inhoud van de verwerkersovereenkomst, de omgang met de rechten van betrokkenen en met datalekken, en op toetsing, evaluatie en aanpassing van de genomen beveiligingsmaatregelen’, schrijft het in de persverklaring.
Eerder meldde NL Digital, dat toen nog Nederland ICT heette, dat de gedragscode al een jaar ter goedkeuring bij de privacywaakhond ligt.
Een branche of sector kan een gedragscode opstellen voor de manier waarop de branche of sector omgaat met persoonsgegevens. Organisaties binnen die branche of sector kunnen zich vervolgens aansluiten bij de gedragscode. Overkoepelende verenigingen kunnen de AP vragen een gedragscode goed te keuren. De AP keurt een gedragscode goed als deze aan de eisen voor een gedragscode voldoet.
Computable-lezers reageerden kritisch op een gedragscode die door de branche is opgesteld én wordt gecontroleerd.
Volgens mij heten ze nu ‘NLdigital’ geen NL Digital
NLdigital stelt op zijn website dat de gedragscode “voorlopig [is] goedgekeurd door de Autoriteit Persoonsgegevens”. “Daarnaast richt Nederland ICT een orgaan op dat toezicht houdt op naleving van de code.”
NLdigital noemt dit laatste een “aanvullende eis [-] recent opgenomen in de richtlijnen van de European Data Protection Board (EDPB) met betrekking tot toezicht op gedragscodes.”
De tekst van art. 41 AVG en van het ontwerpbesluit van de AP (Stcrt.2019;43001) geeft een duidelijk andere lezing. Er bestaat dus – zacht gezegd – een verschil van inzicht tussen AP en NLdigital.
Het *ontwerp*besluit vermeldt luid en duidelijk “onder de opschortende voorwaarde dat binnen twee jaar na de datum van bekendmaking van het definitieve besluit inzake de verklaring omtrent de Data Pro Code van Nederland ICT in de Staatscourant: er een orgaan is dat het toezicht uitoefent op de naleving van de Gedragscode zoals bedoeld in artikel 40, lid 4, AVG, en dat dit orgaan door de Autoriteit Persoonsgegevens is geaccrediteerd zoals bedoeld in artikel 41, lid 1, AVG. ”
Niet alleen is de Data Pro Code de facto niet goedgekeurd, óók dient NLdigital zorg te dragen dat er binnen twee jaar een toezichthoudend orgaan is én dat dit orgaan is geaccrediteerd door de AP.
Tot die tijd heeft NLdigital niets.
NLdigital mag dus wel opschieten.
De kritische reacties van Computable-lezers over AVG certificering worden feitelijk bevestigd door de nationale toezichthouder. Nederland ICT kan (momenteel) niet geaccrediteerd worden tot het uitgeven van AVG certificaten omdat er niet voldaan wordt aan de Europese richtlijnen inzake gedragscodes en toezichthoudende instanties. En Nederland ICT presenteert, zoals P.J. Westerhof het stelt, daarmee de zoveelste lege dop.
En over lege doppen gesproken, het Calimero-effect aangaande statutaire onderwerping aan een gedragscode strookt niet met de opmerkingen van Lotte de Bruijn over dat ’tech the new tobacco is’ omdat grote ICT-bedrijven foefjes in hun apps bouwen welke gebruikers verlaafd maken. Het ‘gij mag niet stelen, maar ik wel’ van een gedragscode die bedoeld is voor de kleine en microbedrijven in de Nederlandse terroriale ICT-sector maakt wel duidelijk dat we van de AP als toezichthouder ook niet veel hoeven te verwachten.
Van plan zijn een gedragscode goed te keuren..
wat zou dat nou betekenen ?
Met de relatief nieuwe ISO27701 norm en ISO27018 norm welke beide een privacy aanvulling zijn op ISO27001 heb je deze branche opgestelde code helemaal niet nodig. De ISO normen zijn certificeerbaar. Die branche organisaties zijn pure werkverschaffing en hebben geen toegevoegde waarde. Ik begrijp niet waarom het bedrijfsleven in Nederland een branche organisatie nodig zou hebben. Verder kan niemand deze gedragscode verplicht stellen bij ICT bedrijven en deze op onnodige kosten jagen. Het is goed dat er meer certificering komt van de GDPR maar dat kan dus op basis van ISO al. Bovendien je wil juist helemaal niet dat er per branche een eigen variant van een AVG wordt getoetst. De wet is gewoon de wet. Iedereen moet daaraan voldoen ongeacht branche.
@Peter Lofström : de ISO27701 en ISO27018 normen zijn uiteraard ‘slechts’ een subset van een evt. branchecode zoals NLdigital’s Data Pro Code.