De AP (Autoriteit Persoonsgegevens) heeft de privacy-gedragscode Data Pro Code van branche-organisatie NLdigital goedgekeurd. De ict-branche is daarmee de eerste sector met een eigen certificering en praktische standaarden voor het waarborgen van privacy bij dataverwerking. Er is intensief samengewerkt tussen de branchevereniging en de privacy-toezichthouder.
NLdigital-directeur Lotte de Bruijn noemt de goedkeuring tijdens een webbijeenkomst ‘een mijlpaal’. Ze stelt dat de ict-sector voorop gaat in het borgen van privacy en de code een voorbeeld is voor andere sectoren.
Ook vertegenwoordigers van de AP laten weten dat er pionierswerk is verricht om tot de Data Pro Code te komen. De AVG vermeldt dat sectoren een eigen code kunnen opstellen en zo partijen kunnen certificeren voor de AVG. Hoe dat praktisch vorm moest krijgen, was nog niet bekend.
De gedragscode, waarvan de goedkeuring door de AP juridisch bindend is, is ook beschikbaar voor bedrijven die geen lid zijn van de branchevereniging. De betrokken partijen denken dat het vooral voor mkb-bedrijven en bedrijven met weinig juristen aan boord nuttig kan zijn om te certificeren.
‘Feestelijke dag voor privacy’
Volgens Monique Verdier, vicevoorzitter en lid van het bestuur van de AP, is de officiële goedkeuring ‘een feestelijke dag voor de privacy’ omdat de gedragscode van waarde is voor de bescherming van persoonsgegevens.
Ze benadrukt dat het ‘stempel’ van de AP de code meer gewicht geeft en het geen slager is die zijn eigen vlees keurt. ‘Het gaat om een echt praktische uitwerking van de AVG per sector.’
Hoe werkt het?
Bedrijven die de Data Pro Code willen voeren, stellen een statement op. Vervolgens gaan auditors die bedrijven bevragen hoe dat in de praktijk wordt toegepast. Ook wordt er getoetst in de processen van het bedrijf. De code is specifiek ontwikkeld voor dataverwerkers.
In het Data Pro Statement- dat onderdeel is van de Data Pro Code- en waarin verwerkers gegevens over privacy vastleggen, zoals welke gegevens zijn opgeslagen, staat bijvoorbeeld ook welke andere certificeringen het bedrijf heeft en wanneer deze worden gecontroleerd.
Ook zijn er afspraken over het melden van een datalek. Op dit moment staat er in de AVG dat er een meldplicht is, maar in de gedragscode van NLdigital staat een specifiek overzicht met de informatie die in dat geval gedeeld moet worden. ‘De belangrijkste artikelen voor verwerkers en praktisch toepassingen staan in artikel 28’, voegt een jurist van AP toe. Volgens de toezichthouder moet uiteindelijk een ‘vertrouwensinstrument’ ontstaan dat afstraalt op de branche als geheel.
Nog geen toezichthouder uit sector
Opvallend is dat de gedragscode is goedgekeurd, terwijl er nog geen toezichthouder bij de brancheorganisatie is ingericht. Dat is een verplichting in de AVG. Eerder werd de code door een gebrek aan dat toezichtorgaan vanuit de branche nog niet definitief goedgekeurd.
Volgens de juristen van de AP is die benoeming nu een formaliteit. De processen om dat toezicht vanuit de branche te borgen zouden al klaarliggen, maar moeten voldoen aan Europese regels omdat deze in elk land hetzelfde moeten zijn. Het enige waarop gewacht moet worden, is een EU-besluit over dat toezicht dat in september 2020 wordt genomen, verklaart de AP.
De ict-sector is vooralsnog de eerste sector met een eigen privacycode. Er wordt ook gewerkt aan een datacode voor andere sectoren maar dat is ‘nog niet in een stadium om daar meer over te vertellen’, aldus de AP.
