De ict-branche heeft sinds eind augustus een eigen certificering en standaarden voor het waarborgen van privacy bij dataverwerking. Gaat uw organisatie de Data Pro Code toepassen?
Branchevereniging NLdigital en de Autoriteit Persoonsgegevens (AP) werkten de afgelopen maanden nauw samen bij de opstelling van de Data Pro Code. Beide organisaties zijn laaiend enthousiast over het resultaat en spreken van een mijlpaal en pionierswerk.
In de Algemene verordening gegevensbescherming (AVG) staat dat sectoren zelf een eigen privacy-gedragscode kunnen opstellen en bedrijven kunnen certificeren. NLdigital is de eerste branchevereniging die hieraan praktische invulling geeft. De Data Pro Code vermeldt onder meer hoe data-verwerkende ict-bedrijven privacygegevens vastleggen, welke certificeringen ze hebben, wanneer deze worden gecontroleerd en welke informatie wordt gedeeld bij het melden van een datalek.
De gedragscode is goedgekeurd door de AP en daardoor juridisch bindend. Leden en niet-leden van NLdigital kunnen hem gebruiken. Vooral ondernemingen in het mkb en bedrijven met weinig juristen zouden erbij gebaat zijn.
Wat vindt u? Als uw organisatie is aangesloten bij NLdigital, wat vindt u van de Data Pro Code? Is uw organisatie geen lid van de branchevereniging, gaat u de privacy-gedragscode dan toch wel gebruiken?
Ik ben bang dat de resulterende verwerkersovereenkomsten, net als de van deze club afkomstige algemene voorwaarden (Fenit, NLdigital en de andere ict-branche voorlopers) weer erg eenzijdig zullen zijn. Vooral gericht op lijfsbehoud van de verwerker. Ik ben van mening dat een verwerkingsverantwoordelijke de basis moet leggen voor zo’n overeenkomst. Deze is immers verantwoordelijk voor de te verwerken persoonsgegevens. Als de verantwoordelijke dat niet kan, dan mag een verwerker wat mij betreft een voorstel doen. De verantwoordelijke moet deze uiteraard wel bestuderen en beoordelen of deze passend zijn.
“De gedragscode is goedgekeurd door de AP en daardoor juridisch bindend.”
Hmmm, eerst even bij de juridische adviseur langsgaan alvorens onzin op te schrijven?
Gedragscodes zijn niks meer dan onderlinge afspraken die door derden juridisch betwist kunnen worden, de reikwijdte lijkt me dus nogal beperkt. Dit soort afspraken gaan om het cliëntelisme binnen een failliet poldermodel waar gedragingen van bestuurders ingegeven worden door hun macht. Zeg maar zoiets als een vrijwillige schenking doen na overtreden Corona gedragscode om de boete en het strafblad te ontlopen. Ik weet niet de precieze rol van AP in het verhaal maar als deze een ‘laisser-faire’ afgeeft door privacy schendingen maar op zijn beloop te laten omdat bedrijven een gedragscode ondertekenen dan verliest deze autoriteit net als Grapperhaus alle geloofwaardigheid aangaande rechtsgelijkheid in Nederland. En natuurlijk zijn gedragscodes die onderling afgedwongen worden beter dan niets maar ervaring leert dat een interne dwang vaak leidt tot misstanden die niemand meer durft te melden. Hele verhaal van privacy begon namelijk toen een klokkenluider transparantie gaf.