Branchevereniging NLdigital (voorheen Nederland ICT) heeft de AVG-gedragscode Data Pro Code opgesteld voor verwerkers in de ICT-sector. Deze gedragscode is een praktische vertaling van de AVG voor verwerkers. Door te voldoen aan de code, bewijst een ICT-organisatie aan klanten dat hij AVG-proof is. Wat de Data Pro Code precies inhoudt, leest u in deze blog.
De Data Pro Code is van toepassing op verwerkingen in Nederland en geldt voor verwerkers in de ICT-sector. Zij kunnen zich laten certificeren volgens deze gedragscode, waarmee ze aantonen te voldoen aan de AVG.
De gedragscode gaat in op het informeren van de opdrachtgever (verwerkingsverantwoordelijke) over de genomen beveiligingsmaatregelen, de inhoud van de verwerkersovereenkomst, de omgang met de rechten van betrokkenen en met datalekken. Daarnaast laat het zien hoe om te gaan met toetsing, evaluatie en aanpassing van de genomen beveiligingsmaatregelen.
De Autoriteit Persoonsgegevens (AP) heeft de Data Pro Code deze zomer voorlopig goedgekeurd. Alleen een toezichthoudend orgaan ontbreekt nog voor een definitieve GO.
Data Pro Statement invullen
Verwerkers die zich willen certificeren, beginnen met het invullen van een Data Pro Statement. Dit is een uitstekende checklist voor verwerkers. Het toont aan hoe wordt omgegaan met (de beveiliging van) persoonsgegevens.
Uit het Data Pro Statement kan de opdrachtgever opmaken in hoeverre de genomen beveiligingsmaatregelen adequaat zijn ten aanzien van de door hem afgenomen dienst of product en de verwerking van persoonsgegevens.
Het Data Pro Statement dient opgenomen te worden in de verwerkersovereenkomst. De verwerkersovereenkomst zal naast het Data Pro Statement ook bestaan uit de standaardclausules voor verwerkingen of een daarmee vergelijkbare verwerkersovereenkomst.
Maar wat staat er nu precies in het Data Pro Statement?
In het Data Pro Statement wordt ten minste opgenomen:
het door de verwerker gekozen information security management systeem, de beveiligingsnorm(en) of -standaard;
de – indien van toepassing –certificering(en) van de verwerker;
of en welke (sub)verwerkers door de verwerker worden ingezet;
op welke wijze gedurende de looptijd van de overeenkomst de persoonsgegevens van opdrachtgever verwijderd kunnen worden;
de bewaartermijn, indien wordt afgeweken van een vernietigingstermijn van 3 maanden;
de contactgegevens van de contactpersoon voor dataprotectie binnen de organisatie van de verwerker.
In het Data Pro Statement informeert de verwerker tenminste over de volgende beveiligingsmaatregelen:
pseudonimisering en versleuteling van persoonsgegevens;
het vermogen om op een permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te garanderen;
het vermogen om bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen (back-ups, redundantie).
Toezichthoudend orgaan
De Data Pro Code moet natuurlijk ook nageleefd worden. Hiervoor is een toezichthoudend orgaan nodig, dat door NLdigital in het leven moet worden geroepen. Dit orgaan zal tevens beoordelen of de aangesloten verwerkers de gedragscode kunnen toepassen. Daarnaast neemt het de klachten over inbreuken op de gedragscode in behandeling.
Op dit moment heeft NLdigital nog geen toezichthoudend orgaan opgericht. Daarom heeft de AP de Data Pro Code voorlopig goedgekeurd. Zodra het toezichthoudend orgaan is geaccrediteerd door de AP, is de Data Pro Code de eerste goedgekeurde AVG-gedragscode in Nederland.
Certificering is al wel mogelijk
Als verwerker wil je natuurlijk aan je klanten kunnen bewijzen dat je voldoet aan de AVG. Verwerkers die aantoonbaar in voldoende mate voldoen aan de eisen van de gedragscode, worden opgenomen in het (openbare) Data Pro register.
Verwerkers die zijn opgenomen in het register, hebben het recht op het Data Pro Certificate. Hiermee kunnen zij aantonen dat zij zich houden aan de gedragscode. De eerste bedrijven hebben zich inmiddels gecertificeerd.
Een toezichthouder is wel hoognodig. Die moet verwerkers die niet meer voldoen aan de eisen namelijk verwijderen uit het register. Wanneer het toezichthoudend orgaan er echter is, is nog niet bekend.
Blijf op de hoogte
Op de hoogte blijven van deze en andere ontwikkelingen? Meldt u zich dan nu aan voor de maandelijkse nieuwsbrief van Legalz.