AVG-gedragscode

Aan welke eisen moet een gedragscode voldoen?

Een gedragscode welke bepaalt hoe er wordt omgegaan met persoonsgegevens, kan voor elke afzonderlijke branche worden opgesteld. Met de behulp van een aparte gedragscode kunnen de algemene normen die zijn vastgelegd in de Algemene verordening gegevensbescherming (AVG) concreter worden gemaakt.

Voor organisaties en onderneming die binnen de bewuste branche actief zijn, kunnen zich aansluiten bij de gedragscode en deze in hun organisatie toepassen. Dit betekent kortweg dat men zich zal gaan houden aan hetgeen er in de gedragscode is vastgelegd om de persoonsgegevens te beschermen.

Goedkeuren gedragscode

Ook voor de AP (Autoriteit Persoonsgegevens) is een rol weggelegd ten aanzien van de gedragscode. Als bepaalde organisaties of verenigingen een groep vertegenwoordigen, dan kan de AP worden gevraagd om de vastgestelde gedragscode goed te keuren. De gedragscode kan ook aan de AP worden voorgelegd ter goedkeuring als er sprake is van een wijziging of verlenging van de gedragscode.

De goedkeuring van de gedragscode door de AP is geen formaliteit. De gedragscode wordt enkel op basis van de eisen voor een gedragscode goedgekeurd. Het is dus van belang dat de gedragscode voldoet aan die eisen. Een belangrijk punt hierbij is dat er bij de gedragscode, sprake is van een concrete uitwerking van de AVG.

 Aan welke eisen moet een gedragscode voldoen?

Om goedkeuring te krijgen van een nieuwe gedragscode, dient u deze voor te leggen aan de Autoriteit Persoonsgegevens (AP). Dit is ook het geval als er sprake is van een wijziging of verlenging van de gedragscode die u in uw organisatie momenteel gebruikt. De AP kijkt hierbij naar de volgende eisen:

Eisen gedragscodes

  • Als aanvrager bent u een vertegenwoordiger van een bepaalde categorie verantwoordelijken of verwerkers.
  • De bijdrage van de betrokkenen (de mensen binnen uw organisatie die zich bezig houden met de verwerking van persoonsgegevens) is van groot belang. Uit de aanvraag dient duidelijk te blijken dat er rekening is gehouden met hun visie en inbreng.
  • De gedragscode moet in overeenstemming zijn met de Algemene verordening gegevensbescherming (AVG). De gedragscode moet daarnaast voldoende waarborgen bevatten.
  • De nieuw opgestelde of gewijzigde gedragscode is concreter dan de AVG.
  • De gedragscode is een juiste toepassing van de AVG en bevordert een doeltreffende uitvoering van de AVG. U houdt hierbij rekening met het specifieke karakter van de verwerkingen in uw branche of sector.
  • In de gedragscode moeten mechanismen zijn opgenomen waardoor een toezichthoudend orgaanin staat is om de verplichte taken uit te voeren. Hieronder valt het houden van toezicht op de naleving van de gedragscode.
  • Als er door de (nieuwe) gedragscode wordt afgeweken van de wettelijke bepalingen dient het duidelijk te zijn waarom hiervoor wordt gekozen. Dit geldt ook voor de situatie waarin slechts een deel van een wettelijke bepaling is opgenomen of wanneer deze niet letterlijk wordt overgenomen.


Guidelines gedragscodes

Voor meer informatie over de eisen en richtlijnen kunt u hier kijken:

Guidelines on Codes of Conduct and Monitoring Bodies van de Europese privacytoezichthouders.

Wat moet ik vooraf wel en niet als ik een gedragscode opstel?

Er zijn een aantal eisen waar een opgestelde gedragscode aan moet voldoen. De volgende richtlijnen laten duidelijk zien wat wel en wat juist niet gedaan moet worden. Het zijn handvaten die helpen bij het voldoen aan de eisen als u aan de slag gaat met het opstellen of wijzigen van uw eigen gedragscode.

Wel doen

  • Wees concreet en schep duidelijkheid. Het is belangrijk om te communiceren op welke wijze de organisaties in uw branche voldoen aan de normen. Zorg er dus voor dat dit concreter is dan hetgeen wordt vermeld in de Algemene verordening gegevensbescherming (AVG). Hiermee maakt u duidelijk hoe er in uw branche of sector wordt omgegaan met de specifieke normen.
  • Dor een aantal zaken in het oog te houden kunt u bijdragen aan het op een correcte manier toepassen en uitvoeren van de AVG. Dit kan door de volgende acties:
    – geef duidelijk aan welke grondslagen van toepassing zijn op de specifieke verwerkingen.
    – werk de juiste bewaartermijnen uit.
    – Kijk goed op welke manier het principe van ‘privacy by design’en ‘privacy by default’ kan worden toegepast. Hierbij dient u rekening te houden met de specifieke kenmerken van de betreffende branche of sector;
    – omschrijf in de gedragscode de branche- of sectorspecifieke categorieën van verwerkingen. U dient deze te kunnen identificeren hoe de organisaties in uw branche of sector deze in het verwerkingsregister kunnen vastleggen.
  • Als er sprake is van een afwijking van de gangbare wettekst of deze parafraseert, licht dit dan toe.
  • Laat zien wat de toegevoegde waarde is van de gedragscode voor uw sector of branche.
  • Als de gedragscode enkel van toepassing is op specifieke onderdelen van de AVG, laat dan duidelijk zien op welke onderdelen van de AVG dit van toepassing is.
  • Beoordeel zelf of de verschillende bepalingen van uw gedragscode toetsbaar zijn. Hiermee krijgt u zelf een antwoord op de vraag of de opgestelde gedragscode concreet genoeg is.

NIET doen

  • Voorkom dat u hele delen uit de AVG (of andere relevante wetgeving) in uw gedragscode opneemt zonder duidelijke uitleg op toelichting in relatie tot uw branche of sector.
  • Voorkom in de gedragscode zinnen als: ‘we hebben grondslagen voor onze verwerkingen’ of ‘we bewaren gegevens niet langer dan noodzakelijk’. Communiceer in de gedragscode duidelijk welke grondslagen u toepast, en welke verwerkingen van toepassing zijn in uw branche of sector.
  • Neem geen wettekst gedeeltelijk over zonder duidelijke toelichting. Dit is ook van toepassing als u parafraseert.

 

Wat is de procedure voor goedkeuring van een gedragscode?

De goedkeuring van een gedragscode behoort tot het takenpakket van de Autoriteit Persoonsgegevens (AP). De feitelijke goedkeuring kent een viertal stappen.

Ontwerpbesluit

De eerste stap omhelst het ontwerpbesluit. De Autoriteit Persoonsgegevens (AP) publiceert dit ontwerp besluit op haar eigen website én in de Staatscourant. In dit ontwerpbesluit kan de gedragscode worden goedgekeurd of juist een advies bevatten.

Zienswijze

Nadat het ontwerpbesluit is gepubliceerd, kunnen belanghebbenden inzicht krijgen. Indien ze reden hebben om het niet eens te zijn met de strekking van het ontwerpbesluit, kan men de zienswijze geven. Deze fase duurt zes weken.

Definitief besluit

Na de tweede fase volgt een definitief besluit door de AP. Hierbij houdt de Autoriteit Persoonsgegevens rekening met eventuele zienswijzen. Ook dit besluit wordt zowel op de website van de AP als in de Staatscourant gepubliceerd.

Voor de uiteindelijke vaststelling van het besluit staat een maximale termijn van zes maanden. Het is echter mogelijk dat deze termijn wordt verlengd als er sprake is van een complex of omstreden onderwerp.

Beroep

Na de definitieve publicatie kan de aanvrager of een andere belanghebbende in beroep gaan tegen het besluit als deze het er niet mee eens is. Is er in een periode van zes weken na de definitieve publicatie geen beroep ingesteld, dan is het besluit onherroepelijk geworden en zijn er geen beroepsmogelijkheden meer. Een eventuele beroepsprocedure loopt altijd via de rechtbank. Indien er beroep tegen het besluit wordt ingesteld door een belanghebbende die in een eerder stadium geen gebruik heeft gemaakt van de mogelijkheid om zijn of haar zienswijze kenbaar te maken, dan kan de rechtban oordelen dat een beroep niet mogelijk is. De beoordeling is voorbehouden aan de rechtbank en niet aan de AP.

Wat is de procedure voor goedkeuring als de gedragscode over verwerkingen in meerdere lidstaten gaat?

Als een gedragscode betrekking heeft op verwerkingsactiviteiten in verschillende EU-lidstaten, dan is er sprake van een andere situatie. In dat geval zal de Autoriteit Persoonsgegevens (of een vergelijkbare instantie uit een andere Eu-land), de gedragscode voorleggen aan de European Data Protection Board (EDPB).

Dit orgaan, de EDPB is het Europese samenwerkingsverband van privacytoezichthouders. Pas nadat het advies van de EDPB door de AP is ontvangen zal de AP de gedragscode goedkeuren.

Europese Commissie

Als de EDPB van mening is dat de voorgestelde gedragscode in overeenstemming is met de eisen zoals deze zijn vastgelegd in de AVG  (Algemene verordening gegevensbescherming) en dat er ook sprake is van voldoende (passende) waarborgen, dan kan de EDPB het uitgebrachte advies voorleggen aan de Europese Commissie.

De goedgekeurde gedragscode kan door de Europese Commissie algemeen bindend worden verklaard voor de gehele Europese Unie.

Hoe wordt het toezicht ingericht op de naleving van gedragscodes?

Een van de bepalingen binnen de AVG (Algemene verordening gegevensbescherming) is dat elke gedragscode mechanismen moet bevatten zodat een toezichthoudend orgaan in staat is om het verplichte toezicht uit te voeren. De accreditatie voor dit toezichthoudende orgaan ligt in handen van de Autoriteit Persoonsgegevens (AP) of een andere Europese toezichthouder.

Een van de taken van dit toezichthoudende orgaan is toezien op de naleving van de bepalingen in de (goedgekeurde) gedragscode. Dit kan gebeuren door een periodieke toetsing van de gedragscode.

Naast de (periodieke) toetsing heeft dit orgaan ook de mogelijkheid om te beoordelen wie in aanmerking komen om de gedragscode toe te passen. In de meeste gevallen zal dit betrekking hebben op de verantwoordelijken en verwerkers. Eventueel gerapporteerde inbreuken op de gedragscode worden ook door dit orgaan behandeld.

Eisen voor accreditatie

Voordat een toezichthoudend orgaan geaccrediteerd kan worden. Moet het voldoen aan enkele eisen:

De onafhankelijkheid van het orgaan en de aanwezige deskundigheid ten aanzien van het onderwerp van de gedragscode, moet worden aangetoond.

Het orgaan moet procedures hebben vastgesteld welke gebruikt worden om te kunnen oordelen of de betrokken verantwoordelijken en verwerkers de gedragscode mogen toepassen.

Er dienen procedures te zijn vastgesteld om klachten in behandeling te nemen omtrent inbreuk(en) op de gedragscode. Ook dient duidelijk te zijn welke procedures van toepassing zijn omtrent de vraag hoe een verantwoordelijke of verwerker om dient te gaan met de gedragscode.

Het orgaan dient deze procedures transparant te maken voor alle betrokkenen en het publiek.

Het orgaan moet tevens aantonen de er geen sprake is van een belangenconflict bij de uitvoering van de taken en bevoegdheden.

NB: deze hierboven vermelde eisen kunnen in de loop der tijd nog veranderen of aangepast worden.

Overleg met EDPB

De ontwerpcriteria voor de accreditatie van zo’n (toezichthoudend) orgaan wordt voorgelegd aan de European Data Protection Board (EDPB), het Europese samenwerkingsverband van privacytoezichthouders. Na goedkeuring door de EDPB is de AP in staat om een toezichthoudend orgaan te accrediteren.

Meer informatie over: Algemene Verordening Gegevensbescherming

bron digitale overheid