Staatscourant van het Koninkrijk der Nederlanden

Datum publicatieOrganisatieJaargang en nummerRubriek
Autoriteit PersoonsgegevensStaatscourant 2019, 43001Overig

Ontwerpbesluit inzake de verklaring omtrent de Data Pro Code van Nederland ICT, Autoriteit Persoonsgegevens

Op 6 november 2018 heeft Nederland ICT de Autoriteit Persoonsgegevens (AP) verzocht om de Data Pro Code goed te keuren op grond van artikel 40, lid 5, van de Algemene Verordening Gegevensbescherming (AVG). Bij brief van 25 februari 2019 heeft Nederland ICT een aangepaste versie van de Data Pro Code ingediend, en deze versie is door de AP getoetst.

De Data Pro Code is een nadere uitwerking van de verplichtingen voor verwerkers op grond van artikel 28 AVG en is uitsluitend van toepassing op verwerkingen in Nederland.

Bij de Data Pro Code is een bijlage opgenomen met daarin een Standaard Verwerkersovereenkomst. De Standaard Verwerkersovereenkomst bestaat uit twee delen: het zogenoemde Data Pro Statement en Standaardclausules voor verwerkingen. Het Data Pro Statement biedt een gestructureerd raamwerk waarmee de verwerker de verwerkingsverantwoordelijke kan informeren over de waarborgen die hij biedt ten aanzien van de naleving van de AVG. De verwerker moet het Data Pro Statement invullen en publiceren of opnemen in het verwerkerscontract. Bij de Data Pro Code is nog een tweede bijlage opgenomen, met daarin uitgangspunten voor het privacybeleid en het Data Pro Statement (met toelichting). Deze laatstgenoemde bijlage is door de AP niet inhoudelijk getoetst.

Ontwerpbesluit

De Autoriteit Persoonsgegevens,

gelet op artikel 40 en 41 van de AVG,

gezien het schriftelijk verzoek van 6 november 2018 van Nederland ICT tot het goedkeuren van de Data Pro Code (de Gedragscode),

is voornemens te verklaren, op grond van de inhoud van de Gedragscode en de toelichting die Nederland ICT daarbij heeft verstrekt: dat de Gedragscode strookt met de AVG en voldoende passende waarborgen biedt zoals bedoeld in artikel 40, lid 5, AVG

onder de opschortende voorwaarde dat binnen twee jaar na de datum van bekendmaking van het definitieve besluit inzake de verklaring omtrent de Data Pro Code van Nederland ICT in de Staatscourant: er een orgaan is dat het toezicht uitoefent op de naleving van de Gedragscode zoals bedoeld in artikel 40, lid 4, AVG, en dat dit orgaan door de Autoriteit Persoonsgegevens is geaccrediteerd zoals bedoeld in artikel 41, lid 1, AVG.

Overwegingen ten aanzien van de ontvankelijkheid van het verzoek

Representativiteit van de indiener van de gedragscode

Nederland ICT is een branchevereniging die zichzelf omschrijft als belangenbehartiger en vertegenwoordiger van de Nederlandse ICT-sector. Nederland ICT geeft aan dat de leden een dwarsdoorsnede vormen van alle ICT-bedrijven in Nederland, van de allergrootste namen tot de kleinste starters. Op de ledenlijst op de website van Nederland ICT staan ruim 600 bedrijven. Nederland ICT heeft verklaard dat de Gedragscode niet exclusief voor de leden is. Ook niet-leden kunnen zich (vrijwillig) onderwerpen aan de Gedragscode. De AP is van oordeel dat Nederland ICT kan worden aangemerkt als voldoende representatief voor de sector.

Overleg met belanghebbenden bij het opstellen van de gedragscode

Nederland ICT heeft toegelicht dat de tekst van de Gedragscode in eerste instantie is vormgegeven door een kopgroep die bestond uit zowel grote als kleine en microbedrijven in de ICT-sector. In de kopgroep waren zowel verwerkingsverantwoordelijken aanwezig als verwerkers en externe deskundigen. Verder geeft Nederland ICT aan dat de tekst naderhand is besproken met relevante stakeholders en is aangepast naar aanleiding van die sessies. Bij de stakeholders noemt Nederland ICT onder meer VNO-NCW en CIO Platform Nederland. Ook geeft Nederland ICT aan dat er overleg is geweest met de Vereniging van Nederlandse Gemeenten (VNG). De AP is van oordeel dat Nederland ICT bij het opstellen van de Gedragscode voldoende heeft overlegd met belanghebbenden, en acht het aannemelijk dat Nederland ICT voldoende rekening heeft gehouden met de bijdragen en standpunten naar aanleiding van dit overleg.

Materieel toepassingsgebied van de gedragscode

In de Gedragscode geeft Nederland ICT aan dat deze een nadere uitwerking is van de verplichtingen voor verwerkers op grond van artikel 28 AVG. Dit blijkt ook uit de inhoud van de Gedragscode, aangezien deze is toegespitst op de verwerker. De AP is van oordeel dat Nederland ICT daarmee het materieel toepassingsgebied van de Gedragscode voldoende heeft bepaald.

Territoriaal toepassingsgebied van de gedragscode

De Gedragscode bepaalt dat deze uitsluitend van toepassing is op verwerkingen van persoonsgegevens in Nederland. De Gedragscode heeft geen betrekking op verwerkingsactiviteiten in verschillende lidstaten.

Aanwijzing van een orgaan dat toezicht houdt op de naleving

In de Gedragscode is opgenomen dat het toezicht op de naleving van de Gedragscode zal worden uitgeoefend door een onafhankelijke toezichthouder, de Data Pro Toezichthouder. De Data Pro Toezichthouder is nog niet opgericht. De AP is van oordeel dat Nederland ICT nog niet volledig heeft voldaan aan de voorwaarden voor goedkeuring van de Gedragscode aangezien de oprichting en de accreditatie van het toezichthoudend orgaan op grond van artikel 41, lid 1, AVG nog plaats moeten vinden. Om die reden is de AP voornemens om een opschortende voorwaarde te verbinden aan de goedkeuring van de Gedragscode.

Evaluatie en bijstelling van de gedragscode

In de Gedragscode geeft Nederland ICT aan dat deze ten minste eens per twee jaar zal worden geëvalueerd door het Data Pro Code College, en dat het Data Pro Code College de wijzigingen op de Gedragscode vaststelt. Bij wijzigingen in de Gedragscode wordt deze opnieuw aan de AP voorgelegd ter goedkeuring.

Nederland ICT heeft daarbij toegelicht dat veranderende wetgeving of inzichten op het gebied van de AVG bij de evaluatie zullen worden betrokken, evenals relevante ontwikkelingen op het gebied van de bescherming van persoonsgegevens en informatiebeveiliging. De AP is van oordeel dat Nederland ICT hiermee voldoende aannemelijk heeft gemaakt dat de Gedragscode regelmatig zal worden geëvalueerd en zal worden bijgesteld indien de omstandigheden dat vereisen.

Overwegingen ten aanzien van de inhoud van de gedragscode

Nut en noodzaak van de gedragscode

Nederland ICT geeft aan dat de Gedragscode geschreven is voor kleine en micro-ondernemingen die optreden als verwerker van persoonsgegevens. Daarbij geeft Nederland ICT aan dat veel grote ICT-bedrijven al jaren beschikken over privacybeleid, compliance-afdelingen en data protection officers, maar dat in het MKB, bij de kleine en micro ICT-ondernemingen behoefte bestaat aan concrete handvatten bij het toepassen van de AVG in hun dagelijkse praktijk. Nederland ICT heeft toegelicht welke praktijkvragen er bij de totstandkoming van de Gedragscode uit de discussies met de leden naar voren kwamen. Onder meer ging het om de vraag hoe een verwerker aan derden kan laten zien dat hij passende maatregelen heeft genomen om te voldoen aan de AVG, en hoe de verwerker kan voorkomen dat hij te maken krijgt met een te grote variëteit aan verwerkersovereenkomsten. Daarbij heeft Nederland ICT ook aangegeven welke keuzes er naar aanleiding van deze praktijkvragen bij het opstellen van de Gedragscode zijn gemaakt. Onder meer heeft Nederland ICT het Data Pro Statement en de Standaardclausules bij de gedragscode opgenomen om in de genoemde vragen te voorzien. Gezien het vorenstaande acht de AP het voldoende aannemelijk dat de Gedragscode in een behoefte voorziet binnen de sector waarvoor deze is bestemd.

Nadere toelichting van de AVG

Met de Data Pro Code wil Nederland ICT concrete gedragsregels geven voor verwerkers. De Gedragscode gaat daarbij in op het informeren van de opdrachtgever over de genomen beveiligingsmaatregelen, de inhoud van de verwerkersovereenkomst, de omgang met de rechten van betrokkenen en met datalekken, en op toetsing, evaluatie en aanpassing van de genomen beveiligingsmaatregelen. De opdrachtgever kan een verwerkingsverantwoordelijke zijn die bij het verwerken van persoonsgegevens een verwerker in wil schakelen, of een verwerker die gebruik wil maken van een sub-verwerker. Bij de Gedragscode is een zogenoemd Data Pro Statement opgenomen, dat de verwerker in moet vullen en moet publiceren of op moet nemen in het verwerkerscontract. Het Data Pro Statement biedt een gestructureerd raamwerk voor het informeren van de opdrachtgever over de genoemde zaken. Verder zijn bij de Gedragscode standaardclausules voor het verwerkerscontract opgenomen. De AP is van oordeel dat de Gedragscode voor de sector waarvoor deze is bestemd de verplichtingen voor verwerkers op grond van artikel 28 AVG voldoende toelicht.

Mechanismen voor het uitoefenen van toezicht op de naleving

In de Gedragscode geeft Nederland ICT aan dat de verwerker die de Gedragscode toepast zich onafhankelijk zal laten toetsen. De toetsing vindt jaarlijks plaats. Daarnaast kunnen er additionele toetsingen plaatsvinden op onregelmatige basis. Bij voldoende resultaat wordt de verwerker opgenomen in het openbaar toegankelijke Data Pro Register. De Data Pro Toezichthouder beheert dit register en maakt het openbaar, en kan verwerkers verwijderen uit het register indien de omstandigheden daar aanleiding toe geven. In de Gedragscode geeft Nederland ICT aan dat de Data Pro Toezichthouder zorg draagt voor een klachtenprocedure. Een klacht kan aanleiding zijn voor verwijdering uit het register. De AP is van oordeel dat de mechanismen die in de Gedragscode zijn opgenomen voor het uitoefenen van toezicht op de naleving toereikend zijn. Zoals hiervoor uiteen is gezet, is de Data Pro Toezichthouder op dit moment nog niet opgericht en geaccrediteerd. Om die reden is de AP voornemens om een opschortende voorwaarde te verbinden aan de goedkeuring van de Gedragscode.

Bevordering van doeltreffende uitvoering van de AVG

Artikel 28, lid 1, van de AVG verplicht de verwerkingsverantwoordelijke om, bij het inschakelen van een verwerker, uitsluitend een beroep te doen op verwerkers die afdoende garanties bieden met betrekking tot het toepassen van technische en organisatorische maatregelen, opdat de verwerking voldoet aan de vereisten van de AVG en de bescherming van de rechten van de betrokkenen is gewaarborgd. De Gedragscode ondersteunt verwerkers in de ICT-sector bij het bieden van een zodanige mate van transparantie over de geboden garanties dat verwerkingsverantwoordelijken bij de selectie van een verwerker tot een gefundeerde keuze kunnen komen. Gezien het vorenstaande is de AP van oordeel dat de Gedragscode de doeltreffende uitvoering van de AVG bevordert.

Geldigheid van de verklaring

Zoals hiervoor uiteen is gezet, is de Data Pro Toezichthouder op dit moment nog niet opgericht en geaccrediteerd. Om die reden is de AP voornemens om een opschortende voorwaarde te verbinden aan de goedkeuring van de Gedragscode. De voorgenomen verklaring van goedkeuring is geldig voor een periode van vijf jaar na de datum van bekendmaking van het definitieve besluit in de Staatscourant.

Terinzagelegging van de stukken

Op het ontwerpbesluit is op grond van artikel 14, tweede lid, van de Uitvoeringswet AVG, de ‘uniforme openbare voorbereidingsprocedure’ van afdeling 3.4 van de Algemene wet bestuursrecht (Awb) van toepassing. De zakelijke inhoud van het ontwerpbesluit wordt in de Staatscourant gepubliceerd. Het ontwerpbesluit en de daarop betrekking hebbende stukken zullen – ingevolge artikel 3:11 Awb – gedurende zes weken van maandag tot en met vrijdag, tussen 10:00 en 16:00, ter inzage liggen bij de AP, Bezuidenhoutseweg 30 te Den Haag. Voor het inzien van de stukken dient u een afspraak te maken.

Zienswijzen

Belanghebbenden kunnen mondeling of schriftelijk hun zienswijze naar voren brengen bij de AP (artikel 3:15 Awb). De termijn voor het naar voren brengen van zienswijzen bedraagt zes weken en vangt aan met ingang van de dag waarop het ontwerpbesluit ter inzage is gelegd (artikel 3:16 Awb). Indien binnen deze termijn geen zienswijze naar voren is gebracht, kan de mogelijkheid vervallen om tegen het definitieve besluit beroep in te stellen bij de rechtbank.

’s-Gravenhage, 25 juni 2019

Autoriteit Persoonsgegevens, Namens deze, C.M. Schut, Directeur Systeemtoezicht, beveiliging en technologie