Doorbraak: Autoriteit Persoonsgegevens keurt voor de eerste keer gedragscode branche goed

Voor de eerste keer in haar bestaan heeft de Autoriteit Persoonsgegevens (AP) de privacy-gedragscode van een branchevereniging goedgekeurd. De betreffende branche ‘ICT-sector’ heeft een certificering ingevoerd waarmee haar leden kunnen aantonen dat ze aan de verplichtingen van de AVG voldoen.

De gedragscode met de naam Data Pro Code geldt voor bedrijven die zijn aangesloten bij de branchevereniging van de ICT-sector NLdigital. De Data Pro Code stelt voor de ICT-sector vast hoe bedrijven moeten omgaan met het verwerken van (persoons)gegevens. Leden kunnen zich laten keuren en kunnen een officiële certificering ontvangen.

De ICT-sector merkte dat het in de praktijk lastig is voor haar leden om te kunnen aantonen dat ze voldoen aan de gestelde regels in de AVG en ontwikkelde hiervoor duidelijkere en specifiekere richtlijnen.

Zo zijn er in de Data Pro Code regels opgenomen die ook in de AVG staan, maar meer toespitst zijn op de ICT-sector. Zo moeten bedrijven duidelijk maken waarom ze persoonsgegevens opslaan, wat de bewaartermijnen zijn en die vervolgens noteren in het zogenaamde Data Pro Statement. Bedrijven nemen hierin ook gegevens op die niet verplicht zijn gesteld in de AVG (zoals welke certificeringen bedrijven hebben en hoe vaak er interne controles worden uitgevoerd). Ook is er in de code meer geregeld over het melden van een datalek.

De AP heeft de Data Pro Code officieel goedgekeurd. Dit betekent dat de AP heeft vastgesteld dat de opgenomen regels voldoen aan de AVG. Deze goedkeuring heeft een juridische status binnen de AVG.

Het is de eerste keer dat de AP een gedragscode goedkeurt, maar sluit niet uit dat andere branches binnenkort volgen. De AP heeft in haar beleid opgenomen dat het haar voorkeur heeft dat brancheverenigingen eigen gedragscodes ontwikkelen.

#Aim2Security Community

#Aim2Legal