AVG-gedragscode

Alle antwoorden op mijn vragenVragen over gedragscodes

• Aan welke eisen moet een gedragscode voldoen?

  U kunt de Autoriteit Persoonsgegevens (AP) vragen om goedkeuring van een nieuwe gedragscode. Of van een wijziging of verlenging van een bestaande gedragscode. Bij de beoordeling van uw aanvraag kijkt de AP in elk geval naar de volgende eisen.

  Eisen gedragscodes

  • U bent als aanvrager een vertegenwoordiger van een bepaalde groep verantwoordelijken of verwerkers. Deze groep kan een branche of sector zijn. De groep kan ook bestaan uit verantwoordelijken of verwerkers die uit verschillende branches of sectoren komen, maar die wel dezelfde soort verwerking uitvoeren.
  • U heeft als aanvrager bij het opstellen van uw gedragscode overlegd met belanghebbenden en, waar mogelijk, ook met betrokkenen (de mensen van wie de organisaties binnen uw groep persoonsgegevens verwerken). U laat zien dat u rekening heeft gehouden met hun bijdragen en standpunten.
  • De gedragscode is in overeenstemming met de Algemene verordening gegevensbescherming (AVG) en biedt voldoende passende waarborgen.
  • De gedragscode is concreter dan de AVG.
  • De gedragscode is een juiste toepassing van de AVG en bevordert een doeltreffende uitvoering van de AVG. U houdt hierbij rekening met het specifieke karakter van de verwerkingen in uw groep.
  • De gedragscode bevat mechanismen die een toezichthoudend orgaan in staat stellen het verplichte toezicht uit te oefenen op de naleving van de gedragscode.
  • Wijkt u af van de wettelijke bepalingen door in uw gedragscode slechts een gedeelte van een wettelijke bepaling op te nemen? Of door een wettelijke bepaling niet letterlijk over te nemen maar te parafraseren? Dan geeft u een toelichting waarom u dit heeft gedaan.

  Guidelines gedragscodes

  Voor meer informatie, zie de EDPB-guidelines gedragscodes en toezichthoudende organen (Nederlandse vertaling) of EDPB-guidelines on codes of conduct and monitoring bodies (oorspronkelijke Engelstalige tekst).

  Let op: de tekst van deze guidelines in de Engelse taal is authentiek. Bij interpretatieverschillen is de Engelse tekst leidend.

• Wat moet ik vooral wel en niet doen als ik een gedragscode opstel?

  Gedragscodes moeten voldoen aan een aantal eisen. De volgende do’s & don’ts helpen u om uw gedragscode aan deze eisen te laten voldoen.

  WEL doen

  • Leg uit hoe de organisaties in uw groep (zoals uw branche of sector) zullen voldoen aan de normen, niet dát zij zullen voldoen. Werk dus concreet – concreter dan de Algemene verordening gegevensbescherming (AVG) – uit hoe bepaalde normen in uw groep moeten worden toegepast.
  • Draag bij aan de juiste toepassing en doeltreffende uitvoering van de AVG in uw groep. Bijvoorbeeld door:
    - aan te geven welke grondslagen van toepassing zijn op welke groepsspecifieke verwerkingen;
    - bewaartermijnen uit te werken;
    - na te gaan hoe privacy by design en privacy by default kunnen worden toegepast, rekening houdend met de specifieke kenmerken van uw groep;
    - in uw gedragscode te omschrijven welke specifieke soorten verwerkingen u kunt identificeren die organisaties in uw groep in hun verwerkingsregister kunnen vastleggen.
  • Geef een toelichting als u afwijkt van de wettekst of deze parafraseert.
  • Leg uit waarom de gedragscode voorziet in toegevoegde waarde voor uw groep.
  • Gaat uw gedragscode alleen over bepaalde onderdelen van de AVG? En omvat de gedragscode dus niet de gehele AVG? Maak dan duidelijk over welke onderdelen de gedragscode precies gaat.
  • Kijk of de verschillende bepalingen van uw gedragscode relatief makkelijk toetsbaar zijn. Dat geeft u een indicatie of uw gedragscode concreet genoeg is.

  NIET doen

  • Neem geen volledig gekopieerde teksten uit de AVG (of andere relevante wetgeving) op in uw gedragscode zonder groepsspecifieke toelichting of uitleg hoe de artikelen in uw groep worden toegepast.
  • Zeg niet: ‘we hebben grondslagen voor onze verwerkingen’ of ‘we bewaren gegevens niet langer dan noodzakelijk’. Werk uit welke grondslagen voor welke verwerkingen in uw groep van toepassing zijn. En werk uit welke bewaartermijnen gelden voor welke verwerkingen.
  • Wijk niet af van de wettekst door deze maar gedeeltelijk over te nemen of te parafraseren zonder uitleg waarom u afwijkt van de wettekst.
• Wat is de procedure voor goedkeuring van een gedragscode?

  De goedkeuring van een gedragscode door de Autoriteit Persoonsgegevens (AP) verloopt via een aantal stappen.

  Ontwerpbesluit

  De AP neemt eerst een ontwerpbesluit om de gedragscode goed te keuren of om over de gedragscode een advies te geven. De AP publiceert dit ontwerpbesluit in de Staatscourant en op de AP-website.

  Zienswijze

  Na publicatie van het ontwerpbesluit kunnen belanghebbenden de stukken inzien. Zijn ze het niet eens met het ontwerpbesluit, dan kunnen ze een zienswijze geven. Deze fase duurt 6 weken.

  Definitief besluit

  Hierna neemt de AP een definitief besluit. De AP houdt hierbij rekening met eventuele zienswijzen. Dit besluit publiceert de AP ook in de Staatscourant en op de website.

  De AP mag maximaal 6 maanden doen over het uiteindelijk vast te stellen besluit. Maar gaat het om een zeer ingewikkeld of omstreden onderwerp? Dan mag de AP deze termijn van 6 maanden met een redelijke termijn verlengen.

  Beroep

  Is de aanvrager of een andere belanghebbende het niet eens met het besluit? Dan kan diegene binnen 6 weken na deze publicatie beroep instellen bij de rechtbank. Is de beroepstermijn verstreken en heeft niemand hiervan gebruikgemaakt? Dan is het besluit onherroepelijk.

  Let op: wil een belanghebbende beroep instellen tegen het besluit, maar heeft diegene in een eerder stadium geen zienswijze gegeven? Dan kan dit tot gevolg hebben dat diegene geen beroep in kan stellen. Deze beoordeling vindt door de rechter plaats, niet door de AP.

• Wat is de procedure voor goedkeuring als de gedragscode over verwerkingen in meerdere lidstaten gaat?

  Gaat een gedragscode over verwerkingsactiviteiten in verschillende EU-lidstaten? Dan legt de Autoriteit Persoonsgegevens (AP), of een privacytoezichthouder uit een andere lidstaat, de gedragscode voor aan de European Data Protection Board (EDPB).

  De EDPB is het Europese samenwerkingsverband van privacytoezichthouders. Pas na het advies van de EDPB keurt de AP de gedragscode goed.

  Europese Commissie

  Vindt de EDPB dat de gedragscode in lijn is met de Algemene verordening gegevensbescherming (AVG) en dat deze voldoende passende waarborgen heeft? Dan kan de EDPB dit advies voorleggen aan de Europese Commissie.

  De Europese Commissie heeft de mogelijkheid de goedgekeurde gedragscode algemeen te verklaren binnen de Europese Unie.

• Hoe wordt het toezicht ingericht op de naleving van gedragscodes?

  De Algemene verordening gegevensbescherming (AVG) bepaalt dat elke gedragscode mechanismen heeft waardoor een toezichthoudend orgaan het verplichte toezicht kan uitvoeren. Dit toezichthoudend orgaan kan worden geaccrediteerd door de Autoriteit Persoonsgegevens (AP) of een andere Europese toezichthouder.

  Het toezichthoudende orgaan houdt toezicht op de naleving van de bepalingen in de gedragscode. Bijvoorbeeld door de werking van de gedragscode periodiek te toetsen.

  Daarnaast beoordeelt dit orgaan of verantwoordelijken en verwerkers in aanmerking komen om de gedragscode toe te passen. Tot slot behandelt het toezichthoudende orgaan klachten over inbreuken op de gedragscode.

  Let op: is een gedragscode van toepassing in meerdere sectoren of branches? Dan kunnen er meerdere toezichthoudende organen aangewezen worden.

  Algemene eisen accreditatie

  In artikel 41 van de AVG staat een aantal algemene eisen voor accreditatie. Een toezichthoudend orgaan kan worden geaccrediteerd als het:

  • zijn onafhankelijkheid en deskundigheid bij het onderwerp van de gedragscode heeft aangetoond;
  • procedures heeft vastgesteld waarmee het kan beoordelen of de betrokken verantwoordelijken en verwerkers de gedragscode mogen toepassen;
  • toezicht kan houden op de naleving van de gedragscode en de werking van de gedragscode periodiek kan toetsen;
  • procedures heeft vastgesteld om klachten te behandelen over inbreuken op de gedragscode of over hoe een verantwoordelijke of verwerker omgaat met deze gedragscode;
  • deze procedures voor betrokkenen en het publiek transparant heeft gemaakt;
  • aantoont dat zijn taken en bevoegdheden niet tot een belangenconflict leiden.

  Specifieke vereisten accreditatie

  Elke nationale privacytoezichthouder (in Nederland: de AP) stelt vervolgens specifieke vereisten op voor de accreditatie van een toezichthoudend orgaan. Deze specifieke vereisten zijn een nadere invulling van de algemene eisen uit de AVG.

  De nationale toezichthouder legt de specifieke vereisten voor advies voor aan de European Data Protection Board (EDPB), het Europese samenwerkingsverband van privacytoezichthouders.

  Op 23 februari 2021 heeft de AP de specifieke vereisten voor accreditatie vastgesteld. Op 10 maart 2021 zijn de vereisten gepubliceerd in de Staatscourant.

  Let op: de tekst van deze vereisten in de Engelse taal is authentiek. Bij interpretatieverschillen is de Engelse tekst leidend.

  • NL accreditation requirements for GDPR code of conduct monitoring bodies
  • NL accreditatie-vereisten voor organen die toezicht houden op de AVG-gedragscode