Vergroot contrast

Gedragscodes

Een branche of sector kan een gedragscode opstellen voor de manier waarop deze omgaat met persoonsgegevens. In een gedragscode maakt de branche of sector de algemene normen uit de Algemene verordening gegevensbescherming (AVG) concreter.

Organisaties binnen de branche of sector kunnen zich vervolgens aansluiten bij de gedragscode. Daarmee leggen zij vast dat zij zich houden aan de in de gedragscode opgenomen bepalingen voor de bescherming van persoonsgegevens.

Goedkeuren gedragscode

Verenigingen of andere organen die een bepaalde groep van organisaties vertegenwoordigen, kunnen de Autoriteit Persoonsgegevens (AP) vragen om goedkeuring van een nieuwe gedragscode. Of van een wijziging of verlenging van een bestaande gedragscode.

Is de gedragscode in overeenstemming met de AVG? En biedt de gedragscode voldoende passende waarborgen? Dan keurt de AP de gedragscode goed.

Bekijk binnen het onderwerp Gedragscodes

Alle antwoorden op mijn vragenVragen over gedragscodes

  • Aan welke eisen moet een gedragscode voldoen?

    U kunt de Autoriteit Persoonsgegevens (AP) vragen om goedkeuring van een nieuwe gedragscode. Of van een wijziging of verlenging van een bestaande gedragscode. Bij de beoordeling van uw aanvraag kijkt de AP in elk geval naar de volgende eisen.

    • U bent als aanvrager een vertegenwoordiger van een bepaalde categorie verantwoordelijken of verwerkers.
    • U heeft als aanvrager bij het opstellen van uw gedragscode overlegd met belanghebbenden en, waar mogelijk, ook met betrokkenen (de mensen van wie de organisaties binnen uw branche of sector persoonsgegevens verwerken). U laat zien dat u rekening heeft gehouden met hun bijdragen en standpunten.
    • De gedragscode is in overeenstemming met de Algemene verordening gegevensbescherming (AVG) en biedt voldoende passende waarborgen.
    • De gedragscode is concreter dan de AVG.
    • De gedragscode is een juiste toepassing van de AVG en bevordert een doeltreffende uitvoering van de AVG. U houdt hierbij rekening met het specifieke karakter van de verwerkingen in uw branche of sector.
    • De gedragscode bevat mechanismen die een toezichthoudend orgaan in staat stellen het verplichte toezicht uit te oefenen op de naleving van de gedragscode.
    • Wijkt u af van de wettelijke bepalingen door in uw gedragscode slechts een gedeelte van een wettelijke bepaling op te nemen? Of door een wettelijke bepaling niet letterlijk over te nemen maar te parafraseren? Dan geeft u een toelichting waarom u dit heeft gedaan.

    Let op: de European Data Protection Board (EDPB), het Europese samenwerkingsverband van privacytoezichthouders, komt waarschijnlijk in het derde kwartaal van 2018 met guidance over gedragscodes onder de AVG. De eisen kunnen daardoor nog veranderen of aangevuld worden.

  • Wat moet ik vooral wel en niet doen als ik een gedragscode opstel?

    Gedragscodes moeten voldoen aan een aantal eisen. De volgende do’s & don’ts helpen u om uw gedragscode aan deze eisen te laten voldoen.

    WEL doen

    • Leg uit hoe de organisaties in uw branche of sector zullen voldoen aan de normen, niet dát zij zullen voldoen. Werk dus concreet – concreter dan de Algemene verordening gegevensbescherming (AVG) – uit hoe bepaalde normen in uw branche of sector moeten worden toegepast.
    • Draag bij aan de juiste toepassing en doeltreffende uitvoering van de AVG in uw branche of sector. Bijvoorbeeld door:
      - aan te geven welke grondslagen van toepassing zijn op welke sectorspecifieke verwerkingen;
      - bewaartermijnen uit te werken;
      - na te gaan hoe privacy by design en privacy by default kunnen worden toegepast, rekening houdend met de specifieke kenmerken van uw branche of sector;
      - in uw gedragscode te omschrijven welke branche- of sectorspecifieke categorieën van werkingen u kunt identificeren die organisaties in uw branche of sector in hun verwerkingsregister kunnen vastleggen.
    • Geef een toelichting als u afwijkt van de wettekst of deze parafraseert.
    • Leg uit waarom de gedragscode voorziet in toegevoegde waarde voor de sector.
    • Gaat uw gedragscode alleen over bepaalde onderdelen van de AVG? En omvat de gedragscode dus niet de gehele AVG? Maak dan duidelijk over welke onderdelen de gedragscode precies gaat.
    • Kijk of de verschillende bepalingen van uw gedragscode relatief makkelijk toetsbaar zijn. Dat geeft u een indicatie of uw gedragscode concreet genoeg is.

    NIET doen

    • Neem geen volledig gekopieerde teksten uit de AVG (of andere relevante wetgeving) op in uw gedragscode zonder branche- of sectorspecifieke toelichting of uitleg hoe de artikelen in uw branche of sector worden toegepast.
    • Zeg niet: ‘we hebben grondslagen voor onze verwerkingen’ of ‘we bewaren gegevens niet langer dan noodzakelijk’. Werk uit welke grondslagen voor welke verwerkingen in uw branche of sector van toepassing zijn. En werk uit welke bewaartermijnen gelden voor welke verwerkingen.
    • Wijk niet af van de wettekst door deze maar gedeeltelijk over te nemen of te parafraseren zonder uitleg waarom u afwijkt van de wettekst.
  • Wat is de procedure voor goedkeuring van een gedragscode?

    De goedkeuring van een gedragscode door de Autoriteit Persoonsgegevens (AP) verloopt via een aantal stappen.

    Ontwerpbesluit

    De AP neemt eerst een ontwerpbesluit om de gedragscode goed te keuren of om over de gedragscode een advies te geven. De AP publiceert dit ontwerpbesluit in de Staatscourant en op de AP-website.

    Zienswijze

    Na publicatie van het ontwerpbesluit kunnen belanghebbenden de stukken inzien. Zijn ze het niet eens met het ontwerpbesluit, dan kunnen ze een zienswijze geven. Deze fase duurt 6 weken.

    Definitief besluit

    Hierna neemt de AP een definitief besluit. De AP houdt hierbij rekening met eventuele zienswijzen. Dit besluit publiceert de AP ook in de Staatscourant en op de website.

    De AP mag maximaal 6 maanden doen over het uiteindelijk vast te stellen besluit. Maar gaat het om een zeer ingewikkeld of omstreden onderwerp? Dan mag de AP deze termijn van 6 maanden met een redelijke termijn verlengen.

    Beroep

    Is de aanvrager of een andere belanghebbende het niet eens met het besluit? Dan kan diegene binnen 6 weken na deze publicatie beroep instellen bij de rechtbank. Is de beroepstermijn verstreken en heeft niemand hiervan gebruikgemaakt? Dan is het besluit onherroepelijk.

    Let op: wil een belanghebbende beroep instellen tegen het besluit, maar heeft diegene in een eerder stadium geen zienswijze gegeven? Dan kan dit tot gevolg hebben dat diegene geen beroep in kan stellen. Deze beoordeling vindt door de rechter plaats, niet door de AP.

  • Wat is de procedure voor goedkeuring als de gedragscode over verwerkingen in meerdere lidstaten gaat?

    Gaat een gedragscode over verwerkingsactiviteiten in verschillende EU-lidstaten? Dan legt de Autoriteit Persoonsgegevens (AP), of een privacytoezichthouder uit een andere lidstaat, de gedragscode voor aan de European Data Protection Board (EDPB).

    De EDPB is het Europese samenwerkingsverband van privacytoezichthouders. Pas na het advies van de EDPB keurt de AP de gedragscode goed.

    Europese Commissie

    Vindt de EDPB dat de gedragscode in lijn is met de Algemene verordening gegevensbescherming (AVG) en dat deze voldoende passende waarborgen heeft? Dan kan de EDPB dit advies voorleggen aan de Europese Commissie.

    De Europese Commissie heeft de mogelijkheid de goedgekeurde gedragscode algemeen te verklaren binnen de Europese Unie.

  • Hoe wordt het toezicht ingericht op de naleving van gedragscodes?

    De Algemene verordening gegevensbescherming (AVG) bepaalt dat elke gedragscode mechanismen heeft waardoor een toezichthoudend orgaan het verplichte toezicht kan uitvoeren. Dit toezichthoudend orgaan kan worden geaccrediteerd door de Autoriteit Persoonsgegevens (AP) of een andere Europese toezichthouder.

    Het toezichthoudende orgaan houdt toezicht op de naleving van de bepalingen in de gedragscode. Bijvoorbeeld door de werking van de gedragscode periodiek toetsen.

    Daarnaast beoordeeld dit orgaan of verantwoordelijken en verwerkers in aanmerking komen om de gedragscode toe te passen. Tot slot behandelt het toezichthoudende orgaan klachten over inbreuken op de gedragscode.

    Eisen voor accreditatie

    Zo’n toezichthoudend orgaan kan geaccrediteerd worden als het:

    • zijn onafhankelijkheid en deskundigheid bij het onderwerp van de gedragscode heeft aangetoond;
    • procedures heeft vastgesteld waarmee het kan beoordelen of de betrokken verantwoordelijken en verwerkers de gedragscode mogen toepassen;
    • toezicht kan houden op de naleving van de gedragscode en de werking van de gedragscode periodiek kan toetsen;
    • procedures heeft vastgesteld om klachten te behandelen over inbreuken op de gedragscode of over hoe een verantwoordelijke of verwerker omgaat met deze gedragscode;
    • deze procedures voor betrokkenen en het publiek transparant heeft gemaakt;
    • aantoont dat zijn taken en bevoegdheden niet tot een belangenconflict leiden.

    Let op: deze eisen kunnen nog veranderen of aangevuld worden.

    Overleg met EDPB

    De AP stelt ontwerpcriteria op voor de accreditatie van zo’n toezichthoudend orgaan. Deze ontwerpcriteria legt de AP voor aan de European Data Protection Board (EDPB). Dat is het Europese samenwerkingsverband van privacytoezichthouders.

    Nadat de EDPB deze criteria heeft goedgekeurd, kan de AP een toezichthoudend orgaan accrediteren.