Hoe kan het behalen van een certificaat of het oprichten van een gedragscode je helpen om compliancy aan te tonen?

Zoals je hoogstwaarschijnlijk nu wel weet brengt de privacyverordening, die in de lente van 2018 van toepassing is, vele nieuwe regels en verplichtingen voor organisaties met zich mee. Het is voor de toezichthouder echter een intensieve klus om te controleren of elke verwerking van persoonsgegevens in overeenstemming is met de privacyverordening. Een gedragscode of certificaat kan een hulpmiddel zijn om aan te tonen dat een organisatie compliant is met veel van de verplichtingen van de verordening. In deze blogpost leg ik daarom het mechanisme van gedragscodes en certificering van de privacyverordening onder de loep.

Wat houden gedragscodes en certificaten in?

Gedragscodes en certificaten houden in principe in dat een organisatie bindende beloftes maakt waar derde partijen hem aan kunnen houden. Onder de privacyverordening neemt het belang ervan aanzienlijk toe, met name omdat er meer controle zal zijn op de naleving ervan en omdat boetes kunnen worden opgelegd tot 10 miljoen euro of 2% van de wereldwijde jaaromzet van een organisatie. Belangrijk om te weten is dat bij het opleggen van zo een boete de toezichthouder rekening houdt met het gegeven of de organisatie is aangesloten bij een gedragscode of certificaat.

Naast het belang om compliancy aan te tonen fungeren gedragscodes en certificaten, als alternatief op BCR’s (binding corporate rules) en standard contractual clauses, als mogelijke grondslag voor internationale uitwisselingen van persoonsgegevens (samen met een ‘binding and enforceable commitment’ verklaring) en kunnen ze worden gebruikt om aan te tonen dat passende beveiligingsmaatregelen zijn genomen.

Gedragscodes

Gedragscodes zorgen ervoor dat best practices worden ontwikkeld voor een bepaalde branche of sector. In de privacyverordening zijn onderwerpen opgenomen waar gedragscodes in ieder geval regels over moeten bevatten:

  • een transparante verwerking;
  • de gerechtvaardigde belangen die door de verantwoordelijke worden behartigd;
  • het verzamelen van gegevens;
  • pseudonimisering van gegevens;
  • beveiligingsmaatregelen;
  • de doorgifte van gegevens aan andere landen of internationale organisaties.

Private organisaties kunnen ook gedragscodes opstellen. Dan zijn zij verplicht een concept van de gedragscode voor te leggen aan de AP. De AP beoordeelt of de gedragscode voldoende waarborgen bevat.

Als de gedragscode betrekking heeft op verwerkingen in meerdere lidstaten moet ook het Europese Comité voor gegevensbescherming en de Europese Commissie worden gevraagd om advies en goedkeuring. Eenmaal goedgekeurde gedragscodes worden gepubliceerd in een register van de Europese toezichthouder voor gegevensbescherming.

Certificaten

Certificaten, gegevensbeschermingszegels en -merktekens worden onder de privacyverordening ook geaccepteerd als mechanisme om compliance aan te tonen. In de privacysector is er al de ‘European Privacy Seal’ of EuroPriSe.

Om voor dit certificaat in aanmerking te komen moet een product of dienst, iedere twee jaar, groen licht krijgen bij de volgende twee stappen:

  1. Een evaluatie van het product of dienst door juridische en technische experts;
  2. Een beoordeling van het hieruit voortvloeiende rapport door de Duitse privacytoezichthouder.

Certificaten kunnen worden vastgesteld door de privacytoezichthouder en het Europese Comité. De privacytoezichthouder kan daarnaast ook, onder bepaalde voorwaarden, andere (private) organisaties accrediteren voor het in het leven roepen van certificaten. Een voorwaarde waaraan bijvoorbeeld moet worden voldaan is het voldoende onafhankelijk en deskundig zijn met betrekking tot het certificeringsonderwerp.

Goed om te weten over certificaten:

  • Certificaten zijn drie jaar geldig
  • Ze zijn vrijwillig
  • Certificaten zijn toegankelijk via een transparant proces
  • Ze doen niet af aan de verantwoordelijkheid van de verantwoordelijke of de bewerker om de verplichtingen onder de privacyverordening na te leven
  • Het Comité houdt een publiek register bij van alle verleende certificaten

Verantwoordelijken en bewerkers buiten de EU kunnen ook deze certificaten gebruiken. In dit geval is vereist, net als bij gedragscodes, dat de betrokken partij in het derde land een ‘binding and enforceable commitment’ geeft om de waarborgen in het certificaat na te leven.

Anders dan een gedragscode kan een certificaat handig zijn om compliancy aan te tonen met privacy by design en privacy by default principes uit de privacyverordening.

Wat kun je nu al doen?

Bedrijven hebben nog maar weinig tijd om zich voor te bereiden op de privacyverordening. Organisaties binnen een bepaalde sector kunnen zich alvast buigen over het oprichten van bepaalde gedragscodes en, voor zover ze nog niet bestaan, best practices. Met betrekking tot certificaten is het raadzaam om de ontwikkelingen te volgen over bestaande en nieuwe certificaten en te bepalen of, en zo ja, welk certificaat interessant is om te behalen. Het valt nog te bezien of een voorkeur gaat bestaan voor certificaten die door de overheid zijn uitgegeven of private certificaten. Aansluiten bij een gedragscode of certificaat is in iedere geval verstandig, omdat het een begin van bewijs oplevert dat je organisatie voldoet aan vele van de nieuwe verplichtingen.

Author image
Albert Katoen
Adviseur bij Privacy Company