Volg Software Zaken

De Data Pro Code: gedragscode voor verwerkers

| Sieuwert van Otterloo | Privacy

De Data Pro Code is een gedragscode voor verwerkers (data processors) van persoonsgegevens, en is de eerste gedragscode die is goedgekeurd door de Autoriteit Persoonsgegevens. De Data Pro Code geeft concrete gedragsregels voor verwerkers en is een nadere uitwerking van de verplichtingen voor data processors (verwerkers).

Informatieverplichtingen van de verwerker

De Data Pro Code is de eerste goedgekeurde gedragscode onder de algemene verordening gegevensbescherming (AVG) in Europa en is opgesteld door de branchevereniging NLDigital (voorheen NederlandICT). De Data Pro Code geeft vijf concrete gedragsregels voor verwerkers:

  1. De data processor informeert zijn opdrachtgever over de door hem getroffen beveiligingsmaatregelen ten aanzien van zijn dienst of product op zodanige wijze dat een opdrachtgever zelf in staat is een beoordeling te maken of deze voldoende zijn, gezien het door de opdrachtgever voorgenomen gebruik van de dienst of het product en daarmee mogelijke verwerking van persoonsgegevens. Data processor verwoordt dit in een Data Pro Statement.
  2. De data processor maakt in zijn verwerkersovereenkomst gebruik van de bij de Data Pro Code behorende Standaardclausules voor verwerkingen, of een daarmee vergelijkbare verwerkersovereenkomst.
  3. De data processor informeert zijn opdrachtgever welke processen en procedures hij heeft ingericht waarmee de opdrachtgever, die controller is, gehoor kan geven aan de rechten van data subjects.
  4. Indien de data processor in zijn organisatie een datalek ontdekt, zal de data processor zijn opdrachtgever daarvan zo snel mogelijk op de hoogte stellen. Wel of niet melden blijft de verantwoordelijkheid van de controller.
  5. De data processor toetst en evalueert regelmatig zijn dataprotectiebeleid en genomen beveiligingsmaatregelen en past deze waar nodig aan.

Het valt op dat het Data Pro Code document de Engelse termen gebruikt voor verwerkers (data processors), verwerkingsverantwoordelijke (controller) en betrokkenen (data subjects).

Elke principe wordt in de Data Pro Code verder toegelicht. De volledige Data Pro Code is hier te vinden.

Data Pro statement en verwerkersovereenkomst

Volgens principe 1 vult de verwerker dus een Data Pro Statement in. Vervolgens worden op basis van principe 2 een aantal standaardclausules ingevuld. Deze twee documenten vormen samen de wettelijk verplichte verwerkersovereenkomstIn het Data Pro Statement moet in ieder geval het volgende staan:

  • het door de verwerker gekozen information security management systeem, de beveiligingsnorm(en) of -standaard; Dit kan ISO 27001 zijn, of een vergelijkbaar systeem zoals NEN 7510 of eventueel Security Verified
  • de certificering(en) van de verwerker, indien van toepassing
  • of en welke subverwerkers door de verwerker worden ingezet;
  • op welke wijze gedurende de looptijd van de overeenkomst de persoonsgegevens van opdrachtgever verwijderd kunnen worden;
  • de bewaartermijn, indien wordt afgeweken van een vernietigingstermijn van 3 maanden;
  • de contactgegevens van de contactpersoon voor dataprotectie binnen de organisatie van de verwerker.

Ook moet er vermeld worden of de volgende beveiligingsprincipes worden toegepast:

  • pseudonimisering en versleuteling van persoonsgegevens;
  • het vermogen om op een permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • het vermogen om bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen (back-ups, redundantie).

De standaardclausules zijn te vinden in het template verwerkersovereenkomst van NLDigital. Deze zijn een invulling van de wettelijke eisen die gelden aan een verwerkersovereenkomst,  zoals meewerken aan verzoeken van betrokkenen, audits en DPIA’s

Toetsing en Toezicht

Het tweede kernelement van de Data Pro Code is de externe toetsing. Er gaat een onafhankelijke Data Pro Toezichthouder komen die toezicht houdt op het toetsingsproces en op naleving van de Data Pro Code door de verwerker. Ook draagt de toezichthouder zorg voor een klachtenprocedure.

De verwerker wordt jaarlijks onafhankelijk getoetst en ad hoc op basis van een klacht of signaal. Bij voldoende resultaat wordt de verwerker opgenomen in een openbaar Data Pro register en heeft daarmee het recht om een Data Pro certificaat te voeren. Bij onvoldoende resultaat bij een toetsing of naar aanleiding van een klacht, wet of openbare orde kan de toezichthouder besluiten om de verwerker uit het register te halen en het openbaar te maken.

Evaluatie van de code gaat iedere twee jaar plaatsvinden door een Data Pro Code College, waarna eventuele wijzigingen worden goedgekeurd door de AP en het voornemen tot wijzigingen vooraf door de toezichthouder wordt doorgegeven aan alle betrokken verwerkers.

Goedkeuring door Autoriteit Persoonsgegevens

De Data Pro Code is de eerste door de Autoriteit Persoonsgegevens goedgekeurde gedragscode. Het besluit van de Autoriteit Persoonsgegevens over de Data Pro Code is hier te vinden. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.

Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.