AVG-gedragscode

Een groep organisaties, zoals een branche of sector, kan een AVG-gedragscode opstellen voor de manier waarop deze organisaties omgaan met persoonsgegevens. De groep kan vervolgens aan de Autoriteit Persoonsgegevens (AP) vragen de gedragscode te beoordelen. Een gedragscode is niet verplicht.

Op deze pagina

Aansluiten bij een gedragscode

Heeft de AP de AVG-gedragscode goedgekeurd, dan kunnen organisaties binnen de groep zich aansluiten bij de gedragscode. Daarmee leggen zij vast dat zij zich houden aan de in de gedragscode opgenomen bepalingen voor de bescherming van persoonsgegevens. Een gedragscode is hiermee een manier voor organisaties om te laten zien dat zij de privacywetgeving naleven.

Eisen aan een gedragscode

Als vertegenwoordiger van een bepaalde groep kunt u de AP vragen uw gedragscode goed te keuren. De AP keurt een AVG-gedragscode goed als deze aan de eisen voor een gedragscode voldoet. Het is hierbij vooral belangrijk dat de gedragscode een concrete uitwerking van de Algemene verordening gegevensbescherming (AVG) biedt.

Bij de beoordeling van uw aanvraag kijkt de AP in elk geval naar de volgende eisen:

  • U bent als aanvrager een vertegenwoordiger van een bepaalde groep verwerkingsverantwoordelijken of verwerkers. Deze groep kan een branche of sector zijn. De groep kan ook bestaan uit verwerkingsverantwoordelijken of verwerkers die uit verschillende branches of sectoren komen, maar die wel dezelfde soort verwerking uitvoeren.
  • U heeft als aanvrager bij het opstellen van uw gedragscode overlegd met belanghebbenden. En waar mogelijk met betrokkenen. U laat zien dat u rekening heeft gehouden met hun bijdragen en standpunten.
  • De gedragscode is in overeenstemming met de AVG en biedt voldoende passende waarborgen.
  • De gedragscode is concreter dan de AVG.
  • De gedragscode is een juiste, geconcretiseerde toepassing van de AVG en bevordert een doeltreffende uitvoering van de AVG door de organisaties in uw groep.
  • De gedragscode bevat mechanismen die een toezichthoudend orgaan in staat stellen het verplichte toezicht uit te oefenen op de naleving van de gedragscode.
  • Wijkt u af van de wettelijke bepalingen door in uw gedragscode slechts een gedeelte van een wettelijke bepaling op te nemen? Of door een wettelijke bepaling niet letterlijk over te nemen maar te parafraseren? Dan geeft u een toelichting waarom u dit heeft gedaan.

EDPB-guidelines gedragscodes

De EDPB heeft guidelines opgesteld voor gedragscodes en toezichthoudende organen:

De AP gebruikt onder meer deze guidelines om gedragscodes te toetsen. Daarom is het belangrijk dat u rekening houdt met de guidelines bij uw gedragscode.

Tips voor opstellen gedragscode

De volgende tips kunnen u helpen om uw gedragscode aan de eisen te laten voldoen:

  • maak normen concreet;
  • draag bij aan de toepassing en uitvoering van de AVG;
  • leg de toegevoegde waarde uit;
  • geef AVG-onderdelen aan;
  • bekijk de toetsbaarheid.

Maak normen concreet

Leg uit hoe de organisaties in uw groep zullen voldoen aan de normen, niet dát zij zullen voldoen. Neem daarom geen volledig gekopieerde teksten uit de AVG (of andere relevante wetgeving) op in uw gedragscode zonder groepsspecifieke toelichting of uitleg hoe de organisaties in uw groep de wetsartikelen toepassen.

Zorg ervoor dat de uitgewerkte normen ondubbelzinnig, concreet, haalbaar en afdwingbaar (toetsbaar) zijn. Zeg dus bijvoorbeeld niet: "we hebben grondslagen voor onze verwerkingen" of "we bewaren gegevens niet langer dan noodzakelijk". Werk uit welke grondslagen voor welke verwerkingen in uw groep van toepassing zijn. En werk uit welke bewaartermijnen gelden voor welke verwerkingen.

Draag bij aan de toepassing en uitvoering van de AVG

Draag bij aan de juiste toepassing en doeltreffende uitvoering van de AVG in uw groep. Bijvoorbeeld door:

  • criteria op te stellen waarmee u het principe van dataminimalisatie waarborgt;
  • na te gaan hoe uw groep de principes van privacy by design en privacy by default kan toepassen, rekening houdend met de specifieke kenmerken van uw groep;
  • in uw gedragscode te omschrijven welke specifieke soorten verwerkingen u kunt identificeren die organisaties in uw groep in hun verwerkingsregister kunnen vastleggen.

Leg de toegevoegde waarde uit

Leg uit waarom de gedragscode toegevoegde waarde heeft voor uw groep.

Geef AVG-onderdelen aan

Gaat uw gedragscode alleen over bepaalde onderdelen van de AVG? En omvat de gedragscode dus niet de gehele AVG? Maak dan duidelijk over welke onderdelen de gedragscode precies gaat.

Bekijk de toetsbaarheid

Kijk of de verschillende bepalingen van uw gedragscode relatief makkelijk toetsbaar zijn. Dat geeft u een indicatie of uw gedragscode concreet genoeg is.

Goedkeuring gedragscode door de AP

Verenigingen of andere organen die een bepaalde groep van organisaties vertegenwoordigen, kunnen de AP vragen om goedkeuring van een nieuwe gedragscode. Of om goedkeuring van een wijziging of verlenging van een bestaande gedragscode.

Stappen goedkeuring gedragscode

De goedkeuring van een gedragscode verloopt via een aantal stappen:

  • Ontwerpbesluit: De AP neemt eerst een ontwerpbesluit om de gedragscode goed te keuren of af te keuren. De AP publiceert dit ontwerpbesluit in de Staatscourant en op de AP-website.
  • Zienswijze: Na publicatie van het ontwerpbesluit kunnen belanghebbenden de stukken inzien. Zijn ze het niet eens met het ontwerpbesluit, dan kunnen ze een zienswijze geven. Deze fase duurt 6 weken.
  • Definitief besluit: Hierna neemt de AP een definitief besluit. De AP houdt hierbij rekening met eventuele zienswijzen. Dit besluit publiceert de AP ook in de Staatscourant en op de website. De AP mag maximaal 6 maanden doen over het uiteindelijk vast te stellen besluit. Tenzij het om een zeer ingewikkeld of omstreden onderwerp gaat. Dan mag de AP deze termijn van 6 maanden met een redelijke termijn verlengen.
  • Beroep: Is de aanvrager of een andere belanghebbende het niet eens met het besluit? Dan kan diegene binnen 6 weken na de publicatie van het besluit beroep instellen bij de rechtbank. Is de beroepstermijn verstreken en heeft niemand beroep ingesteld? Dan is het besluit onherroepelijk. Let op: wil een belanghebbende beroep instellen tegen het besluit, maar heeft diegene in een eerder stadium geen zienswijze gegeven? Dan kan dit tot gevolg hebben dat diegene geen beroep kan instellen. Deze beoordeling vindt door de rechter plaats, niet door de AP.
  • Goedkeuring internationale gedragscode: Gaat een gedragscode over verwerkingsactiviteiten in verschillende EU-lidstaten? Dan legt de AP de gedragscode voor aan de EDPB. Pas na het advies van de EDPB neemt de AP een beslissing over de aangevraagde goedkeuring van de gedragscode. Vindt de EDPB dat de gedragscode in lijn is met de AVG en dat deze voldoende passende waarborgen heeft? Dan kan de EDPB dit advies voorleggen aan de Europese Commissie. Die heeft de mogelijkheid de goedgekeurde gedragscode algemeen geldend te verklaren binnen de EU.

Uw privacy bij goedkeuring gedragscode

Vraagt u goedkeuring van uw gedragscode aan, dan verwerkt de AP gegevens van u. Hoe de AP omgaat met uw persoonsgegevens leest u in de privacyverklaring.

Register goedgekeurde gedragscodes

Toezicht op naleving gedragscodes

In de AVG staat dat er specifiek toezicht moet zijn op de naleving van gedragscodes, naast het reguliere toezicht door de betreffende EU-privacytoezichthouder (in Nederland: de AP). En dat elke gedragscode mechanismen moet hebben die een toezichthoudend orgaan in staat stelt dit verplichte toezicht uit te voeren. Dit toezichthoudende orgaan kan worden geaccrediteerd door de AP of een andere Europese toezichthouder.

Het toezichthoudende orgaan:

  • houdt toezicht op de naleving van de bepalingen in de gedragscode, onder andere door de werking van de gedragscode periodiek te toetsen;
  • beoordeelt of verwerkingsverantwoordelijken en verwerkers in aanmerking komen om de gedragscode toe te passen;
  • behandelt klachten over inbreuken op de gedragscode.

Algemene eisen accreditatie

In  artikel 41 van de AVG staat een aantal algemene eisen voor accreditatie. Een toezichthoudend orgaan kan worden geaccrediteerd als het orgaan:

  • zijn onafhankelijkheid en deskundigheid bij het onderwerp van de gedragscode heeft aangetoond;
  • procedures heeft vastgesteld waarmee het orgaan kan beoordelen of de betrokken verwerkingsverantwoordelijken en verwerkers de gedragscode mogen toepassen;
  • toezicht kan houden op de naleving van de gedragscode en de werking van de gedragscode periodiek kan toetsen;
  • procedures heeft vastgesteld om klachten te behandelen over inbreuken op de gedragscode of over hoe een verwerkingsverantwoordelijke of verwerker omgaat met de gedragscode;
  • deze procedures voor betrokkenen en het publiek transparant heeft gemaakt;
  • aantoont dat zijn taken en bevoegdheden niet tot een belangenconflict leiden.

Specifieke vereisten accreditatie

Elke privacytoezichthouder in de EU heeft specifieke vereisten opgesteld voor de accreditatie van een toezichthoudend orgaan en die voor advies voorgelegd aan de EDPB. Deze specifieke vereisten zijn een nadere invulling van de algemene eisen uit de AVG. Dit zijn de vereisten die de AP heeft opgesteld: