Op 27 augustus 2020 keurde de Autoriteit Persoonsgegevens de Data Pro Code van branchevereniging NLdigital goed. Een nuttige stap, want wanneer deze af is, geeft dit organisaties in de ICT-sector een extra optie om goed om te gaan met hun verplichtingen als verwerker van persoonsgegevens.
Daarmee is de Data Pro Code nog niet helemaal ‘af’ – het noodzakelijke toezichthoudende orgaan moet nog worden geaccrediteerd. Dat gaat eerst nog langs de European Data Protection Board (EDPB, de Europese toezichthouder van de privacywetgeving).
Wat levert het op?
Wat levert dit bedrijven die actief zijn in zakelijke dienstverlening en ICT op dit moment op? Een extra manier om – naast ISO 27001, ISO 27701 of toekomstige AVG-certificering – aantoonbaar de gewenste betrouwbare partner te zijn. En een vertrekpunt naar een goed gesprek met klanten (over o.a. de juiste verwerkersovereenkomst) die informatiebeveiliging serieus nemen.
Dat doet de code naar eigen zeggen door ‘concrete gedragsregels voor verwerkers’. Als die gevolgd worden, wordt een Data Pro Statement ingevuld dat beschrijft hoe. Dat statement vormt dan samen met standaardclausules voor verwerkingen een complete verwerkersovereenkomst. Via het persbericht van de Autoriteit Persoonsgegevens is de Code en wat je moet doen in meer detail na te lezen. Voor nu alvast in het kort;
In dat statement moeten een 9-tal zaken opgenomen zijn, o.a. om de opdrachtgever te informeren over de getroffen beveiligingsmaatregelen. Bijvoorbeeld de gehanteerde beveiligingsnormen, het managementsysteem, certificeringen en praktische zaken zoals bewaartermijnen of gehanteerde encryptie. En “het vermogen om op een permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.” Bron: Data Pro Code, versie april 2019.
Daarnaast moet de organisatie zich periodiek laten toetsen voor Data Pro Code (ook als er een onderliggende certificering is – daar zit dus enig dubbel werk in).
Heeft jouw organisatie privacy op orde?
ISO/IEC 27701:2019 is een uitbreiding op ISO 27001, de norm voor informatiebeveiliging, en is specifiek gericht op de bescherming van persoonsgegevens. Deze standaard biedt richtlijnen voor organisaties die meer controle willen over de naleving van de AVG (GDPR) en overige privacywetgeving. Wil je meer weten over ISO 27701? Bekijk dan onze ISO 27701 adviespagina.
Veilig systeem
Je leest het al: eigenlijk dient er een dus een goed systeem aanwezig te zijn. Eén dat gewoon aansluit bij ISO 27001 of goede beheersing van de AVG: het grootste verschil is dat er in beleid explicieter stilgestaan moet worden bij het aantal data-elementen en het aantal betrokkenen.
De Data Pro Code is niet verplicht en nog niet ‘inzetbaar’. Met een ISO 27001 certificering en goede verwerkersovereenkomsten ben je er ook. Maar je kunt al wel aan de slag met de uitgangpunten zolang jou die helpen met betere informatiebeveiliging of klantafspraken. En wellicht een kans om je te onderscheiden.
Voldoen aan de Data Pro Code
Wilt je voldoen aan de Data Pro Code? Neem dan contact met ons op als je op zoek bent naar:
- Beheersing van informatiebeveiliging in de praktijk door middel van ISO 27001 – al dan niet gecertificeerd
- Aanscherping van het beleid met de uitgangspunten van de Data Pro Code?
- De interne audits die je moet doen vanuit eigen beheersing
- Overige vragen over informatiebeveiliging, AVG of certificering
Neem gerust contact met ons op. Onze adviseurs helpen je graag op weg!
