Voldoen aan de Data Pro Code? CAN ondersteunt!
De Data Pro Code komt eraan! Een extra stap in de beveiliging van persoonsgegevens. Adviseur Tobias vertelt je er meer over.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlOp 27 augustus 2020 keurde de Autoriteit Persoonsgegevens de Data Pro Code van branchevereniging NLdigital goed. Een nuttige stap, want wanneer deze af is, geeft dit organisaties in de ICT-sector een extra optie om goed om te gaan met hun verplichtingen als verwerker van persoonsgegevens. In maart 2023 is de code volledig goedgekeurd, na accreditatie van toezichthouder SCOPE Europe.Bedrijven kunnen door SCOPE Europe laten toetsen of ze aan de code voldoen.
Wat levert het op?
Wat levert dit bedrijven die actief zijn in zakelijke dienstverlening en ICT op dit moment op? Een extra manier om – naast ISO 27001, ISO 27701 of toekomstige AVG-certificering – aantoonbaar de gewenste betrouwbare partner te zijn. En een vertrekpunt naar een goed gesprek met klanten (over o.a. de juiste verwerkersovereenkomst) die informatiebeveiliging serieus nemen.
Dat doet de code naar eigen zeggen door ‘concrete gedragsregels voor verwerkers’. Als die gevolgd worden, wordt een Data Pro Statement ingevuld dat beschrijft hoe. Dat statement vormt dan samen met standaardclausules voor verwerkingen een complete verwerkersovereenkomst. Via het persbericht van de Autoriteit Persoonsgegevens is de Code en wat je moet doen in meer detail na te lezen. Voor nu alvast in het kort;
In dat statement moeten een 9-tal zaken opgenomen zijn, o.a. om de opdrachtgever te informeren over de getroffen beveiligingsmaatregelen. Bijvoorbeeld de gehanteerde beveiligingsnormen, het managementsysteem, certificeringen en praktische zaken zoals bewaartermijnen of gehanteerde encryptie. En “het vermogen om op een permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.” Bron: Data Pro Code, versie april 2019.
Daarnaast moet de organisatie zich periodiek laten toetsen voor Data Pro Code (ook als er een onderliggende certificering is – daar zit dus enig dubbel werk in).
Veilig systeem
Je leest het al: eigenlijk dient er een dus een goed systeem aanwezig te zijn. Eén dat gewoon aansluit bij ISO 27001 of goede beheersing van de AVG: het grootste verschil is dat er in beleid explicieter stilgestaan moet worden bij het aantal data-elementen en het aantal betrokkenen.
De Data Pro Code is niet verplicht en nog niet ‘inzetbaar’. Met een ISO 27001 certificering en goede verwerkersovereenkomsten ben je er ook. Maar je kunt al wel aan de slag met de uitgangpunten zolang jou die helpen met betere informatiebeveiliging of klantafspraken. En wellicht een kans om je te onderscheiden.
Voldoen aan de Data Pro Code
Wilt je voldoen aan de Data Pro Code? Neem dan contact met ons op als je op zoek bent naar:
- Beheersing van informatiebeveiliging in de praktijk door middel van ISO 27001 – al dan niet gecertificeerd
- Aanscherping van het beleid met de uitgangspunten van de Data Pro Code?
- De interne audits die je moet doen vanuit eigen beheersing
- Overige vragen over informatiebeveiliging, AVG of certificering
Neem gerust contact met ons op. Onze adviseurs helpen je graag op weg!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlHandig AVG stappenplan!
Aan de slag met de AVG-wetgeving?
- Leer alles over de AVG-wetgeving
- Handig stappenplan