De Autoriteit Persoonsgegevens keurt de gedragscode van Nederland ICT voor de omgang met persoonsgegevens in principe goed. Wel stelt de pricacywaakhond de voorwaarde dat de sector een toezichthoudend orgaan opricht.
De Autoriteit Persoonsgegevens meldt 'voornemens' te zijn om de Data Pro Code goed te keuren. Deze code is opgesteld door Nederland ICT, de branchevertegenwoordiger van de ict-sector. Organisaties die gegevens van burgers in Nederland verwerken, kunnen zich aansluiten bij de gedragscode om concrete gedragsregels voor dataverwerkers in acht te nemen. De regels betreffen een nadere uitwerking van de verplichtingen uit artikel 28 van de Algemene verordening gegevensbescherming voor dataverwerkers en de code moet bedrijven dan ook helpen aan deze regels te voldoen.
Zo bevat de Data Pro Code de verplichting dat organisaties een Data Pro Statement publiceren, waarin ze uiteenzetten welke beveiligingsmaatregelen ze hebben genomen. Onder andere geven ze in deze verklaringen details over het gebruikte informatiebeveiligingssysteem, standaarden, certificering, pseudonimisering en versleuteling, back-ups, redundantie en de contactgegevens van de contactpersoon voor dataprotectie. Ook bevat de gedragscode een uitwerking van hoe bedrijven moeten handelen in het geval van een datalek.
De Autoriteit Persoonsgegevens heeft eisen voor gedragscodes voor de omgang met de AVG opgesteld en de Data Pro Code van Nederland ICT voldoet volgens de AP aan deze eisen, al ontbreekt nog de oprichting van een toezichthouder die toeziet op de naleving en die klachten in behandeling kan nemen. Volgens de AP is die oprichting noodzakelijk en is de goedkeuring daarom voorwaardelijk. Bij artikel 41 van de AVG staat echter dat een orgaan 'kan' toezien op de naleving van de gedragscode, niet dat dit vereist is. Hoe dan ook heeft Nederland ICT de oprichting van een Data Pro Toezichthouder al in zijn gedragscode opgenomen, waarmee dit een formaliteit lijkt.