Autoriteit Persoonsgegevens geeft goedkeuring aan privacygedragscode ict-branche

De Autoriteit Persoonsgegevens heeft voor het eerst een privacygedragscode van een branchevereniging goedgekeurd. De AP werkte samen met NLdigital aan een gedragscode voor ict-bedrijven.

De gedragscode heet de Data Pro Code. Het gaat om richtlijnen voor de ict-sector. Bedrijven die zijn aangesloten bij de branchevereniging NLdigital en de gedragscode volgen, moeten zich houden aan bepaalde regels voor het verzamelen en opslaan van data. Bedrijven tonen op die manier aan dat ze voldoen aan de AVG. In de gedragscode is ook opgenomen dat bedrijven zich regelmatig laten toetsen door een onafhankelijke toezichthouder. Ze kunnen zichzelf laten keuren om een officiële certificering voor de gedragscode te krijgen.

Onder de AVG moet een bedrijf kunnen aantonen dat het aan de privacywetgeving voldoet. Dat kan in de praktijk ingewikkeld zijn, omdat veel regels aan interpretatie onderhevig zijn. De certificering van de Data Pro Code betekent dat het bedrijf aan de verwerkersverplichtingen van de AVG voldoet.

In de praktijk zijn in de code enkele regels opgenomen die bedrijven toch al moeten volgen om aan de AVG te voldoen. Zo moeten ze duidelijk maken waarom ze gegevens opslaan en wat de bewaartermijn is. Die gegevens moeten worden opgenomen in een Data Pro Statement. Daarin nemen de gecertificeerde bedrijven ook informatie op die niet verplicht is onder de AVG, zoals welke andere certificeringen ze hebben of hoe vaak ze interne controles uitvoeren.

Daarnaast zijn er richtlijnen over welke informatie een bedrijf moet doorgeven als er een datalek is. De gedragscode moet bedrijven concretere informatie geven. Op dit moment staat bijvoorbeeld alleen in de AVG dat er een meldplicht is, maar de gedragscode van NLdigital schrijft een lijst voor met de exacte informatie die in zo'n geval moet worden gemeld.

De branchevereniging werkte samen met de Autoriteit Persoonsgegevens om de gedragscode 'officieel goed te keuren'. Dat betekent dat de AP concludeert dat de regels in de gedragscode voldoen aan de AVG. Zo'n goedkeuring is niet zomaar een afspraak, maar heeft een juridische status binnen de AVG. Die stelt dat toezichthouders een officieel stempel van goedkeuring kunnen geven aan een gedragscode vanuit de private sector.

Het is de eerste keer dat de AP een dergelijke code goedkeurt. De Autoriteit Persoonsgegevens heeft altijd gezegd dat ze de exacte invulling van de AVG het liefst wil overlaten aan de brancheverenigingen. De AP werkt op dit moment ook met andere brancheorganisaties samen om dergelijke andere gedragscodes op te stellen, maar welke dat zijn, zegt de AP niet.

IT-banen

Reacties (36)

KingKoning 27 augustus 2020 12:51

Onder de AVG moet een bedrijf kunnen aantonen dat het aan de privacywetgeving voldoet. Dat kan in de praktijk ingewikkeld zijn, omdat veel regels aan interpretatie onderhevig zijn. De certificering van de Data Pro Code betekent dat het bedrijf aan de verwerkersverplichtingen van de AVG voldoet.

Ik vind dat toch een vreemde zaak. Er is een wet, daar moet je je toch gewoon aan houden? Nu is er een certificering nodig van een brancheverening om aan te tonen dat je je aan (de interpretatie van de brancheverneging van) de wet houdt.

Gek dat een wet ruimte laat voor interpretatie, daarvoor zou de wet ofwel jurisprudentie toch eenduidig in moeten zijn lijkt mij.

bdeclerc @KingKoning • 27 augustus 2020 13:08

Gek dat een wet ruimte laat voor interpretatie, daarvoor zou de wet ofwel jurisprudentie toch eenduidig in moeten zijn lijkt mij.

Zo vreemd is dat toch niet? Een wet zegt meestal aan *welke* regel je je moet houden, maar laat vaak open hoe je dat precies moet doen.

Wat deze code doet is zeggen : "als je X op precies deze manier doet, dan ben je in overeenstemming met de AVG" - de vereniging heeft met de Autoriteit Persoonsgegevens gevalideerd dat die precieze werkwijze ook effectief in overeenstemming is met de AVG.

Het staat je als organisatie of persoon nog altijd vrij om X op een andere manier te doen, alleen neem je dan het risico dat je het op een foute manier doet.

Vergelijk het met programmeren - stel dat je wil weten of een variabele tussen 0 en 100 ligt (dus 1-99 - laten we een integer nemen).

If x>0 and x<100 "doe stuff"
is een manier om dat te doen, maar
if x in {1,2,3,...,99} "doe stuff"
is een andere manier om dat te doen (minder elegant, toegegeven...).

maar

if x<100 "doe stuff"
kan ook een goede manier zijn om dat te doen, als je in je applicatie 100% zeker bent dat x altijd groter is dan 0.
maar het is een foute manier om dat te doen als je daar niet zeker van kan zijn.

Hier zegt de branchevereniging: als je altijd
if x>0 AND if x<100 "doe stuff"
gebruikt, dan hebben wij op voorhand al nagekeken of dit goed of fout is en kan je daarop rekenen.

Maestro.mosjuh @bdeclerc • 28 augustus 2020 08:26

En toch heeft KoningL gelijk en ligt het niet zo simpel (al hopen wij programmeurs natuurlijk van wel).

Een wet wordt niet zo zwart-wit geformuleerd als je misschien zou verwachten/hopen.

Voorbeeldje: in de wet zou zoiets kunnen staan als:
"de gegevens moeten afdoende beveiligd zijn"

Hier zit dus al een stukje interpretatie in: als je alleen een voornaam opslaat, hoef je dit minder goed te beveiligen als wanneer je ook een wachtwoord, een Credit Card nummer of een BSN opslaat - deze laatste moeten beter beveiligd worden. En per gegevenstype kan dit dus verschillen --> de juiste mate van bescherming staat niet in de wet, omdat dit per jaar kan verschillen. Want 20 jaar geleden vonden we wellicht MD5 nog voldoende voor wachtwoorden (en voldeed je aan de wet zoals ik hem schetste), maar als je dat nu doet vinden we dat niet (meer) voldoende. En juist omdat dit soort interpretaties wijzigen, wil je ze niet hard vastleggen in de wet / wordt de wet zo "wollig" geformuleerd - dat is dus bewust (want anders moet je de wet elk jaar aanpassen - het aanpassen van een wet kost veel tijd en mankracht en loopt in dat geval dus per definitie ook achter de feiten aan).

Daarnaast - en dat is ook wat KoningL volgens mij probeert te zeggen - we hebben in Nederland 1 instituut aangewezen welke mag bepalen of jij aan die wet voldoet (die de vraag "zijn de gegevens afdoende beveiligd?" mag beantwoorden) en dat is de rechtbank / zijn rechters.

Door dit certificaat kan het volgende ontstaan:
- bedrijf x brengt zaakjes op orde
- bedrijf x voldoet aan certificaat en krijgt deze
- rechter bepaald in rechtszaak alsnog dat bedrijf iets fout heeft gedaan (omdat de rechter de wetgeving anders interpreteert of omdat bedrijf x in geval y alsnog aanvullende maatregelen had moeten nemen, waar het certificeringstraject geen rekening mee had gehouden).

Vooral het feit dat (alleen) rechters mogen / kunnen bepalen of je aan de wet voldoet wordt nog wel eens vergeten (en ja, dat maakt het hele voldoen aan de wetgeving heel lastig inderdaad). Daardoor kan/zal het ook nooit een checklist worden en dat is ook de reden waarom jurisprudentie belangrijk is - dat geeft een leidraad (in dit en dat geval was maatregel x wel of niet voldoende).

Aardedraadje

@KingKoning • 27 augustus 2020 14:42

Zo heel raar is dat niet. Plaats het eens in de context van andere wetgevingen:

Voor Automotive producten gelden zeer strenge eisen, opgesteld door de VN-ECE, als wetgeving geïntroduceerd door de Europese Unie. Iedereen die automotive producten ontwikkelt, moet kijken of die richtlijnen van toepassing zijn en hun producten ontwikkelen volgens die richtlijnen. Daar is het echter niet mee gedaan. Ook daar moet je aantonen dat je voldoet, door je producten onafhankelijk te laten testen, zoals bij de Dekra, en (in NL) te certificeren bij de RDW.

Aan de wet voldoen is niet voldoende. Je moet het ook kunnen aantonen.

Verwijderd @KingKoning • 27 augustus 2020 14:48

Tja, waarom heb je een advocaat nodig tijdens een rechtzaak? Elke inwoner wordt geacht de wet te kennen dus heb je toch niemand nodig om je te helpen met je verdediging?

We lopen allemaal te roepen dat bedrijven zich aan GDPR moet houden, maar als er een organisatie komt die bedrijven helpt om in regel te zijn is het natuurlijk ook niet goed...

bbob

Privacy

@KingKoning • 27 augustus 2020 15:11

Gek dat een wet ruimte laat voor interpretatie, daarvoor zou de wet ofwel jurisprudentie toch eenduidig in moeten zijn lijkt mij.

Aangezien de wet redelijk nieuw is is er dus nog maar weinig of geen jurisprudentie. Daarnaast zijn er vele regels en jurisprudentie zegt vaak hoe je welke regel in welke situatie moet interpreteren. Aangezien er vele regels en scenario's zijn, moeilijk dus.

Om rechtszaken te voorkomen geeft de AP haar interpretatie van de wet en door akkoord te gaan met privacycode ict ga je dus akkoord met die interpretatie van de wet.

Verwijderd @KingKoning • 27 augustus 2020 17:12

Ik lees in het artikel niet dat de certificering nodig is. Je dient je aan de wet te houden. Deze certificering geeft je daar enige zekerheid over.

Cyberpuppy @Verwijderd • 28 augustus 2020 16:39

Klopt. Maar de wet zegt iets als "Je moet afdoende maatregelen nemen". Hetgeen betekent dat je momenteel nog in het onzekere zit of je genomen maatregelen wel als afdoende worden beoordeeld. Kom je ook pas achter als je voor de rechter mag komen.

In die zin is het dus veel fijner dat er een certificering is waar je vooraf kunt controleren of je goed bezig bent.

Cyberpuppy @KingKoning • 28 augustus 2020 16:37

Nee hoor. De NEN 1010 voor electro is als zodanig ook niet opgenomen in de wet. De wet verwijst enkel naar de geldende regelgeving. Zou anders ook niet werkbaar zijn. Een aanpassing in de norm zou dan meteen betekenen dat je de hele wet moet gaan wijzigen.

Wel goed is dat er nu eindelijk duidelijkheid komt, want met alleen de AVG is het wel heel erg onduidelijk wat je nu wel en niet moet regelen.

En op die externe certificering kon je wachten. Op zich uitstekend, maar het gaat weer tijd en centjes kostnen vrees ik.

dasiro 27 augustus 2020 12:13

Daarnaast zijn er richtlijnen over welke informatie een bedrijf moet doorgeven als er een datalek is. De gedragscode moet bedrijven concretere informatie geven. Op dit moment staat bijvoorbeeld alleen in de AVG dat er een meldplicht is,

da's natuurlijk voor alle bedrijven hetzelfde, niet specifiek voor de sector. Wettelijk moet je dus gewoon een mailtje sturen binnen de x aantal uur met "woepsie, er is wat data gepikt" en dan ben je in orde ?

Arnoud Engelfriet @dasiro • 27 augustus 2020 12:18

Nou ja, er moet wel iets meer in die melding staan, zie artikel 33 AVG
a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

Het helpt bij gedragscodes als deze dat ze dit soort vage eisen nader uitwerken. Dus ik zie zeker toegevoegde waarde.

mjtdevries @Arnoud Engelfriet • 27 augustus 2020 13:14

Als je bij de autoriteit persoonsgegevens een datalek meldt, dan krijg je een waslijst aan concrete vragen.
Een stuk of 50. Dus wat dat betreft zijn de eisen niet zo erg vaag.
https://datalekken.autori...ens.nl/melding/aanmaken?4

Die vragen zorgen er voor dat er duidelijkheid is over de punten a,b,c,d hierboven.
En een andere manier van melding is er bij de AP volgens mij niet.

Dus wat dat betreft suggereert het artikel een hele andere situatie dan de huidige praktijk.

dnrb @mjtdevries • 27 augustus 2020 15:25

Het is alleen zo jammer dat er niet wordt gecontroleerd of de vragen wel naar waarheid worden beantwoord.

Voorbeeld Alliance Autoverzekering melde dat de gestolen dat encrypted was en er geen tekenen van misbruik waren.
Heel jammer dat ik 2 weken daarvoor 2 bitcoin afpers mailtjes had gekregen op basis van de bij hen gestolen gegevens. Hoe ik dat weet er werd over mijn auto gesproken in de tweede van die mailtjes.

mjtdevries @dnrb • 27 augustus 2020 16:07

Daar gaat deze gedragscode niks aan veranderen.

dnrb @mjtdevries • 27 augustus 2020 16:09

Precies... een wassen neus dus.

sampoo @mjtdevries • 27 augustus 2020 15:06

Dat de autoriteit persoonsgegevens één manier van melden vermeld op de website wil niet zeggen dat je de melding niet naar het postadres kunt sturen. Ook kun je een eigen invulling geven van de door de wet gevraagde informatie. De autoriteit van de autoriteit persoonsgegevens reikt namelijk niet verder dan wat de wet omschrijft.

mjtdevries @sampoo • 27 augustus 2020 16:06

En wat verandert er dan nu met deze gedragscode? Naar mijn mening helemaal niks.
Dit staat er op die site van hun over meldingen aan de AP:

De data processor levert bij een datalek de benodigde informatie en ten minste:
- een omschrijving van het incident, aard van de inbreuk, aard van de persoonsgegevens c.q. categorieën van betrokken data subjects, schatting van het aantal betrokken data subjects en mogelijke betrokken databases, indicatie wanneer incident heeft plaatsgevonden (wat is er gebeurd?);
- contactgegevens contactpersoon (waar kan de controller met vragen terecht?);
- mogelijke gevolgen (wat kan er gebeuren, waar moet de controller, dan wel het data subject, op bedacht zijn, wijzen op de mogelijkheden van identiteitsfraude als gegevens als BSN-nummers, inlog en wachtwoordgegevens, paspoort kopieën mogelijk in verkeerde handen terecht zijn gekomen);
- genomen maatregelen (wat heeft de data processor gedaan om eventuele schade te beperken of dit in de toekomst te voorkomen?);
- te nemen maatregelen door de controller dan wel betrokken data subjects (wat kunnen betrokken data subjects zelf doen, bijvoorbeeld “houd mail in de gaten, wijzig wachtwoorden”);
- de data processor blijft de opdrachtgever op de hoogte houden van verdere ontwikkelingen.

Dat is hetzelfde als in de wet staat, alleen hebben ze er wat meer woorden voor gebruikt. En je kunt er net zo makkelijk je eigen invulling aan geven.

jhnddy @mjtdevries • 28 augustus 2020 08:56

Dat klopt, je mag je eigen invulling eraan geven. Maar voor bedrijven is het erg belangrijk om duidelijk te weten wanneer ze wel, en wanneer ze niet voldoen. Bij de huidige wetgeving is dat niet concreet genoeg.

Deze richtlijn kun je net zo gebruiken zoals een checklist: als ik aan al deze concrete voorwaarden voldoe, dan ben ik AVG proof. Dat is voor een bedrijf veel werkbaarder dan te gokken welke maatregelen ze moeten nemen, en uiteindelijk te veel kosten te maken, dan wel te weinig waardoor ze een boete krijgen.

sampoo @dasiro • 27 augustus 2020 13:45

De gedragscode zal grotendeels gebaseerd zijn op de wet maar kan ook verder reiken dan de wet strikt genomen van bedrijven verwacht. De wet geeft de minimumeisen weer en zoals @dasiro stelt gebeurd dat niet altijd in taal die voor iedereen even begrijpelijk is.

mjtdevries @sampoo • 27 augustus 2020 16:10

Wat een rot smoesje zeg.
Vertel eens wat er dan niet begrijpelijk is aan die taal? In de reactie van Arnoud staat gewoon een kopie van de wet tekst. Daar staat niks moeilijks in.

Caelestis 27 augustus 2020 12:13

Nou nog een officieel keurmerk zodat de rest van ons kunnen zien wie zich eraan houden.
Aan "ons kent ons" certificeringen heeft niemand wat.

Headblast @Caelestis • 27 augustus 2020 12:43

Ja en alle kleine bedrijven kunnen weer gaan betalen voor de certificering ook al voldoen ze eraan. Word wel beetje certificerings moe.

Zaken zoals 27001, 27002 etc zijn natuurlijk van belang maar ken genoeg bedrijven die ze hebben behaald en maand later gingen ze gewoon weer werken zoals daarvoor.

mjtdevries @Headblast • 27 augustus 2020 13:18

Daarom dat zo'n certificereing ook niet eenmalig is, maar je elk jaar een nieuwe audit krijgt. En auditors zijn niet dom, die hebben dan wel in de gaten dat je na een maand op de oude wijze zijn gaan werken.

Overigens knap stom van een bedrijf om dat te doen, want de certificeringen zijn vooral best practices. Als je als bedrijf de investering hebt gedaan om op dat hogere niveau te komen, dan ben je ontzettend dom om die investering zomaar verloren te laten gaan.

invic @mjtdevries • 27 augustus 2020 21:18

Ja, maar omgekeerd komt ook voor dat een certificering bedrijf blijft mieren neuken om maar zo maximaal mogelijk uurtje factuurtje te kunnen declareren.

Vizzie @Caelestis • 27 augustus 2020 12:32

Ik neem aan dat bedrijven die bij de branchevereniging horen en de code volgen dit ook vol trots gaan melden.

Aangezien bedrijven gekeurd moet worden om voor de code gecertificeerd te worden en zich regelmatig door een onafhankelijke partij moeten laten toetsen vind ik dit juist een heel mooi initiatief en geen ons-kent-ons keurmerk.

Bender @Caelestis • 27 augustus 2020 15:26

Overheid gaat zich niet bezighouden met keurmerken, daarvoor heb je organisaties volgens mij.

Volgens mij is voor de rest Data Pro Code ook dekkend als 'keurmerk' toch?

johnny2000 27 augustus 2020 12:49

Is dit niet wat dubbelop als je bijv. al ISO27001 hebt? Onder de ISO27001 heb je de AVG toch als wettelijk stakeholder? En hoor je daar aan te voldoen en wordt dat getoetst. Of zie ik dat verkeerd?

mjtdevries @johnny2000 • 27 augustus 2020 13:21

ISO 27001 is information security. Dat is wel belangrijk voor de AVG, maar de AVG is veel breder dan dat.
Zo moet je bv mensen gelegenheid geven om hun data in te zien of te laten verwijderen. Dat heeft niks met security te maken.

lhuizing @johnny2000 • 28 augustus 2020 07:17

ISO 2700x gaat over informatiebeveiliging. Dat is beveiliging in het belang van de organisatie. De AVG gaat over de bescherming van persoonsgegevens in het belang van de mensen over wie de gegevens gaan. Dat is wat anders. Natuurlijk moet je ook vanuit privacyoverwegingen de informatie die je hebt goed beveiligen, maar gegevensbescherming gaat ook over het informeren van mensen; over kunnen verantwoorden van de reden dat je die gegevens gebruikt; over het tijdig verwijderen ervan, etc. Dat is voor informatiebeveiliging niet nodig.

pBook 27 augustus 2020 12:59

Klinkt vooral als een mooie bron van inkomsten voor NLdigital 👍

Zijn er ergens details te vinden over die steeksproefsgewijze audits? Hoeveel bedrijven worden geaudit per maand?

[Reactie gewijzigd door pBook op 26 juli 2024 18:26]

Floort

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

27 augustus 2020 13:01

"De certificering van de Data Pro Code betekent dat het bedrijf aan de verwerkersverplichtingen van de AVG voldoet." Hier ziet een ingewikkeld issue achter. Een organisatie kan de certificering gebruiken om aan te tonen dat ze aan de AVG voldoen (art. 24(3) AVG), maar dat is niet waterdicht. Daarom is er onder andere toezicht en een klachtenprocedure nodig. De waarde van de certificering zit 'm in het feit dat aantonen dat je compliant bent erg ingewikkeld is. Nu is dat voor deze sector eenvoudiger gemaakt. De waarde van de certificering zal onder andere afhangen van de kwaliteit van het toezicht, maar formeel wordt er nu in principe vanuit gegaan dat de certificering voldoet.

Edit: vreemd dat de AP geen andere gedragscodes wil noemen waar aan gewerkt wordt. In de focus van de AP voor 2020-2023 worden dergelijke gedragscodes voor behavioural advertising expliciet genoemd. https://autoriteitpersoon...cus_ap_202-2023_groot.pdf

De AP zal aansturen op nieuwe gedragscodes die recht doen aan de eisen van onder meer transparantie en toestemming. Verschillende sector- en brancheorganisaties zijn hier al mee bezig; positieve initiatieven verdienen het om onder de aandacht gebracht te worden.

[Reactie gewijzigd door Floort op 26 juli 2024 18:26]