Gedragscodes
Een gedragscode, nationaal of transnationaal, is een instrument voor de naleving van de AVG en bevat een reeks bindende regels die van toepassing zijn op een specifieke activiteitensector. Gedragscodes zijn bedoeld om bij te dragen aan de juiste toepassing van de AVG, waarbij rekening wordt gehouden met het specifieke karakter en de specifieke behoeften van die sector. Zowel verwerkingsverantwoordelijken als verwerkers kunnen lid zijn van een gedragscode.
Het gebruik van een goedgekeurde gedragscode kan dienen als element om aan te tonen dat de verwerkingsverantwoordelijke of verwerker zijn verplichtingen die voortvloeien uit de AVG, naleeft. Opgelet ! De toetreding tot een gedragscode garandeert op zichzelf niet de naleving van de AVG: het lidmaatschap van een gedragscode is slechts één van de elementen waarmee rekening zal worden gehouden bij de beoordeling van de naleving van de AVG door een actor.
Het Europees Comité voor gegevensbescherming (hierna: ECGB) heeft richtsnoeren voor gedragscodes uitgebracht die bijkomende uitleg geven over de inhoudelijke vereisten voor gedragscodes en de procedure tot het indienen en goedkeuren van een gedragscode.
Om ontvankelijk te zijn, moet een gedragscode een afgebakend voorwerp hebben. De GBA raadt aan om binnen een sector een gedragscode op te stellen voor een specifieke AVG-thema of topic. U kan bijv. een gedragscode opstellen over de wettelijke grondslagen voor de verwerking van persoonsgegevens, over de manier waarop aan de informatieplicht kan worden voldaan of over de aanbevolen veiligheidsmaatregelen. In plaats van een gedragscode te schrijven over alle mogelijke verwerkingsactiviteiten die in een sector worden uitgevoerd, kan u de gedragscode bijv. beperken tot de verwerking die in het kader van het personeelsbeheer wordt uitgevoerd. Een duidelijk omschreven en specifieke scope zal u toelaten om een betere en concretere gedragscode op te stellen.
Een goed uitgewerkte en concrete gedragscode stelt niet alleen de beroepsbeoefenaren in de sector in staat om gemakkelijk te begrijpen hoe zij de gedragscode moeten naleven, maar helpt ook de betrokkenen om de relevante informatie te vinden zodat zij beter de verwerking van hun gegevens in deze activiteitensector begrijpen.
Uw gedragscode kan tot doel hebben activiteiten te reguleren die slechts in één lidstaat plaatsvinden (nationale gedragscode) of betrekking hebben op verwerkingsactiviteiten die in meerdere lidstaten plaatsvinden (transnationale gedragscode). In dit laatste geval moet u ook aantonen waarom u van mening bent dat de Belgische GBA, overeenkomstig artikel 55 van de AVG, bevoegd is om uw gedragscode goed te keuren. Bovendien moet u bij een transnationale gedragscode ook een Engelse versie van de gedragscode bij uw aanvraag voegen. De GBA moet transnationale codes ter advies voorleggen aan het Europees Comité voor gegevensbescherming.
Bij een transnationale gedragscode moet u het territoriale toepassingsgebied en de reden waarom de GBA bevoegd is om de gedragscode goed te keuren, zeer duidelijk in de gedragscode omschrijven.
Een gedragscode moet toegevoegde waarde hebben om ontvankelijk te zijn. Een gedragscode kan niet slechts een herhaling zijn van de bepalingen van de AVG. Om een gedragscode goed te keuren, is het noodzakelijk dat de gedragscode gedetailleerder is dan de tekst van de AVG zelf.
De gedragscode moet een aantal van deze bepalingen specificeren, afhankelijk van het vastgestelde voorwerp, om ze te kunnen toepassen op de bijzonderheden van een sector.
Bijvoorbeeld: een gedragscode die herhaalt dat persoonsgegevens slechts zo lang mogen worden bewaard als nodig is voor de doeleinden die de codeleden nastreven, heeft geen toegevoegde waarde ten opzichte van de AVG. Een gedragscode waarin bijvoorbeeld staat dat de codeleden de gegevens van sollicitanten maximaal één jaar lang mogen bewaren, bied wel echte toegevoegde waarde.
Een ander voorbeeld: gedragscodes zijn ook een zeer nuttig middel om de technische en organisatorische veiligheidsmaatregelen, als bedoeld in artikel 32 van de AVG, gedetailleerd te omschrijven. Een gedragscode kan dus een toegevoegde waarde hebben als deze aangeeft dat leden verplicht zijn om concrete veiligheidsmaatregelen te respecteren zoals dubbele identificatie, een " clean desk policy", beveiligde uitwisselingsmiddelen, encryptie van bepaalde bestanden, etc...
Een gedragscode is een bindend instrument, dat verbintenissen bevat die de leden moeten naleven. Het toezichthoudend orgaan is verantwoordelijk voor de controle op de juiste uitvoering en naleving van de gedragscode door zijn leden. Een gedragscode moet ook de sancties bepalen voor leden van de gedragscode wanneer zij de gedragscode niet naleven.
Als de gedragscode bijv. voorziet in een specifieke bewaartermijn voor een bepaald soort persoonsgegevens en een lid van de gedragscode die persoonsgegevens voor een langere periode bewaart, dan moet het toezichthoudend orgaan een sanctie opleggen.
Voor een correcte toepassing en een doeltreffende controle mogen de daarin opgenomen bepalingen niet beperkt blijven tot een verwijzing naar de AVG, noch vaag noch onvolledig zijn. Bovendien moet het bepalingen bevatten die het toezichthoudend orgaan in staat stellen om controle uit te oefenen (te volgen procedure) en zo nodig sancties op te leggen. Een goed voorbeeld hiervan zijn gedragscode die een zogenaamde “control catalogue” bevatten die voor elk engagement in de gedragscode voorziet in een specifieke controle-element dat het toezichtsorgaan kan toetsen. Dit is een goed instrument om het bindend karakter van de gedragscode te versterken.
Bij een inbreuk op de gedragscode kan de GBA nog steeds een sanctie kan opleggen indien er een inbreuk is op de AVG.
Het is dan ook van essentieel belang dat de bepalingen van de gedragscode duidelijk en nauwkeurig zijn, met name wat betreft het bindende karakter ervan. Bovendien moeten de formuleringen die in de gedragscode worden gebruikt, krachtig en volledig zijn. Vermijd dus voorwaardelijke en vage formuleringen zoals: "de verwerkingsverantwoordelijke zou bijvoorbeeld de volgende veiligheidsmaatregelen kunnen nemen" of "de verantwoordelijke kan indien nodig klantgegevens verwerken voor een periode van meer dan 10 maanden".
Vragen
Neen.
Een gedragscode is een vrijwillig instrument waarvan de ontwikkeling toekomt aan de geïnteresseerde sectororganisaties. De afwezigheid van een gedragscode binnen een sector is op geen enkele manier een overtreding van de AVG.
Ook wanneer binnen uw sector een specifieke gedragscode zou bestaan, bent u in beginsel niet verplicht om lid te worden van deze gedragscode.
Neen.
Integendeel, een gedragscode moet een toegevoegde waarde bieden ten opzichte van de regels van de AVG. Die toegevoegde waarde schuilt net in het preciseren en toepassen van de AVG op de verwerkingen van uw specifieke sector.
Ook wat betreft de onderwerpen die een gedragscode aansnijdt, raadt de GBA aan om vooral gedragscodes op te stellen die zich toespitsen op specifieke onderwerpen. Voorbeelden hiervan zijn bijv. de veiligheidsmaatregelen in uw sector of de procedures om de rechten van de betrokkenen te respecteren en op tijd hun vragen te beantwoorden.
Dat hangt ervan af.
Zowel verwerkingsverantwoordelijken als verwerkers binnen een specifieke sector kunnen lid worden van een gedragscode, maar dit hangt in de eerste plaats af van de gedragscode zelf. Sommige gedragscodes zullen zich richten op verwerkingsverantwoordelijken, andere op verwerkers of zelfs beiden.
De AVG bepaalt geen specifieke regels om de bevoegde toezichthoudende autoriteit aan te duiden die de transnationale gedragscode moet goedkeuren.
De richtsnoeren van het ECVG helpen u om te bepalen welke toezichthoudende autoriteit bevoegd is om een transnationale gedragscode goed te keuren. De volgende criteria zijn hierbij van belang:
- de plaats waar de verwerkingen of de activiteiten van de sector het sterkst aanwezig zijn;
- de plaats waar het grootst aantal betrokkenen getroffen wordt door de verwerkingen of activiteiten van de sector;
- de vestigingsplaats van de gedragscodehouder;
- de vestigingsplaats van het toezichthoudend orgaan;
- de vestigingsplaats van een toezichthoudende autoriteit die specifieke initiatieven heeft ontwikkeld voor de betrokken sector.
De rol van de bevoegde toezichthoudende autoriteit houdt in dat zij optreedt als uw uniek contactpunt bij het goedkeuringsproces. De bevoegde toezichthoudende autoriteit neemt deze rol onder meer op door de contacten met de andere betrokken toezichthouders te organiseren tijdens het goedkeuringsproces, door het toezichthoudend orgaan te accrediteren en door toe te zien op de uitvoering van de taken van het toezichthoudend orgaan.
Ja dit kan.
Het is perfect mogelijk dat een sector zich via een gedragscode engageert tot naleving van de AVG, ook al zou de AVG strikt genomen niet van toepassing zijn op hun verwerkingen. De AVG is immers wereldwijd erkend als een instrument dat bijdraagt tot een robuuste bescherming van persoonsgegevens.