Nederland ICT heeft in samenwerking met haar leden de Data Pro Code ontwikkeld: een concrete invulling van de eisen van de AVG. Deze gedragscode is specifiek voor verwerkers (data processors). Dit zijn ICT-bedrijven die in opdracht van een ander data verwerken.
De Data Pro Code is een nadere uitwerking van de verplichtingen voor data processors (verwerkers) op grond van artikel 28 AVG en is van toepassing op verwerkingen in Nederland. De Data Pro Code geeft concrete gedragsregels voor verwerkers. De kern daarvan vormen de informatieplichten voor de data processor en de verantwoording door middel van toezicht.
Om te voldoen aan de informatieplichten vraagt de Data Pro Code om het invullen van een Data Pro Statement. In het Data Pro Statement informeren data processors op welke wijze zij concreet invulling hebben gegeven aan de AVG. Het Data Pro Statement vormt tezamen met de Standaardclausules voor verwerkingen een verwerkersovereenkomst.
De Data Processor die aantoonbaar in voldoende mate voldoet aan het gestelde in de Data Pro Code, wordt opgenomen in het Data Pro register. Een Data Processor die is geregistreerd, onderwerpt zich aan extern toezicht. Een Data Processor die niet, of niet langer, in voldoende mate voldoet aan het gestelde in de Data Pro Code, wordt verwijderd uit het Data Pro register. De Data Pro Code ligt momenteel ter goedkeuring bij de Autoriteit Persoonsgegevens.
1. De data processor informeert zijn opdrachtgever over de door hem getroffen beveiligingsmaatregelen ten aanzien van zijn dienst of product op zodanige wijze dat een opdrachtgever zelf in staat is een beoordeling te maken of deze voldoende zijn, gezien het door de opdrachtgever voorgenomen gebruik van de dienst of het product en daarmee mogelijke verwerking van persoonsgegevens. Data processor verwoordt dit in een Data Pro Statement.
De data processor heeft een ‘Data Pro Statement’ gepubliceerd of deze is opgenomen in de verwerkersovereenkomst.
In het Data Pro Statement is ten minste opgenomen:
het door de data processor gekozen information security management systeem, de beveiligingsnorm(en) of -standaard;
de – indien van toepassing –certificering(en) van de data processor;
of en welke (sub)data processors door de data processor worden ingezet;
op welke wijze gedurende de looptijd van de overeenkomst de persoonsgegevens van opdrachtgever verwijderd kunnen worden;
de bewaartermijn, indien wordt afgeweken van een vernietigingstermijn van
3 maanden;
de contactgegevens van de contactpersoon voor dataprotectie binnen de organisatie van de data processor.
In het Data Pro Statement is ten minste opgenomen:
In het Data Pro Statement informeert de data processor tenminste over de volgende beveiligingsmaatregelen:
pseudonimisering en versleuteling van persoonsgegevens;
het vermogen om op een permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
het vermogen om bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen (back-ups, redundantie).
In het Data Pro Statement informeert de data processor tenminste over de volgende beveiligingsmaatregelen:
2. De data processor maakt in zijn verwerkersovereenkomst gebruik van de bij de Data Pro Code behorende Standaardclausules voor verwerkingen, of een daarmee vergelijkbare verwerkersovereenkomst.
Data processor houdt in zijn contractadministratie bij of de Standaardclausules voor verwerkingen van toepassing zijn.
Data processor houdt in zijn contractadministratie bij of een andere verwerkersovereenkomst of standaardclausules van toepassing zijn.
3. De data processor informeert zijn opdrachtgever welke processen en procedures hij heeft ingericht waarmee de opdrachtgever, die controller is, gehoor kan geven aan de rechten van data subjects.
De data processor informeert zijn opdrachtgever over de mogelijkheden van data subjects om hun rechten te kunnen uitoefenen, waaronder hun recht op inzage, correctie, verzet en vergetelheid, in relatie tot de dienstverlening van de data processor aan zijn opdrachtgever, bijvoorbeeld in het Data Pro Statement.
4. Indien de data processor in zijn organisatie een datalek ontdekt, zal de data processor zijn opdrachtgever daarvan zo snel mogelijk op de hoogte stellen, zodat de controller kan voldoen aan zijn wettelijke verplichting binnen 72 uur nadat hij er kennis van heeft genomen te melden bij de Autoriteit Persoonsgegevens of de betrokken data subjects. Wel of niet melden blijft de verantwoordelijkheid van de controller.
De data processor zal de opdrachtgever of de controller desgewenst ondersteunen bij het meldproces.
De data processor levert bij een datalek de benodigde informatie en ten minste:
een omschrijving van het incident, aard van de inbreuk, aard van de persoonsgegevens c.q. categorieën van betrokken data subjects, schatting van het aantal betrokken data subjects en mogelijke betrokken databases, indicatie wanneer incident heeft plaatsgevonden (wat is er gebeurd?);
contactgegevens contactpersoon (waar kan de controller met vragen terecht?);
mogelijke gevolgen (wat kan er gebeuren, waar moet de controller, dan wel het data subject, op bedacht zijn, wijzen op de mogelijkheden van identiteitsfraude als gegevens als BSN-nummers, inlog en wachtwoordgegevens, paspoort kopieën mogelijk in verkeerde handen terecht zijn gekomen);
genomen maatregelen (wat heeft de data processor gedaan om eventuele schade te beperken of dit in de toekomst te voorkomen?);
te nemen maatregelen door de controller dan wel betrokken data subjects (wat kunnen betrokken data subjects zelf doen, bijvoorbeeld “houd mail in de gaten, wijzig wachtwoorden”);
de data processor blijft de opdrachtgever op de hoogte houden van verdere ontwikkelingen.
De data processor levert bij een datalek de benodigde informatie en ten minste:
5. De data processor toetst en evalueert regelmatig zijn dataprotectiebeleid en genomen beveiligingsmaatregelen en past deze waar nodig aan.
Bij relevante ontwikkelingen informeert Data processor zijn opdrachtgever over de door hem uitgevoerde (interne) controles, zoals door:
wel of niet verkregen hercertificering, bijvoorbeeld door een verwijzing naar een openbaar toegankelijke register;
informatie over periodieke externe controles, zoals audits of beschikbaar stellen van een Third Party Memorandum (TPM’s);
informatie, of relevante onderdelen, uit een assurance rapport met conclusies over de bevindingen van de auditor;
eigen controles of eigen mededelingen door de data processor.
Bij relevante ontwikkelingen informeert Data processor zijn opdrachtgever over de door hem uitgevoerde (interne) controles, zoals door:
1. Toetsing en toezicht
Er is een onafhankelijke toezichthouder op de Data Pro Code, de Data Pro Toezichthouder.
De Data Pro Toezichthouder draagt zorg voor toezicht op het toetsingsproces en op naleving van de Data Pro Code door data processor.
De data processor die de Data Pro Code toepast zal zich onafhankelijk laten toetsen.
Toetsing bestaat uit periodieke toetsing en additionele toetsingen. Periodieke toetsingen vinden jaarlijks plaats. Additionele toetsingen vinden plaats op ad random basis en kunnen plaatsvinden naar aanleiding van een klacht of signaal.
Bij toetsing met een voldoende resultaat wordt de data processor door de Data Pro Toezichthouder opgenomen in het openbaar toegankelijk Data Pro register.
Een geregistreerde data processor verkrijgt een gebruiksrecht om het Data Pro Certificate te gebruiken waarmee hij aantoont dat hij zich houdt aan het gestelde in de Data Pro Code.
2. Data Pro register
De Data Pro Toezichthouder beheert het Data Pro register en maakt het register openbaar.
De Data Pro Toezichthouder besluit tot opname van een data processor in het register.
Bij een onvoldoende resultaat na toetsing, of indien een klacht, wet of openbare orde daartoe aanleiding geven, zal de Data Pro Toezichthouder besluiten tot het verwijderen van de betreffende data processor uit het Data Pro register. De Data Pro Toezicht-houder kan besluiten verwijdering uit het Data Pro register openbaar te maken.
3. Klachten
De Data Pro Toezichthouder draagt zorg voor een klachtenprocedure.
1. Werking
Deze code is in werking vanaf [datum goedkeuring AP]
2. Data Pro Code College en aanpassing Data Pro Code
Er is een Data Pro Code College.
Deze code wordt regelmatig geëvalueerd, tenminste eens per twee jaar door het Data Pro Code College.
Wijzigingen op de code worden eerst vastgesteld door het Data Pro Code College.
Eventuele wijzigingen in de code zullen opnieuw aan de Autoriteit Persoonsgegevens worden voorgelegd ter goedkeuring.
De Data Pro Toezichthouder zal van een voornemen tot eventuele wijzigingen van de code vooraf kennis geven aan alle geregistreerde data processors opdat zij voldoende tijd hebben te (blijven) voldoen aan de recentste versie van de code.
Omschrijving en beoordeling dienstverlening
De door de data processor aangeboden diensten of producten zijn door de data processor omschreven en beoordeeld, rekening houdend met de markt waarin hij opereert, het door de data processor beoogd gebruik van zijn dienst of product en daarmee de binnen of met zijn dienst of product verwachte aard van de te verwerken data en het aantal te verwerken data subjects.
Beleid en governance
De data processor heeft een gedocumenteerd beleid voor dataprotectie, waaronder een datalekprocedure.
Organisatie en middelen
De data processor heeft zijn dataverwerking in kaart gebracht.
Limitering gebruik
De data processor heeft geborgd dat de verkregen persoonsgegevens van zijn opdrachtgever uitsluitend worden verwerkt voor de verlening van zijn diensten aan die opdrachtgever.
Beveiliging van persoonsgegevens
5.1 De data processor heeft passende technische en organisatorische maatregelen getroffen om een beveiligingsniveau voor persoonsgegevens te waarborgen dat is afgestemd op het risico dat is verbonden aan het door de data processor beoogde gebruik van zijn dienst of product.
5.2 Bij de beoordeling van het passende beveiligingsniveau houdt de data processor rekening met de verwerkingsrisico’s verbonden aan zijn dienst of product, met name ten aanzien van mogelijke gevolgen van vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens binnen of via zijn dienst of product, hetzij per ongeluk hetzij onrechtmatig.
5.3 De data processor hanteert een information security management systeem, beveiligingsnorm of -standaard, waarbij is voorzien in een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de getroffen beveiligingsmaatregelen voor persoonsgegevens door de data processor (plan, do, check, act).
Deze publicatie is ook te vinden in de dossiers AVG en Informatiebeveiliging
Bron: Nederland ICT
