Lees eerst de uitgangspunten
Hiermee kom je meer te weten over de Data Pro Code
NLdigital heeft in samenwerking met haar leden de Data Pro Code ontwikkeld: een concrete invulling van de eisen van de Avg. Deze gedragscode is specifiek voor verwerkers (data processors). Dit zijn ICT-bedrijven die in opdracht van een ander data verwerken.
De eerste versie van deze code is opgesteld in mei 2017. De meest recente versie is van april 2019 en is gelijk aan de versie zoals gepubliceerd door de Autoriteit Persoonsgegevens in haar ontwerpbesluit van 12 augustus 2019, Staatsblad 43001.
De Data Pro Code is een nadere uitwerking van de verplichtingen voor data processors (verwerkers) op grond van artikel 28 Avg en is van toepassing op verwerkingen in Nederland. De Data Pro Code geeft concrete gedragsregels voor verwerkers. De kern daarvan vormen de informatieplichten voor de data processor en de verantwoording door middel van toezicht.
Om te voldoen aan de informatieplichten vraagt de Data Pro Code om het invullen van een Data Pro Statement. In het Data Pro Statement informeren data processors op welke wijze zij concreet invulling hebben gegeven aan de Avg. Het Data Pro Statement vormt tezamen met de Standaardclausules voor verwerkingen een verwerkersovereenkomst.
De Data Processor die aantoonbaar in voldoende mate voldoet aan het gestelde in de Data Pro Code, wordt opgenomen in het Data Pro register. Een Data Processor die is geregistreerd, onderwerpt zich aan extern toezicht. Een Data Processor die niet, of niet langer, in voldoende mate voldoet aan het gestelde in de Data Pro Code, wordt verwijderd uit het Data Pro register.
Hieronder vind je de drie principes van de Data Pro Code. Klik op een principe voor de volledige tekst.
Principe 1 - Informatieverplichtingen - Data Pro Statement
Principe 2 - Toetsing en toezicht
Principe 3 - Werking en aanpassing Data Pro Code
De door de data processor aangeboden diensten of producten zijn door de data processor omschreven en beoordeeld, rekening houdend met de markt waarin hij opereert, het door de data processor beoogd gebruik van zijn dienst of product en daarmee de binnen of met zijn dienst of product verwachte aard van de te verwerken data en het aantal te verwerken data subjects.
De data processor heeft een gedocumenteerd beleid voor dataprotectie, waaronder een datalekprocedure.
De data processor heeft zijn dataverwerking in kaart gebracht.
De data processor heeft geborgd dat de verkregen persoonsgegevens van zijn opdrachtgever uitsluitend worden verwerkt voor de verlening van zijn diensten aan die opdrachtgever.
5.1 De data processor heeft passende technische en organisatorische maatregelen getroffen om een beveiligingsniveau voor persoonsgegevens te waarborgen dat is afgestemd op het risico dat is verbonden aan het door de data processor beoogde gebruik van zijn dienst of product.
5.2 Bij de beoordeling van het passende beveiligingsniveau houdt de data processor rekening met de verwerkingsrisico’s verbonden aan zijn dienst of product, met name ten aanzien van mogelijke gevolgen van vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens binnen of via zijn dienst of product, hetzij per ongeluk hetzij onrechtmatig.
5.3 De data processor hanteert een information security management systeem, beveiligingsnorm of -standaard, waarbij is voorzien in een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de getroffen beveiligingsmaatregelen voor persoonsgegevens door de data processor (plan, do, check, act).