Hoe maak je een gedragscode? Onze lessen na 2 jaar Data Pro
Het was een klein hoera-momentje toen het ontwerpbesluit van de Autoriteit Persoonsgegevens (AP) over de (voorwaardelijke) goedkeuring van de Data Pro Code op 12 augustus 2019 gepubliceerd werd. De Data Pro Code is een gedragscode voor verwerkers onder de Algemene Verordening Gegevensbescherming (AVG), die ter goedkeuring is voorgelegd aan de AP op grond van artikel 40 AVG. Een mooi resultaat van een project waar ik me bij NLdigital de afgelopen twee jaar mee mocht bezighouden.Maar waarom kiest een branchevereniging voor dit traject? Hoe zijn we te werk gegaan? Wat staat er in de Data Pro Code en hoe werkt het goedkeuringsproces met de AP in de praktijk?
Het waarom
Onderzoek onder de leden van NLdigital liet zien dat 70% van hen naast verwerkingsverantwoordelijke voornamelijk verwerker is, 40% een FG nodig heeft en ongeveer 75% van de leden onder de definitie van kleine of micro ondernemingen van de Europese Commissie valt. Er zijn dus veel kleine IT-bedrijven die op een behoorlijk grote berg soms gevoelige data van hun klanten zitten en die door hun omvang niet goed uitgerust zijn om de AVG te implementeren. De gedachte was om een laagdrempelige manier te verzinnen om kleine verwerkers in de IT te helpen bij hun AVG-compliance. Zo professionaliseer je deze data professionals en vergroot je het vertrouwen bij verwerkingsverantwoordelijken in hun data processors.
Resultaat: Een gedragscode, de Data Pro Code en een set standaard contractbepalingen die samen met het zogenaamde Data Pro Statement een verwerkersovereenkomst vormen. Daarnaast een hele zwik tools, cursussen en waar nodig praktische ondersteuning vanuit NLdigital. Tot slot is er de mogelijkheid om onafhankelijk te laten toetsen of de data processor voldoet aan de Data Pro Code, waarna hij een Data Pro-certificaat kan krijgen om zo ook aan klanten te laten zien dat hij zijn AVG-compliance op orde heeft. Zo help je juist micro- en kleine bedrijven goed op weg. Ieder bedrijf kan op eigen tempo, naar eigen draagkracht, middelen en inzicht stap voor stap compliant worden – zo was de gedachte.
De werkwijze
Conform artikel 40 AVG kunnen alleen organen die een bepaalde categorie van partijen vertegenwoordigen een gedragscode laten goedkeuren. Een branchevereniging is bij uitstek het beoogde orgaan om codes ter goedkeuring bij de AP voor te leggen.
De Data Pro Code is in intensief overleg met een groep van belanghebbenden opgesteld. De deelnemers vormden een gevarieerd gezelschap. Privacyexperts, securitymensen, grote bedrijven, microbedrijfjes, verwerkingsverantwoordelijken en verwerkers. Zo’n gevarieerd gezelschap is van belang om draagvlak te creëren, maar ook om te zorgen dat het een evenwichtige, maar voor de kleinere ondernemers ook werkbare code wordt. Het gevaar van alleen maar experts en grote bedrijven bij elkaar zetten is dat de privacylat al snel heel hoog wordt gelegd, met als gevolg dat die kleine bedrijfjes, waar het tenslotte om te doen was, er nooit aan beginnen. Iets simpels als het scheiden van functies werkt nu eenmaal anders bij een driemansbedrijf dan bij een beursgenoteerde onderneming. Vervolgens is met vele stakeholders, zowel binnen als buiten NLdigital overleg geweest, onder wie met name ook de AP, die al vanaf het prille begin is meegenomen in de gedachtevorming.
De inhoud
De spil in de Data Pro Code is deel 1 van de verwerkersovereenkomst, het Data Pro Statement. In het Data Pro Statement vult een verwerker alle voor zijn bedrijf relevante informatie in die hij op grond van artikel 28 AVG in zijn verwerkersovereenkomst met zijn klanten moet neerleggen, zoals een beschrijving van de producten en daarmee de verwerkingen, of het product wel of niet geschikt is voor bijzondere persoonsgegevens, hoe wordt omgegaan met inzage- en verwijderverzoeken, zijn sub-verwerkers, samenvatting van de beveiliging en de datalekkenprocedure. Dit zijn allemaal verplichte onderdelen uit artikel 28 AVG, waarover ‘iets’ moet worden afgesproken, maar die voor ieder bedrijf anders zijn en daarmee niet gestandaardiseerd kunnen worden. Het Data Pro Statement vormt een uitstekende checklist voor verwerkers en vormt na invullen praktisch gezien een mini privacybeleid voor de verwerker. Zie het als de tegenhanger van een privacystatement, maar dan voor verwerkers. In de bijbehorende standaardclausules voor verwerkingen worden die onderdelen uit artikel 28 AVG geregeld die je wel kunt standaardiseren, zoals afspraken over geheimhouding, looptijd en audits. Samen vormen ze de verwerkersovereenkomst, die op zijn beurt weer onderdeel is van de hoofdovereenkomst tussen partijen.
Het is voor juristen een enorm lastige, maar zeer bewuste keuze geweest om een neutrale verwerkersovereenkomst te maken. De insteek is dat deze verwerkersovereenkomst door een verwerker twee kanten op gebruikt kan worden: zowel richting zijn klant, als richting zijn sub-verwerkers in de keten. Dat is niet alleen praktisch voor die micro-ondernemingen die het soms al lastig vinden om te begrijpen dat ze de algemene voorwaarden toch echt wel moeten meesturen naar hun klanten, maar geeft ook tegenwicht aan de extreem eenzijdige verwerkersovereenkomsten die met name verwerkingsverantwoordelijken de afgelopen tijd de wereld in hebben geslingerd. Ik denk niet alleen aan de aanpassingen in de Algemene Rijksvoorwaarden bij IT‑overeenkomsten (ARBIT), Algemene Rijksinkoopvoorwaarden (ARIV) en Algemene Rijksvoorwaarden voor diensten (ARVODI), waarbij aansprakelijkheid op schending van privacy ongelimiteerd is geworden (waar dat in de Wbp-tijd gewoon onder de exoneratie viel) en boetes gemakshalve onder de definitie van schade zijn gebracht. Ook het template van de Orde van Advocaten is erg eenzijdig. Niet alleen is de aansprakelijkheid ongelimiteerd, maar verwerkers moeten vrijwaren tegen schade en boetes van de AP. Daarna volgt een boetebeding op schending van de verwerkersovereenkomst, zonder dat verwerker in de gelegenheid gesteld hoeft te worden zich te verdedigen tegen enige aanspraak. Alsof het elke ICT-verwerker er om te doen is om alle dossiers van de gemiddelde eenpitteradvocaat lekker op straat te gooien.
In de Data Pro-verwerkersovereenkomst staat geen exoneratie, boetes blijven voor diegene die door de AP ‘schuldig’ bevonden is en de beoordeling of iets een datalek is blijft waar die hoort, namelijk bij de verantwoordelijke. De juridische risicoverdeling en ander ‘juridisch geneuzel’ wordt expliciet aan de hoofdovereenkomst of algemene voorwaarden overgelaten. Dit voorkomt veel discussie over de verwerkersovereenkomst, die tenslotte wettelijk verplicht is, en laat bestaande contractuele afspraken intact.
De Autoriteit Persoonsgegevens
Gedragscodes worden in behandeling genomen door de Directie Systeemtoezicht, Beveiliging en Technologie van de AP. De ervaring leerde dat de AP zeer welwillend is om tot deze gedragscode te komen. Een gedragscode is een vorm van systeemtoezicht waarmee het toezichthoudende werk van de AP verlicht kan worden. Immers, iedereen die zich bij een gedragscode aansluit, moet zich ook aan toezicht binnen die gedragscode onderwerpen. Dat bevordert compliance zonder dat de AP daar veel omkijken naar heeft. Ook de AP wil graag stappen vooruitzetten onder de AVG. Maar de praktijk is weerbarstig. Steeds weer moest NLdigital het belang van de micro-onderneming benadrukken, en dat er bij dergelijke bedrijven toch echt andere onderwerpen van belang zijn dan bij grote corporates. Ook wil de AP graag een sectorspecifieke code. Maar in welke ‘sector’ werkt een cloudprovider die een Elektronisch Patiëntendossier (EPD) maakt? Of een softwarebedrijf dat (cloud-)software maakt voor het verwerken van binnenkomende facturen? De grote gemene deler is in dit geval het zijn van verwerker, en niet de sector waarin gewerkt wordt. Dat maakt ook dat de minimale beveiligingseisen die gesteld worden flexibel moeten zijn, omdat de beveiliging van bijzondere gegevens in een EPD nu eenmaal anders moet zijn dan die voor simpele bonnetjes. Daar waar de AP graag concreet toetsbare regels wil zien, wilde NLdigital juist voor open normen kiezen, waarmee gestuurd wordt op verbeteren van gedrag. De oplossing is gevonden in het Data Pro Statement. Hierin krijgt een ICT-verwerker de ruimte om zijn eigen beleid voor zijn product concreet te maken en kun je concreet extern toetsen of hij zich aan zijn zelf-opgelegde norm houdt. Volgens mij is dat ook juist waar de AVG over gaat, namelijk uitleggen wat je doet, zodat verwerkingsverantwoordelijken kunnen beoordelen of de maatregelen in hun situatie afdoende zijn en ruimte om te toetsen of dat ook daadwerkelijk gebeurt.
Een verrassing vrij laat in het proces waren de guidelines van de European Data Protection Board (EDPB) over gedragscodes die vereisen dat er ook een toezichthoudend orgaan moet zijn dat toezicht houdt op een gedragscode. De EDPB geeft hiermee een stringente interpretatie aan artikel 41 lid 1 AVG dat, zo blijkt, op twee manieren gelezen kan worden. De EDPB, en daarmee de AP, vindt dat er een geaccrediteerde toezichthouder moet zijn, terwijl je ook kunt lezen dat niet geaccrediteerd toezicht kan volstaan. Om kosten voor de kleine en micro-ondernemingen te drukken, maar ook om de voortgang erin te houden, had NLdigital gekozen voor een toezichtsysteem dat (nog) niet geaccrediteerd zou zijn. Het toezicht zoals dat in een eerdere versie van de code was geborgd, waarbij een onafhankelijke, externe auditor bij de verwerker toetst of hij zich aan de code houdt (en waarmee hij een certificaat kan krijgen, zodat hij kan laten zien dat hij de toetsing met goed gevolg heeft doorlopen) werd na de publicatie van de guidelines niet meer als voldoende gezien. Er moet dus een extra orgaan komen, dat erop toeziet dat de aangesloten verwerkers zich aan de Data Pro Code houden. Om toch tot een goedkeuring van de code te kunnen komen, is ervoor gekozen om het besluit onder een opschortende voorwaarde te nemen. De voorwaarde is dat er een toezichthoudend orgaan wordt opgericht (dat staat al in de steigers), dat vervolgens geaccrediteerd wordt. De criteria voor accreditatie van een toezichthoudend orgaan en certificering zijn nog niet gepubliceerd, dus de accreditatie kan pas daarna formeel starten.
Tot slot nog een typische toevoeging. De Data Pro Code is van toepassing op verwerkingen in Nederland. Nu dacht ik dat we door de AVG in heel Europa dezelfde regels hadden gekregen, voor zover dat onder de richtlijn nog niet zo was. Dus waarom zou wat hier geldt, niet ook in Spanje van toepassing zijn? Bij cloudtoepassingen is territoriale afbakening überhaupt een beetje gek. De afbakening was echter een eis van de AP. Die kan conform artikel 40 lid 6 AVG alleen een gedragscode goedkeuren voor verwerkingen in de eigen lidstaat. Als we goedkeuring voor toepasselijkheid in de hele EU hadden gewild, moet de gedragscode langs de EDPB en door alle 28 (of 27) landen worden goedgekeurd. Om een vorm van snelheid in het proces te behouden, heeft NLdigital er voor gekozen om Europa-brede goedkeuring tot een latere fase te bewaren. Eenvormigheid in Europa is in de praktijk zo gemakkelijk nog niet.
De toekomst
De Data Pro Code, de standaard verwerkersovereenkomst en de mogelijkheid tot onafhankelijke certificering zijn een feit. De Data Pro-verwerkersovereenkomst wordt door honderden bedrijven gebruikt, de eerste bedrijven zijn gecertificeerd en anderen zitten in het certificatieproces. Daarmee zijn al die kleine verwerkers zich bewust geworden van de stappen die ze moeten nemen onder de AVG en hebben zij werkbare en betaalbare middelen gekregen om hun privacy compliance op orde te krijgen en te houden. Daarmee is een belangrijke doelstelling van het project bereikt. Het formele proces duurt helaas langer dan gehoopt. De komende tijd zal blijken of de door NLdigital ingeslagen weg met betrekking tot de Data Pro-toezichthouder en het Data Pro-certificaat de goedkeuring van de AP kan wegdragen, of dat er nog het nodige moet worden aangepast. Privacy-compliance blijft zo een doorlopend veranderproces, maar dat wisten we al.
Dit artikel is eerder verschenen op Open Recht: Huydecoper, De Data Pro Code, eerste goedgekeurde gedragscode onder de AVG in Europa, OpenRecht, 25 september 2019, JCDI:ALT459:1
Het laatste nieuws
Bijna 10.000 nieuwe ICT-talenten opgeleid via CA-ICT
Het belang van innovatief aanbesteden: een stap naar een succesvolle digitale overheid
Rapport: ICT Markttoets Content Services Platform voor BZK
Noodkreet bedrijfsleven en kennisorganisaties: sloop van innovatieklimaat dreigt
