8
Feb
2017

Gedragscodes op het gebied van privacyrecht

Er zijn inmiddels meerdere gedragscodes voor verschillende branches die voorschrijven hoe je moet omgaan met persoonsgegevens. De gedragscodes worden opgesteld door de branches zelf en de Autoriteit Persoonsgegevens kan op verzoek een goedkeurende verklaring afgeven. Ook in de Europese Privacyverordening wordt verwezen naar deze gedragscodes (codes of conduct).

Als een branche op dit moment een goedkeurende verklaring wil van de Autoriteit Persoonsgegevens, wordt er gekeken of de gedragscode voldoet aan de formele en inhoudelijke eisen. Een formele eis is bijvoorbeeld dat u kunt aantonen dat u als aanvrager voldoende representatief bent en dat de betrokken sector voldoende nauwkeurig is omschreven. Inhoudelijk is het bijvoorbeeld vereist, dat de gedragscode concreter is dan de Wet bescherming persoonsgegevens. Indien de gedragscode uiteindelijk wordt goedgekeurd, wordt deze gepubliceerd in de Staatscourant. Een voorbeeld van een dergelijke gedragscode is de gedragscode voor slimme meters van energieleveranciers: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gedragscodes/gedragscode-slimme-meters-van-energieleveranciers.

De Europese Privacyverordening moedigt ook het opstellen van gedragscodes aan door verenigingen en andere organen, die bepaalde branches vertegenwoordigen. De verordening stelt dat bij het opstellen van een gedragscode, of bij een wijziging of uitbreiding van een dergelijke code dat de aanvragers categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, overleg plegen met de belanghebbenden ter zake, waaronder waar mogelijk met betrokkenen, en rekening houden met bijdragen en standpunten naar aanleiding van dit overleg.

Verenigingen en andere organen, die bepaalde branches vertegenwoordigen, kunnen deze gedragscodes volgens de verordening opstellen, wijzigen en uitbreiden, met als doel om de verordening nader toe te lichten, met betrekking tot:

  • behoorlijke en transparante verwerking;
  • de gerechtvaardigde belangen die door verwerkingsverantwoordelijken in een specifieke context worden behartigd;
  • de verzameling van gegevens;
  • de pseudonimisering van persoonsgegevens;
  • de aan het publiek en betrokkenen verstrekte informatie;
  • de uitoefening van de rechten van betrokkenen;
  • de informatie verstrekt aan en de bescherming van kinderen en de wijze waarop de toestemming wordt verkregen van de personen die de ouderlijke verantwoordelijkheid voor kinderen dragen;
  • de maatregelen en procedures als bedoeld in de artikelen 24 en 25 en de maatregelen ter beveiliging van de verwerking als bedoeld in artikel 32 van de Privacyverordening;
  • de kennisgeving van inbreuken in verband met persoonsgegevens aan toezichthoudende autoriteiten en de mededeling van die inbreuken in verband met persoonsgegevens aan betrokkenen;
  • de doorgifte van persoonsgegevens aan derde landen of internationale organisaties; of
  • buitengerechtelijke procedures en andere procedures voor de beslechting van geschillen tussen verwerkingsverantwoordelijken en betrokkenen met betrekking tot verwerking, onverminderd de rechten van betrokkenen op grond van de artikelen 77 en 79 van de Privacyverordening. 

De gedragscodes dragen er aan bij dat verantwoordelijken en verwerkers die zich bezighouden met dezelfde verwerkingsactiviteiten, zich uniform gedragen en bovendien het wiel niet opnieuw uit hoeven te vinden. Ook kunnen gedragscodes transport van persoonsgegevens buiten de Europese Economische Ruimte faciliteren, omdat buitenlandse verantwoordelijke en verwerkers zich er aan kunnen committeren en zo bijdragen aan het bieden van ‘passende waarborgen’ voor verwerking van persoonsgegevens in het buitenland. Onder voorwaarden kan door de Europese Commissie bepaald worden dat de gedragscode binnen de Unie algemeen geldig is.

Wilt u meer weten over dit onderwerp, neemt u dan gerust contact met ons op.