NL accreditatie-vereisten voor organen die toezicht houden op de AVG-gedragscode

Geraadpleegd op 04-11-2024.
Geldend van 10-03-2021 t/m heden

NL accreditatie-vereisten voor organen die toezicht houden op de AVG-gedragscode

De Autoriteit Persoonsgegevens (hierna te noemen: AP),

Overwegende dat in artikel 41, eerste lid, van de Algemene Verordening Gegevensbescherming (AVG) 2016/679 van 26 april 2016 wordt gesteld dat toezicht op de naleving van goedgekeurde gedragscodes uitgeoefend kan worden door een onpartijdig toezichthoudend orgaan dat over de passende deskundigheid met betrekking tot het onderwerp van de gedragscode beschikt en daartoe door de bevoegde toezichthoudende autoriteit is geaccrediteerd;

Overwegende dat in artikel 41, derde lid, AVG, wordt gesteld dat de bevoegde toezichthoudende autoriteit de ontwerpcriteria voor accreditatie van een in het eerste lid van artikel 41 bedoeld orgaan voorlegt aan het Comité overeenkomstig het in artikel 63 en artikel 64, eerste lid, onderdeel c, bedoelde coherentiemechanisme;

Overwegende dat in artikel 57, eerste lid, aanhef en onder p, AVG, wordt bepaald dat elke toezichthoudende autoriteit verantwoordelijk is voor het opstellen en het bekendmaken van de vereisten voor de accreditatie van een orgaan voor het toezicht op gedragscodes op grond van artikel 41 van de AVG;

Overwegende dat in artikel 6, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG) wordt bepaald dat de AP de toezichthoudende autoriteit is, als bedoeld in artikel 51, eerste lid, van de AVG;

Overwegende dat het Europees Comité voor gegevensbescherming (EDPB) Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679, heeft aangenomen, en met name paragraaf 60 daarvan;

Overwegende dat in deze richtsnoeren een aantal vereisten wordt genoemd waaraan het voorgestelde toezichthoudend orgaan moet voldoen om accreditatie te krijgen, waarbij met name aan de volgende voorwaarden moet worden voldaan:

  • Aantonen van onafhankelijkheid en deskundigheid met betrekking tot het onderwerp van de gedragscode conform artikel 41, tweede lid, onderdeel a.

  • Aantonen van vastgestelde procedures op grond waarvan het kan beoordelen of de betrokken verwerkingsverantwoordelijken en verwerkers in aanmerking komen om de gedragscode toe te passen, het toezicht kan houden op de naleving van de bepalingen van de gedragscode door deze laatsten en het de werking van de gedragscode op gezette tijden kan toetsen conform artikel 41, tweede lid, onderdeel b.

  • Aantonen van vastgestelde procedures en structuren om klachten te behandelen over inbreuken op de gedragscode of over de wijze waarop daaraan uitvoering is of wordt gegeven door een verwerkingsverantwoordelijke of verwerker, en om die procedures en structuren voor betrokkenen en het publiek transparant te maken conform artikel 41, tweede lid, onderdeel c.

  • Aantonen ten genoegen van de bevoegde toezichthoudende autoriteit dat zijn taken en bevoegdheden niet tot een belangenconflict leiden conform artikel 41, tweede lid, onderdeel d.

    Overwegende dat de EDPB op 23 juli 2020 Opinion 07/2020 on the draft decision of the competent supervisory authority of Netherlands regarding the approval of the requirement for accreditation of a code of conduct monitoring body pursuant to article 41 GDPR heeft aangenomen.

    Heeft op 23 februari 2021 het volgende besluit genomen inzake de accreditatie-vereisten voor organen die toezicht houden op de AVG-gedragscode:

Accreditatie-vereisten

Met dit besluit wil de AP de ontwikkeling van gedragscodes voor kleine, middelgrote en micro-ondernemingen aanmoedigen teneinde een consistente uitvoering van de AVG te bevorderen, de rechtszekerheid voor verwerkingsverantwoordelijken en verwerkers te vergroten en het vertrouwen van de betrokkenen te versterken. De eis dat gedragscodes onder toezicht moeten staan van een geaccrediteerd toezichthoudend orgaan mag de ontwikkeling van gedragscodes niet in de weg staan. Bij de toepassing van accreditatie-eisen voor toezichthoudende organen moet derhalve rekening worden gehouden met de specifieke kenmerken van de verwerking in elke sector. De toepassing moet daarnaast zo flexibel mogelijk zijn terwijl tegelijkertijd wordt voldaan aan het wettelijk kader dat wordt gevormd door de AVG, de Guidelines 01/2019 en de relevante Adviezen van de EDPB.

De AP behoudt zich het recht voor een op risicoanalyse gebaseerde toetsing van het toezichthoudend orgaan uit te voeren om te waarborgen dat het orgaan nog steeds voldoet aan de eisen voor accreditatie. Een dergelijke toetsing kan (onder andere) worden geïnitieerd door wijzigingen van de gedragscode, wezenlijke veranderingen bij het toezichthoudend orgaan of wanneer het toezichthoudend orgaan nalaat zijn toezichthoudende functies uit te voeren. In het geval van wezenlijke veranderingen bij het toezichthoudend orgaan die betrekking hebben op de mogelijkheid van het orgaan om onafhankelijk en effectief te functioneren, wordt een toetsing altijd uitgevoerd.

Het toezichthoudend orgaan behoudt zijn accreditatiestatus tenzij de uitkomst van deze toetsing is dat niet langer wordt voldaan aan de vereisten voor accreditatie.

Wanneer een nieuw of aanvullend orgaan wordt geïntroduceerd om toezicht te houden op een gedragscode dient het nieuwe orgaan beoordeeld te worden in lijn met de accreditatiecriteria.

De in dit document opgesomde vereisten zijn op een toezichthoudend orgaan van toepassing ongeacht of het een intern of extern orgaan betreft, tenzij in het vereiste anders is vermeld.

1. Onafhankelijkheid

Toelichting:

Het toezichthoudend orgaan toont zijn onafhankelijkheid en onpartijdigheid aan. Het toezichthoudend orgaan toont aan hoe zijn structuur en formele benoemingsregels waarborgen dat het vrij van instructies kan handelen en dat het beschermd is tegen elke vorm van inmenging of sancties van de deelnemers aan de gedragscode of de gedragscodehouder ten gevolge van de uitoefening van zijn taken.

De onderstaande eisen geven aan wat verstaan wordt onder onafhankelijkheid. Dit dient te worden aangetoond op vier belangrijke gebieden: juridische en besluitvormingsprocedures, financiën, organisatie en verantwoording. Onafhankelijkheid van een toezichthoudend orgaan kan opgevat worden als een serie formele regels en procedures voor de benoeming, het mandaat en het functioneren van het toezichthoudend orgaan. Deze regels en procedures stellen het toezichthoudend orgaan in staat zijn toezichthoudende taken uit te voeren zonder invloed van de deelnemers aan de gedragscode of de gedragscodehouder.

De structuur en leiding van toezichthoudende organen is zodanig dat hun onafhankelijkheid en onpartijdigheid gewaarborgd is en zij moeten dit bij indiening aantonen aan de AP.

Interne organen moeten bewijs overleggen om te waarborgen dat de onafhankelijkheid van hun toezichthoudende activiteiten niet wordt gecompromitteerd.

Eisen:

  • 1.1 Juridische en besluitvormingsprocedures

    • 1.1.1 Juridische en besluitvormingsprocedures

      • De juridische structuur van het toezichthoudend orgaan, met inbegrip van de eigendom, moet het toezichthoudend orgaan afschermen van beïnvloeding van buitenaf met betrekking tot de gedragscodehouder en de deelnemers aan de gedragscode. Dit kan bijvoorbeeld worden aangetoond door indiening van de volgende documenten: de statuten (de formele documenten die bij een overheidsinstantie zijn ingediend om de oprichting van een onderneming rechtsgeldig te maken) van het toezichthoudend orgaan en de statuten van de gedragscodehouder. Ook kan worden aangetoond dat de termijn, of het verstrijken van het mandaat, van het toezichthoudend orgaan zodanig is dat voorkomen wordt dat men te zeer afhankelijk is van een verlenging of te bang is de aanstelling te verliezen waardoor de onafhankelijkheid bij het uitvoeren van de toezichthoudende activiteiten door het toezichthoudend orgaan in het geding komt.

      • Het toezichthoudend orgaan maakt melding van elke juridische en economische band die mogelijk bestaat tussen het toezichthoudend orgaan en de gedragscodehouder of deelnemers aan de code, alsmede met betrekking tot de beroepsgroep, branche of sector waarop de code betrekking heeft.

      • De besluitvormingsprocessen van het toezichthoudend orgaan moeten waarborgen dat het toezichthoudend orgaan tijdens de besluitvorming, vanaf het bedenken van een besluit tot de tenuitvoerlegging ervan, beschermd wordt tegen ongepaste beïnvloeding. De onafhankelijkheid en onpartijdigheid van de besluitvormingsprocedure kan bijvoorbeeld worden aangetoond door overlegging van het organogram van het toezichthoudend orgaan en de gedragscodehouder; een beschrijving van het besluitvormingsproces waarin ook gewezen wordt op de rollen en prerogatieven van alle partijen die betrokken zijn bij het besluitvormingsproces achter de besluitvormingsprocedure.

      • Het toezichthoudend orgaan kan een intern of extern orgaan zijn. Van belang is dat onderbouwd kan worden dat er adequate procedures en regels zijn die het mogelijk maken toezicht op de naleving van een gedragscode te houden zonder ongepaste druk of beïnvloeding van de gedragscodehouder of deelnemers aan de gedragscode.

    • 1.1.2 Het toezichthoudend orgaan toont aan dat het onafhankelijk zal handelen in zijn keuze en toepassing van maatregelen en sancties. Dit kan worden onderbouwd door formele regels voor benoeming, mandaten, bevoegdheden en functioneren van elk van de comités of medewerkers die betrokken kunnen zijn bij een intern toezichthoudend orgaan (bijv. comités of medewerkers dienen vrij te zijn van elke vorm van commerciële, financiële of andersoortige druk die van invloed kan zijn op besluiten).

    • 1.1.3 Een intern toezichthoudend orgaan verstrekt informatie met betrekking tot zijn relatie tot de grotere eenheid (met name de gedragscodehouder) en onderbouwt zijn onpartijdigheid. Hiertoe kunnen bewijzen worden overgelegd zoals barrières voor toegang tot informatie, gescheiden rapportage en gescheiden operationele en managementfuncties.

    • 1.1.4 Het toezichthoudend orgaan toont organisatorische onafhankelijkheid aan. Zo kan een intern toezichthoudend orgaan in voorkomend geval andere logo's of namen gebruiken, barrières voor toegang tot informatie of gescheiden rapportagestructuren instellen.

    • 1.1.5 Het toezichthoudend orgaan verleent geen diensten aan deelnemers aan de code die zijn onafhankelijkheid in het geding zouden brengen.

    • 1.1.6 Elk besluit van het toezichthoudend orgaan dat betrekking heeft op zijn functies is niet onderworpen aan goedkeuring door een andere organisatie, met inbegrip van de gedragscode.

  • 1.2 Financiën

    • 1.2.1 Het toezichthoudend orgaan toont aan dat het financieel stabiel is en over middelen beschikt om zijn activiteiten uit te voeren en aan zijn verplichtingen te voldoen. De middelen moeten in verhouding staan tot het verwachte aantal en de verwachte omvang en complexiteit van de deelnemers aan de code (zijnde de entiteiten waarop toezicht wordt gehouden), de aard en reikwijdte van de code (het onderwerp van de code) en de risico's die verbonden zijn aan de verwerkingsactiviteit(en).

    • 1.2.2 Het toezichthoudend orgaan is in staat om onafhankelijk zijn eigen budget en middelen te beheren en op effectieve wijze toe te zien op de naleving zonder enige vorm van beïnvloeding van de gedragscodehouder of deelnemers aan de code.

      Hiertoe kunnen bewijzen worden overgelegd die aantonen dat de middelen waarmee het orgaan financiële ondersteuning krijgt, zijn onafhankelijkheid niet in het geding brengen. Een toezichthoudend orgaan wordt bijvoorbeeld niet als financieel onafhankelijk beschouwd als volgens de regels inzake financiële ondersteuning een deelnemer aan de code, die onder toezicht staat van het toezichthoudende orgaan, zijn financiële bijdrage aan het orgaan kan stopzetten om een mogelijke sanctie van het orgaan te ontlopen.

    • 1.2.3 Het toezichthoudend orgaan toont de AP aan op welke wijze het de financiële ondersteuning krijgt om zijn toezichthoudende rol te kunnen uitoefenen en legt uit hoe dit zijn onafhankelijkheid niet compromitteert. Dit kan worden onderbouwd door overlegging van contractuele bepalingen of overige documentatie waaruit blijkt hoe het toezichthoudend orgaan financiële ondersteuning krijgt voor zijn toezichthoudende rol.

  • 1.3 Organisatie

    • 1.3.1 Het toezichthoudend orgaan toont aan dat het over adequate middelen (waaronder technische middelen) en medewerkers beschikt om zijn taken op effectieve wijze uit te voeren. De middelen moeten in verhouding staan tot het verwachte aantal en de verwachte omvang en complexiteit van de deelnemers aan de code en complexiteit en mate van risico's die verbonden zijn aan de gegevensverwerking. Het orgaan moet daarnaast aantonen dat het onafhankelijk van de gedragscodehouder en deelnemers aan de code kan handelen en beschermd is tegen inmenging of sancties als gevolg van deze taak.

    • 1.3.2 Het toezichthoudend orgaan overlegt tijdens het aanvraagproces bewijzen dat zijn medewerkers onafhankelijk kunnen handelen en zonder ongepaste druk of beïnvloeding in relatie tot:

      • a. toezicht op middelen en financiën van het toezichthoudend orgaan;

      • b. besluiten over en prestaties op het gebied van toezicht op de naleving; en

      • c. waarborgen van onpartijdigheid.

      Dergelijk bewijs kan onder andere bestaan uit gedocumenteerde wervings/benoemingsprocessen, functieomschrijvingen, risicoregisters, risicobehandelingen, notulen van bijeenkomsten en andere gedocumenteerde processen, naargelang van toepassing.

    • 1.3.3 Wanneer een toezichthoudend orgaan gebruikmaakt van onderaannemers, zorgt het ervoor dat er voldoende waarborgen zijn in termen van kennis, betrouwbaarheid en middelen bij de onderaannemer en dat verplichtingen die op het toezichthoudend orgaan van toepassing zijn op dezelfde wijze op de onderaannemer van toepassing zijn. Ook wanneer gebruik wordt gemaakt van onderaannemers waarborgt het toezichthoudend orgaan dat effectief toezicht wordt gehouden op de door de aannemer geleverde diensten. Het gebruik van onderaannemers laat de verantwoordelijkheid van het toezichthoudend orgaan onverlet. Dit kan onderbouwd worden met bewijs dat onder andere het volgende kan omvatten:

      • a. schriftelijke overeenkomsten of afspraken over bijvoorbeeld verantwoordelijkheden, geheimhouding, het soort gegevens dat wordt bewaard en een vereiste dat de gegevens veilig worden bewaard;

      • b. er moet tevens een heldere procedure voor onderaanneming worden gedocumenteerd met inbegrip van de voorwaarden waaronder dit mag plaatsvinden, een goedkeuringsproces en het toezicht op onderaannemers;

      • c. vereisten met betrekking tot het beëindigen van deze overeenkomsten, met name om te waarborgen dat onderaannemers aan hun verplichtingen inzake gegevensbescherming voldoen;

        en

      • d. het toezichthoudend orgaan verzekert dat er voldoende gedocumenteerde procedures zijn om de onafhankelijkheid, deskundigheid en ontbreken van belangenverstrengeling bij de onderaannemers te waarborgen.

  • 1.4 Verantwoordingsplicht

    • 1.4.1 Het toezichthoudend orgaan overlegt bewijzen om te onderbouwen dat het verantwoording aflegt voor zijn besluiten en maatregelen, bijvoorbeeld door het opstellen van een kader voor zijn rollen en verslagleggingsprocedures en zijn besluitvormingsproces teneinde de onafhankelijkheid te waarborgen. Dergelijk bewijs zou onder andere kunnen bestaan uit functieomschrijvingen, managementrapporten en beleid om bewustwording onder de medewerkers omtrent bestuursstructuren en bestaande procedures te vergroten (bijvoorbeeld door training).

2. Deskundigheid

Toelichting:

Met de onderstaande eisen wordt beoogd te waarborgen dat het toezichthoudend orgaan over adequate competenties beschikt om op effectieve wijze toezicht te houden op een gedragscode. De eisen die aan deze deskundigheid worden gesteld worden nader uitgewerkt in de gedragscode zelf. Deze code-specifieke eisen zijn afhankelijk van factoren als de omvang van de betreffende sector, de verschillende belangen en de risico's verbonden aan de verwerkingsactiviteiten. Deze code-specifieke eisen worden beschouwd als onderdeel van de accreditatie.

Wil een toezichthoudend orgaan voldoen aan de eisen omtrent deskundigheid, dan dient het aan te tonen dat zijn medewerkers over de vereiste deskundigheid en ervaring beschikken in relatie tot de sector, verwerkingsactiviteit, wetgeving inzake gegevensbescherming en controles om het toezicht op de naleving op effectieve wijze uit te voeren. Dit kan ten behoeve van de AP worden onderbouwd door onder andere functiebeschrijvingen van medewerkers, specificatievereisten, kwalificaties, vereiste of relevante ervaring, gepubliceerde rapporten, etc.

Eisen:

  • 2.1 Het toezichthoudend orgaan toont aan dat het een diepgaand inzicht, grondige kennis en gedegen ervaring heeft met betrekking tot de specifieke gegevensverwerkingsactiviteiten in relatie tot de gedragscode. Om te bewijzen dat het orgaan over erkende deskundigheid beschikt kan het zijn status aantonen als beroepsorganisatie, intern comité, brancheorganisatie, belangengroep, federatie, maatschappij, sectoraal, juridisch of controleorgaan of soortgelijk orgaan die of dat erkend en vindbaar is.

  • 2.2 Het toezichthoudend orgaan waarborgt dat medewerkers die zijn toezichthoudende functies uitvoeren of namens het toezichthoudend orgaan besluiten nemen, beschikken over grondige kennis over de sector en gegevensbescherming en over operationele deskundigheid, training en kwalificaties zoals eerder opgedane deskundigheid op het gebied van controles, toezicht of kwaliteitsborging.

  • 2.3 Het toezichthoudend orgaan toont aan dat het voldoet aan de eisen inzake deskundigheid van 2.1 en 2.2 en tevens aan de relevante deskundigheidseisen zoals omschreven in de gedragscode. Deskundigheid kan bijvoorbeeld worden aangetoond door het overleggen van bewijs dat er op dit gebied op adequate wijze getrainde, deskundige en ervaren medewerkers werkzaam zijn. Hiertoe kunnen bijvoorbeeld diploma's, certificaten en bewijzen van ervaring worden overgelegd.

3. Vastgestelde procedures en structuren

Toelichting:

Met de onderstaande eisen wordt beoogd te waarborgen dat de voorstellen voor toezicht operationeel haalbaar zijn; het toezichtsproces moet specifiek worden omschreven en aangetoond moet worden hoe het toezichtsmechanisme van de code handen en voeten krijgt.

Het toezichthoudend orgaan moet bij de AP aantonen dat het procedures, structuren en middelen heeft vastgesteld om te kunnen beoordelen of de verwerkingsverantwoordelijke of de verwerker de gedragscode kan toepassen, toezicht kan houden op de naleving ervan en de werking van de code periodiek kan toetsen.

Bij toezichtsprocedures moet rekening worden gehouden met de risico's die verbonden zijn aan gegevensverwerking, ontvangen klachten en het verwachte aantal en de omvang van de deelnemers aan de code. Deze procedures kunnen leiden tot de publicatie van informatie over het toezicht, waaronder controlerapporten of samenvattingen of periodieke rapportages met bevindingen.

Het toezichthoudend orgaan legt de corrigerende maatregelen en sancties op zoals omschreven in de gedragscode.

Eisen:

  • 3.1 Het toezichthoudend orgaan toont aan dat het een procedure heeft om vooraf te controleren of een beoogd deelnemer in staat is aan de gedragscode te voldoen, bijvoorbeeld door te kijken of de verwerking van persoonsgegevens onder de reikwijdte van de desbetreffende code valt.

  • 3.2 Het toezichthoudend orgaan toont aan dat er voorafgaande, ad hoc en reguliere procedures zijn ingesteld om toe te zien op de naleving van deelnemers binnen een helder tijdsbestek. Dit zijn bijvoorbeeld procedures die voorzien in controles die gedurende een vastgesteld tijdsbestek en op grond van vooraf vastgestelde criteria worden uitgevoerd.

  • 3.3 Het toezichthoudend orgaan toont aan dat het een procedure heeft om toezicht te kunnen houden op de naleving gedurende een vastgestelde termijn, waarbij rekening gehouden wordt met onder andere de complexiteit en de bijbehorende risico's, het verwachte aantal en de omvang van de deelnemers aan de code, de geografische reikwijdte en de ontvangen klachten.

  • 3.4 Het toezichthoudend orgaan toont aan dat in hun controle- of toetsingsprocedures wordt omschreven welke criteria worden beoordeeld, welke beoordelingen worden toegepast en welke procedure er is om de bevindingen vast te leggen. Toetsingsprocedures kunnen bijvoorbeeld controles, inspecties, rapportages, het toepassen van zelftoezicht of vragenlijsten omvatten.

  • 3.5 Het toezichthoudend orgaan toont aan dat zij een procedure hebben voor het onderzoeken, vaststellen en behandelen van inbreuken op de gedragscode door deelnemers daaraan alsmede aanvullende controles om te waarborgen dat passende maatregelen worden genomen om deze inbreuken ongedaan te maken zoals vervat in de relevante gedragscode.

  • 3.6 Het toezichthoudend orgaan is verantwoordelijk voor het beheer van alle informatie die wordt verkregen of aangemaakt tijdens het toezichtsproces. Het toezichthoudend orgaan waarborgt dat medewerkers alle informatie die wordt verkregen of aangemaakt tijdens de uitvoering van hun taken vertrouwelijk houden, tenzij zij verplicht zijn deze openbaar te maken of wettelijk zijn vrijgesteld.

4. Transparante klachtenafhandeling

Toelichting:

Transparante en publiekelijk beschikbare procedures en structuren voor klachtenafhandeling in relatie tot deelnemers aan de code, vormen een essentieel element in het toezicht op gedragscodes. Het proces moet met voldoende middelen ondersteund en beheerd worden en de medewerkers moeten blijk geven van voldoende (adequate) kennis en onpartijdigheid.

Om aan deze eisen te voldoen moet het toezichthoudend orgaan bewijzen dat het beschikt over een gedocumenteerd, onafhankelijk en transparant klachtenafhandelingsproces waarin klachten binnen een redelijke termijn worden ontvangen, beoordeeld, opgevolgd, opgeslagen en afgehandeld.

Wanneer van toepassing wordt informatie betreffende het besluit van het toezichthoudend orgaan aan alle betrokkenen verstrekt binnen een termijn van ten hoogste drie maanden.

Eisen:

4. Klachten over deelnemers aan de code

  • 4.1 Het toezichthoudend orgaan toont aan dat het over een helder kader voor een publiekelijk beschikbare, toegankelijke en gemakkelijk te begrijpen klachtenafhandelings- en besluitvormingsproces beschikt. Dit kan worden gedaan door bijvoorbeeld een overzicht te geven van de procedure om klachten te ontvangen, te beheren en te verwerken. Dit overzicht moet eveneens publiekelijk beschikbaar en gemakkelijk toegankelijk zijn. In deze procedure wordt bijvoorbeeld het volgende gespecificeerd:

    • op welke wijze de klager wordt geïnformeerd;

    • de gevolgen indien de klacht wordt verworpen;

    • de gevolgen indien de klacht als gerechtvaardigd wordt beschouwd.

  • 4.2 Het toezichthoudend orgaan bevestigt de ontvangst van de klacht en de klager wordt zonder onnodige vertraging en uiterlijk drie maanden na ontvangst van de klacht in kennis gesteld van de voortgang of het genomen besluit.

    De periode waarin de klacht moet worden afgehandeld, kan indien nodig met een redelijke termijn worden verlengd, rekening houdend met de complexiteit van de klacht. Het toezichthoudend orgaan stelt de klager in kennis van een dergelijke verlenging binnen drie maanden na ontvangst van de klacht, onder vermelding van de redenen voor de vertraging.

  • 4.3 Het toezichthoudend orgaan overlegt bewijs van passende corrigerende maatregelen, zoals omschreven in de gedragscode, in gevallen waarin inbreuk op de code wordt gemaakt teneinde daaraan een einde te maken en herhaling in de toekomst te voorkomen. Dergelijke sancties kunnen mede omvatten: training, het geven van een waarschuwing, rapporteren aan het bestuur van de deelnemer, formele kennisgeving waarin maatregelen worden verlangd, schorsing of uitsluiting van de code.

  • 4.4 Het toezichthoudend orgaan overlegt bewijs van hun proces van onverwijlde kennisgeving aan de AP, deelnemers aan de gedragscode en de gedragscodehouder, omtrent de genomen maatregelen en onderbouwing van mogelijke inbreuken die tot de schorsing of uitsluiting van een deelnemer aan de code hebben geleid.

  • 4.5 Het toezichthoudend orgaan houdt een register bij van alle klachten en acties en de AP heeft hiertoe te allen tijde toegang.

  • 4.6 In overeenstemming met de EDPB-richtsnoeren worden besluiten van het toezichthoudend orgaan publiekelijk beschikbaar gesteld conform zijn klachtenafhandelingsprocedure. Besluiten worden gepubliceerd wanneer deze betrekking hebben op herhaalde en/of ernstige schendingen van de code, zoals schendingen die kunnen leiden tot schorsing of uitsluiting van de verwerkingsverantwoordelijke of verwerker.

    In andere gevallen kan volstaan worden met publicatie van samenvattingen van besluiten of van statistische gegevens.

5. Belangenconflict

Toelichting:

Met de onderstaande eisen wordt beoogd te waarborgen dat het toezichthoudend orgaan zijn toezichthoudende activiteiten op onpartijdige wijze kan uitvoeren, waarbij situaties worden geïdentificeerd die waarschijnlijk tot tegengestelde belangen zouden kunnen leiden en stappen worden genomen om dit te vermijden.

Het is aan het toezichthoudend orgaan om uit te leggen op welke wijze de onpartijdigheid wordt gewaarborgd en om de mechanismen aan te tonen waarmee deze risico's in voorkomend geval worden weggenomen of verminderd. Factoren die een risico kunnen vormen voor de onpartijdigheid van het toezichthoudend orgaan kunnen bijvoorbeeld te maken hebben met eigendom, bestuur, management, personeel, gedeelde bronnen, financiën, contracten, uitbesteding, training, marketing en de betaling van verkoopprovisie.

Een belangenconflict zou bijvoorbeeld kunnen optreden wanneer medewerkers die controles uitvoeren of besluiten nemen namens een toezichthoudend orgaan eerder hebben gewerkt bij een van de organisaties die zich bij de code hebben aangesloten. Om een dergelijk belangenconflict te voorkomen zouden de medewerkers hiervan melding moeten maken en zou het werk door anderen moeten worden uitgevoerd.

Eisen:

  • 5.1 Het toezichthoudend orgaan beschikt over een gedocumenteerde procedure voor het stelselmatig identificeren, analyseren, evalueren, behandelen, monitoren en documenteren van mogelijke risico's voor de onpartijdigheid die voortvloeien uit zijn activiteiten. De medewerkers van het toezichthoudend orgaan verplichten zich deze eisen na te leven en elke situatie die waarschijnlijk tot een belangenconflict leidt te melden. Het toezichthoudend orgaan onthoudt zich van elke actie die onverenigbaar is met zijn taken en plichten.

  • 5.2 Het toezichthoudend orgaan kiest zijn eigen medewerkers of is verantwoordelijk voor de aansturing of het management ervan. Dit kan worden aangetoond door overlegging van bewijzen zoals functieomschrijvingen, personeelsdossiers, toewijzing middelen personeelswerving en lijnmanagementstructuur.

    Medewerkers kunnen worden verstrekt door een ander orgaan dat los staat van de code. Een voorbeeld van dit laatste zouden medewerkers kunnen zijn die zijn geworven door een onafhankelijk derde bedrijf dat wervings- en human resourcesdiensten levert.

  • 5.3 Het toezichthoudend orgaan waarborgt dat het geen instructies verlangt of ontvangt van enige persoon, organisatie of vereniging en gevrijwaard blijft van externe invloeden.

  • 5.4 Het toezichthoudend orgaan wordt beschermd tegen sancties of inmenging van de gedragscodehouder, andere relevante organen of de deelnemers aan de code.

6. Communicatie met de AP

Toelichting:

In dit onderdeel staat vermeld welke informatie het toezichthoudend orgaan aan de AP moet verstrekken. Het betreft onder meer informatie over schorsing of uitsluiting van deelnemers aan de code en alle wezenlijke veranderingen van zijn eigen rechtspositie.

De schorsing of uitsluiting van deelnemers aan de code is uitsluitend van toepassing in ernstige omstandigheden; deelnemers worden eerst in de gelegenheid gesteld passende corrigerende maatregelen te treffen, in samenspraak met het toezichthoudend orgaan.

Wezenlijke veranderingen die betrekking hebben op de mogelijkheid voor het toezichthoudend orgaan om onafhankelijk en effectief te functioneren of op zijn deskundigheid en elk belangenconflict kunnen leiden tot herziening van zijn accreditatie.

Eisen:

  • 6.1 Aanvragen voor accreditatie van het toezichthoudend orgaan en alle ondersteunende documenten, zoals beschreven in de bovenstaande eisen, en alle overige correspondentie moeten bij de AP in de Nederlandse of de Engelse taal worden ingediend.

  • 6.2 Het toezichthoudend orgaan moet aantonen dat het een duidelijk kader heeft voor het rapporteren aan de AP van schorsingen of uitsluitingen van deelnemers aan de code. Dit kader dient ten minste het volgende te omvatten:

    • a. onverwijld de AP schriftelijk in kennis stellen van elke schorsing of uitsluiting onder vermelding van geldige redenen voor het besluit;

    • b. verstrekken van gedetailleerde informatie over de inbreuk en de genomen maatregelen; en

    • c. verstrekken van bewijs dat er actie is ondernomen in lijn met het schorsings- en uitsluitingsproces.

  • 6.3 Het toezichthoudend orgaan heeft een gedocumenteerde procedure voor het opheffen van de schorsing of uitsluiting van een deelnemer aan de code en voor het in kennis stellen van die deelnemer en de AP van het resultaat van de toetsing of het onderzoek.

  • 6.4 Wezenlijke veranderingen bij het toezichthoudend orgaan kunnen onder andere betrekking hebben op het volgende:

    • a. zijn juridische, commerciële of organisatorische status, eigendom of essentieel personeel;

    • b. middelen en locatie(s); en

    • c. veranderingen van de accreditatiegrondslag.

  • 6.5 Het toezichthoudend orgaan stelt de AP onverwijld en zonder onnodige vertraging in kennis van alle wezenlijke veranderingen. Wezenlijke veranderingen leiden tot een toetsing van de accreditatie.

7. Mechanismen voor toetsing van de gedragscode

Toelichting:

Toezichthoudende organen spelen een centrale rol bij de toetsing van de code in samenspraak met de gedragscodehouder. Na de toetsing kan de gedragscode door de gedragscodehouder worden gewijzigd of uitgebreid.

Eisen:

  • 7.1 Het toezichthoudend orgaan draagt bij aan de toetsing van de code zoals verzocht door de gedragscodehouder. Het orgaan waarborgt derhalve dat het over gedocumenteerde plannen en procedures beschikt om de werking van de code te toetsen om ervoor te zorgen dat deze relevant blijft voor de deelnemers eraan en blijft voldoen aan de AVG.

    In de toetsingsmechanismen moet rekening worden gehouden met mogelijke veranderingen in de toepassing en interpretatie van de wet of met mogelijke nieuwe technologische ontwikkelingen die van invloed zijn op de gegevensverwerking door de deelnemers aan de code of de bepalingen daarvan.

  • 7.2 Het toezichthoudend orgaan stelt jaarlijks een verslag op van het functioneren van de gedragscode en verstrekt dit aan de gedragscodehouder en aan elke in die code genoemde instelling of instituut. Het verslag omvat:

    • a. informatie over nieuwe deelnemers aan de code;

    • b. details over eventuele schorsingen en uitsluitingen van deelnemers aan de code;

    • c. bevestiging dat er een toetsing van de code heeft plaatsgevonden en dat deze geen aanleiding heeft gegeven tot wijziging van de code;

    • d. de melding dat er geen wezenlijke veranderingen zijn bij het toezichthoudend orgaan; en

    • e. informatie over inbreuken in verband met persoonsgegevens, behandelde klachten en het soort en de resultaten van de toezichthoudende functies die hebben plaatsgevonden.

  • 7.3 Het toezichthoudend orgaan actualiseert de code en voert wijzigingen en uitbreidingen van de code door op instructie van de gedragscodehouder.

  • 7.4 Het toezichthoudend orgaan waarborgt dat informatie over zijn toezichthoudende functies wordt vastgelegd en naar behoefte aan de AP ter beschikking wordt gesteld.

8. Rechtsvorm

Toelichting:

Het toezichthoudend orgaan kan op verschillende manieren worden opgericht of ingesteld, bijvoorbeeld als vennootschap of brancheorganisatie. Het overkoepelende beginsel is echter dat ongeacht de vorm het toezichthoudend orgaan moet aantonen dat het over voldoende financiële en overige middelen beschikt om zijn specifieke taken en verantwoordelijkheden uit te voeren. Deze voldoende financiële en overige middelen moeten vergezeld gaan van de noodzakelijke procedures om het functioneren van de gedragscode ook op langere termijn te waarborgen. Het toezichthoudend orgaan moet derhalve bewijs van zijn rechtsvorm overleggen aan de AP.

Er kunnen boetes worden opgelegd aan een toezichthoudend orgaan dat zijn toezichthoudende functies niet uitoefent en nalaat passende maatregelen te nemen wanneer er inbreuk wordt gepleegd op de voorschriften van de code. Een toezichthoudend orgaan moet derhalve aantonen dat het over de juiste status beschikt om zijn rol uit hoofde van de AVG, artikel 41, vierde lid, uit te voeren.

Eisen:

  • 8.1 Het toezichthoudend orgaan geeft aan of het optreedt als intern of extern toezichthoudend orgaan in relatie tot de gedragscodehouder.

  • 8.2 Het toezichthoudend orgaan overlegt bewijs aan de AP dat het de juiste rechtsvorm heeft om te voldoen aan de eis dat het volledige verantwoordelijkheid draagt voor zijn rol en over voldoende financiële en andere middelen beschikt. Dit geldt met name met betrekking tot artikel 83 van de AVG en artikel 14, derde lid, en artikel 16, eerste lid van de UAVG, waarbij het orgaan passende maatregelen kan nemen in lijn met artikel 41 van de AVG. Bovendien overlegt het bewijs dat het toegang heeft tot toereikende middelen om zijn toezichthoudende verantwoordelijkheden na te komen.

    Het toezichthoudend orgaan toont ook aan dat het gedurende een passende termijn zorg kan dragen voor het toezichtsmechanisme van de gedragscode.

    Dergelijk bewijs kan afhankelijk zijn van de structuur van het toezichthoudend orgaan en kan onder andere het volgende omvatten (niet limitatief):

    • a. volledige naam van de onderneming/handelsnaam, zetel van het toezichthoudend orgaan en KvK-nummer; en

    • b. bewijs dat het toezichthoudend orgaan over toereikende financiële middelen beschikt om geldboeten te kunnen betalen, zodat voldaan kan worden aan de vereisten van de AVG, artikel 83, vierde lid, onderdeel c, en artikel 14, derde lid en artikel 16, eerste lid, van de UAVG.

  • 8.3 Het toezichthoudend orgaan is een rechtspersoon of een omschreven onderdeel van een rechtspersoon, en is als zodanig juridisch aansprakelijk voor zijn toezichthoudende activiteiten. Het toezichthoudend orgaan stemt erin toe verantwoordelijkheid voor zijn toezichthoudende rol op zich te nemen en kan derhalve een geldboete opgelegd krijgen krachtens artikel 83, vierde lid, onderdeel c, van de AVG en artikel 14, derde lid, van de UAVG.

  • 8.4 Het toezichthoudend orgaan is gevestigd in de Europese Economische Ruimte (EER).

    Naast de zetel van het toezichthoudend orgaan, worden tevens de namen van zijn vertegenwoordigers en, indien deze anders zijn, de namen van de personen die verantwoordelijk zijn voor de controle ervan, toegevoegd. Doel is vast te stellen wie verantwoordelijk is voor de maatregelen van het toezichthoudend orgaan en de verantwoordelijke afdeling te identificeren waartegen maatregelen kunnen worden genomen in geval van niet-naleving van zijn verplichtingen.

9. Onderaannemers

Toelichting:

Toezichthoudende organen kunnen gebruikmaken van onderaannemers. In de onderstaande eisen worden de relevante waarborgen behandeld bij het gebruikmaken van onderaannemers.

Om deze waarborgen te onderbouwen moet het toezichthoudend orgaan bewijzen overleggen.

Eisen:

  • 9.1 Wanneer het toezichthoudend orgaan gebruikmaakt van een onderaannemer om een aantal van zijn taken uit te voeren, blijft het toezichthoudend orgaan verantwoordelijk voor alle uitbestede activiteiten.

  • 9.2 Het toezichthoudend orgaan specificeert de taken en rollen die de onderaannemers op zich nemen wanneer het accreditatie aanvraagt.

  • 9.3 Het toezichthoudend orgaan toont aan dat de onderaannemer voldoet aan alle relevante vereisten die in dit besluit zijn vervat, met name 1; 2; 3; 8.5.

    Het toezichthoudend orgaan toont aan dat de onderaannemer gehouden is aan deze vereisten en eraan kan voldoen.

  • 9.4 Onverminderd vereiste 6.3 heeft het toezichthoudend orgaan een procedure ingesteld voor het onverwijld doorgeven aan de AP van alle wezenlijke veranderingen met betrekking tot een onderaannemer die invloed hebben op de organisatie en/of de structuur van het toezichthoudend orgaan dat zijn vermogen effectief te functioneren kan beïnvloeden. Dergelijke wezenlijke veranderingen zijn onder andere:

    • het beëindigen van de overeenkomst met de onderaannemer;

    • het vervangen van de onderaannemer door een andere.