De Autoriteit Persoonsgegevens (hierna te noemen: AP),
Overwegende dat in artikel 41, eerste lid, van de Algemene Verordening Gegevensbescherming
(AVG) 2016/679 van 26 april 2016 wordt gesteld dat toezicht op de naleving van goedgekeurde
gedragscodes uitgeoefend kan worden door een onpartijdig toezichthoudend orgaan dat
over de passende deskundigheid met betrekking tot het onderwerp van de gedragscode
beschikt en daartoe door de bevoegde toezichthoudende autoriteit is geaccrediteerd;
Overwegende dat in artikel 41, derde lid, AVG, wordt gesteld dat de bevoegde toezichthoudende
autoriteit de ontwerpcriteria voor accreditatie van een in het eerste lid van artikel
41 bedoeld orgaan voorlegt aan het Comité overeenkomstig het in artikel 63 en artikel
64, eerste lid, onderdeel c, bedoelde coherentiemechanisme;
Overwegende dat in artikel 57, eerste lid, aanhef en onder p, AVG, wordt bepaald dat
elke toezichthoudende autoriteit verantwoordelijk is voor het opstellen en het bekendmaken
van de vereisten voor de accreditatie van een orgaan voor het toezicht op gedragscodes
op grond van artikel 41 van de AVG;
Overwegende dat in artikel 6, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG) wordt bepaald dat de AP de toezichthoudende autoriteit is, als bedoeld
in artikel 51, eerste lid, van de AVG;
Overwegende dat het Europees Comité voor gegevensbescherming (EDPB) Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679, heeft aangenomen, en met name paragraaf 60 daarvan;
Overwegende dat in deze richtsnoeren een aantal vereisten wordt genoemd waaraan het
voorgestelde toezichthoudend orgaan moet voldoen om accreditatie te krijgen, waarbij
met name aan de volgende voorwaarden moet worden voldaan:
-
– Aantonen van onafhankelijkheid en deskundigheid met betrekking tot het onderwerp van
de gedragscode conform artikel 41, tweede lid, onderdeel a.
-
– Aantonen van vastgestelde procedures op grond waarvan het kan beoordelen of de betrokken
verwerkingsverantwoordelijken en verwerkers in aanmerking komen om de gedragscode
toe te passen, het toezicht kan houden op de naleving van de bepalingen van de gedragscode
door deze laatsten en het de werking van de gedragscode op gezette tijden kan toetsen
conform artikel 41, tweede lid, onderdeel b.
-
– Aantonen van vastgestelde procedures en structuren om klachten te behandelen over
inbreuken op de gedragscode of over de wijze waarop daaraan uitvoering is of wordt
gegeven door een verwerkingsverantwoordelijke of verwerker, en om die procedures en
structuren voor betrokkenen en het publiek transparant te maken conform artikel 41, tweede lid, onderdeel c.
-
– Aantonen ten genoegen van de bevoegde toezichthoudende autoriteit dat zijn taken en
bevoegdheden niet tot een belangenconflict leiden conform artikel 41, tweede lid, onderdeel d.
Overwegende dat de EDPB op 23 juli 2020 Opinion 07/2020 on the draft decision of the competent supervisory authority of Netherlands
regarding the approval of the requirement for accreditation of a code of conduct monitoring
body pursuant to article 41 GDPR heeft aangenomen.
Heeft op 23 februari 2021 het volgende besluit genomen inzake de accreditatie-vereisten
voor organen die toezicht houden op de AVG-gedragscode:
Accreditatie-vereisten
Met dit besluit wil de AP de ontwikkeling van gedragscodes voor kleine, middelgrote
en micro-ondernemingen aanmoedigen teneinde een consistente uitvoering van de AVG
te bevorderen, de rechtszekerheid voor verwerkingsverantwoordelijken en verwerkers
te vergroten en het vertrouwen van de betrokkenen te versterken. De eis dat gedragscodes
onder toezicht moeten staan van een geaccrediteerd toezichthoudend orgaan mag de ontwikkeling
van gedragscodes niet in de weg staan. Bij de toepassing van accreditatie-eisen voor
toezichthoudende organen moet derhalve rekening worden gehouden met de specifieke
kenmerken van de verwerking in elke sector. De toepassing moet daarnaast zo flexibel
mogelijk zijn terwijl tegelijkertijd wordt voldaan aan het wettelijk kader dat wordt
gevormd door de AVG, de Guidelines 01/2019 en de relevante Adviezen van de EDPB.
De AP behoudt zich het recht voor een op risicoanalyse gebaseerde toetsing van het
toezichthoudend orgaan uit te voeren om te waarborgen dat het orgaan nog steeds voldoet
aan de eisen voor accreditatie. Een dergelijke toetsing kan (onder andere) worden
geïnitieerd door wijzigingen van de gedragscode, wezenlijke veranderingen bij het
toezichthoudend orgaan of wanneer het toezichthoudend orgaan nalaat zijn toezichthoudende
functies uit te voeren. In het geval van wezenlijke veranderingen bij het toezichthoudend
orgaan die betrekking hebben op de mogelijkheid van het orgaan om onafhankelijk en
effectief te functioneren, wordt een toetsing altijd uitgevoerd.
Het toezichthoudend orgaan behoudt zijn accreditatiestatus tenzij de uitkomst van
deze toetsing is dat niet langer wordt voldaan aan de vereisten voor accreditatie.
Wanneer een nieuw of aanvullend orgaan wordt geïntroduceerd om toezicht te houden
op een gedragscode dient het nieuwe orgaan beoordeeld te worden in lijn met de accreditatiecriteria.
De in dit document opgesomde vereisten zijn op een toezichthoudend orgaan van toepassing
ongeacht of het een intern of extern orgaan betreft, tenzij in het vereiste anders
is vermeld.
Toelichting:
Met de onderstaande eisen wordt beoogd te waarborgen dat het toezichthoudend orgaan
zijn toezichthoudende activiteiten op onpartijdige wijze kan uitvoeren, waarbij situaties
worden geïdentificeerd die waarschijnlijk tot tegengestelde belangen zouden kunnen
leiden en stappen worden genomen om dit te vermijden.
Het is aan het toezichthoudend orgaan om uit te leggen op welke wijze de onpartijdigheid
wordt gewaarborgd en om de mechanismen aan te tonen waarmee deze risico's in voorkomend
geval worden weggenomen of verminderd. Factoren die een risico kunnen vormen voor
de onpartijdigheid van het toezichthoudend orgaan kunnen bijvoorbeeld te maken hebben
met eigendom, bestuur, management, personeel, gedeelde bronnen, financiën, contracten,
uitbesteding, training, marketing en de betaling van verkoopprovisie.
Een belangenconflict zou bijvoorbeeld kunnen optreden wanneer medewerkers die controles
uitvoeren of besluiten nemen namens een toezichthoudend orgaan eerder hebben gewerkt
bij een van de organisaties die zich bij de code hebben aangesloten. Om een dergelijk
belangenconflict te voorkomen zouden de medewerkers hiervan melding moeten maken en
zou het werk door anderen moeten worden uitgevoerd.
Eisen:
-
5.1 Het toezichthoudend orgaan beschikt over een gedocumenteerde procedure voor het stelselmatig
identificeren, analyseren, evalueren, behandelen, monitoren en documenteren van mogelijke
risico's voor de onpartijdigheid die voortvloeien uit zijn activiteiten. De medewerkers
van het toezichthoudend orgaan verplichten zich deze eisen na te leven en elke situatie
die waarschijnlijk tot een belangenconflict leidt te melden. Het toezichthoudend orgaan
onthoudt zich van elke actie die onverenigbaar is met zijn taken en plichten.
-
5.2 Het toezichthoudend orgaan kiest zijn eigen medewerkers of is verantwoordelijk voor
de aansturing of het management ervan. Dit kan worden aangetoond door overlegging
van bewijzen zoals functieomschrijvingen, personeelsdossiers, toewijzing middelen
personeelswerving en lijnmanagementstructuur.
Medewerkers kunnen worden verstrekt door een ander orgaan dat los staat van de code.
Een voorbeeld van dit laatste zouden medewerkers kunnen zijn die zijn geworven door
een onafhankelijk derde bedrijf dat wervings- en human resourcesdiensten levert.
-
5.3 Het toezichthoudend orgaan waarborgt dat het geen instructies verlangt of ontvangt
van enige persoon, organisatie of vereniging en gevrijwaard blijft van externe invloeden.
-
5.4 Het toezichthoudend orgaan wordt beschermd tegen sancties of inmenging van de gedragscodehouder,
andere relevante organen of de deelnemers aan de code.