NL accreditatie-vereisten voor organen die toezicht houden op de AVG-gedragscode

De Autoriteit Persoonsgegevens (hierna te noemen: AP),

Overwegende dat in artikel 41, eerste lid, van de Algemene Verordening Gegevensbescherming (AVG) 2016/679 van 26 april 2016 wordt gesteld dat toezicht op de naleving van goedgekeurde gedragscodes uitgeoefend kan worden door een onpartijdig toezichthoudend orgaan dat over de passende deskundigheid met betrekking tot het onderwerp van de gedragscode beschikt en daartoe door de bevoegde toezichthoudende autoriteit is geaccrediteerd;

Overwegende dat in artikel 41, derde lid, AVG, wordt gesteld dat de bevoegde toezichthoudende autoriteit de ontwerpcriteria voor accreditatie van een in het eerste lid van artikel 41 bedoeld orgaan voorlegt aan het Comité overeenkomstig het in artikel 63 en artikel 64, eerste lid, onderdeel c, bedoelde coherentiemechanisme;

Overwegende dat in artikel 57, eerste lid, aanhef en onder p, AVG, wordt bepaald dat elke toezichthoudende autoriteit verantwoordelijk is voor het opstellen en het bekendmaken van de vereisten voor de accreditatie van een orgaan voor het toezicht op gedragscodes op grond van artikel 41 van de AVG;

Overwegende dat in artikel 6, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG) wordt bepaald dat de AP de toezichthoudende autoriteit is, als bedoeld in artikel 51, eerste lid, van de AVG;

Overwegende dat het Europees Comité voor gegevensbescherming (EDPB) Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679, heeft aangenomen, en met name paragraaf 60 daarvan;

Overwegende dat in deze richtsnoeren een aantal vereisten wordt genoemd waaraan het voorgestelde toezichthoudend orgaan moet voldoen om accreditatie te krijgen, waarbij met name aan de volgende voorwaarden moet worden voldaan:

Met dit besluit wil de AP de ontwikkeling van gedragscodes voor kleine, middelgrote en micro-ondernemingen aanmoedigen teneinde een consistente uitvoering van de AVG te bevorderen, de rechtszekerheid voor verwerkingsverantwoordelijken en verwerkers te vergroten en het vertrouwen van de betrokkenen te versterken. De eis dat gedragscodes onder toezicht moeten staan van een geaccrediteerd toezichthoudend orgaan mag de ontwikkeling van gedragscodes niet in de weg staan. Bij de toepassing van accreditatie-eisen voor toezichthoudende organen moet derhalve rekening worden gehouden met de specifieke kenmerken van de verwerking in elke sector. De toepassing moet daarnaast zo flexibel mogelijk zijn terwijl tegelijkertijd wordt voldaan aan het wettelijk kader dat wordt gevormd door de AVG, de Guidelines 01/2019 en de relevante Adviezen van de EDPB.

De AP behoudt zich het recht voor een op risicoanalyse gebaseerde toetsing van het toezichthoudend orgaan uit te voeren om te waarborgen dat het orgaan nog steeds voldoet aan de eisen voor accreditatie. Een dergelijke toetsing kan (onder andere) worden geïnitieerd door wijzigingen van de gedragscode, wezenlijke veranderingen bij het toezichthoudend orgaan of wanneer het toezichthoudend orgaan nalaat zijn toezichthoudende functies uit te voeren. In het geval van wezenlijke veranderingen bij het toezichthoudend orgaan die betrekking hebben op de mogelijkheid van het orgaan om onafhankelijk en effectief te functioneren, wordt een toetsing altijd uitgevoerd.

Het toezichthoudend orgaan behoudt zijn accreditatiestatus tenzij de uitkomst van deze toetsing is dat niet langer wordt voldaan aan de vereisten voor accreditatie.

Wanneer een nieuw of aanvullend orgaan wordt geïntroduceerd om toezicht te houden op een gedragscode dient het nieuwe orgaan beoordeeld te worden in lijn met de accreditatiecriteria.

De in dit document opgesomde vereisten zijn op een toezichthoudend orgaan van toepassing ongeacht of het een intern of extern orgaan betreft, tenzij in het vereiste anders is vermeld.

1. Onafhankelijkheid

Toelichting:

Het toezichthoudend orgaan toont zijn onafhankelijkheid en onpartijdigheid aan. Het toezichthoudend orgaan toont aan hoe zijn structuur en formele benoemingsregels waarborgen dat het vrij van instructies kan handelen en dat het beschermd is tegen elke vorm van inmenging of sancties van de deelnemers aan de gedragscode of de gedragscodehouder ten gevolge van de uitoefening van zijn taken.

De onderstaande eisen geven aan wat verstaan wordt onder onafhankelijkheid. Dit dient te worden aangetoond op vier belangrijke gebieden: juridische en besluitvormingsprocedures, financiën, organisatie en verantwoording. Onafhankelijkheid van een toezichthoudend orgaan kan opgevat worden als een serie formele regels en procedures voor de benoeming, het mandaat en het functioneren van het toezichthoudend orgaan. Deze regels en procedures stellen het toezichthoudend orgaan in staat zijn toezichthoudende taken uit te voeren zonder invloed van de deelnemers aan de gedragscode of de gedragscodehouder.

De structuur en leiding van toezichthoudende organen is zodanig dat hun onafhankelijkheid en onpartijdigheid gewaarborgd is en zij moeten dit bij indiening aantonen aan de AP.

Interne organen moeten bewijs overleggen om te waarborgen dat de onafhankelijkheid van hun toezichthoudende activiteiten niet wordt gecompromitteerd.

Eisen:

2. Deskundigheid

Toelichting:

Met de onderstaande eisen wordt beoogd te waarborgen dat het toezichthoudend orgaan over adequate competenties beschikt om op effectieve wijze toezicht te houden op een gedragscode. De eisen die aan deze deskundigheid worden gesteld worden nader uitgewerkt in de gedragscode zelf. Deze code-specifieke eisen zijn afhankelijk van factoren als de omvang van de betreffende sector, de verschillende belangen en de risico's verbonden aan de verwerkingsactiviteiten. Deze code-specifieke eisen worden beschouwd als onderdeel van de accreditatie.

Wil een toezichthoudend orgaan voldoen aan de eisen omtrent deskundigheid, dan dient het aan te tonen dat zijn medewerkers over de vereiste deskundigheid en ervaring beschikken in relatie tot de sector, verwerkingsactiviteit, wetgeving inzake gegevensbescherming en controles om het toezicht op de naleving op effectieve wijze uit te voeren. Dit kan ten behoeve van de AP worden onderbouwd door onder andere functiebeschrijvingen van medewerkers, specificatievereisten, kwalificaties, vereiste of relevante ervaring, gepubliceerde rapporten, etc.

Eisen:

3. Vastgestelde procedures en structuren

Toelichting:

Met de onderstaande eisen wordt beoogd te waarborgen dat de voorstellen voor toezicht operationeel haalbaar zijn; het toezichtsproces moet specifiek worden omschreven en aangetoond moet worden hoe het toezichtsmechanisme van de code handen en voeten krijgt.

Het toezichthoudend orgaan moet bij de AP aantonen dat het procedures, structuren en middelen heeft vastgesteld om te kunnen beoordelen of de verwerkingsverantwoordelijke of de verwerker de gedragscode kan toepassen, toezicht kan houden op de naleving ervan en de werking van de code periodiek kan toetsen.

Bij toezichtsprocedures moet rekening worden gehouden met de risico's die verbonden zijn aan gegevensverwerking, ontvangen klachten en het verwachte aantal en de omvang van de deelnemers aan de code. Deze procedures kunnen leiden tot de publicatie van informatie over het toezicht, waaronder controlerapporten of samenvattingen of periodieke rapportages met bevindingen.

Het toezichthoudend orgaan legt de corrigerende maatregelen en sancties op zoals omschreven in de gedragscode.

Eisen:

4. Transparante klachtenafhandeling

Toelichting:

Transparante en publiekelijk beschikbare procedures en structuren voor klachtenafhandeling in relatie tot deelnemers aan de code, vormen een essentieel element in het toezicht op gedragscodes. Het proces moet met voldoende middelen ondersteund en beheerd worden en de medewerkers moeten blijk geven van voldoende (adequate) kennis en onpartijdigheid.

Om aan deze eisen te voldoen moet het toezichthoudend orgaan bewijzen dat het beschikt over een gedocumenteerd, onafhankelijk en transparant klachtenafhandelingsproces waarin klachten binnen een redelijke termijn worden ontvangen, beoordeeld, opgevolgd, opgeslagen en afgehandeld.

Wanneer van toepassing wordt informatie betreffende het besluit van het toezichthoudend orgaan aan alle betrokkenen verstrekt binnen een termijn van ten hoogste drie maanden.

Eisen:

5. Belangenconflict

Toelichting:

Met de onderstaande eisen wordt beoogd te waarborgen dat het toezichthoudend orgaan zijn toezichthoudende activiteiten op onpartijdige wijze kan uitvoeren, waarbij situaties worden geïdentificeerd die waarschijnlijk tot tegengestelde belangen zouden kunnen leiden en stappen worden genomen om dit te vermijden.

Het is aan het toezichthoudend orgaan om uit te leggen op welke wijze de onpartijdigheid wordt gewaarborgd en om de mechanismen aan te tonen waarmee deze risico's in voorkomend geval worden weggenomen of verminderd. Factoren die een risico kunnen vormen voor de onpartijdigheid van het toezichthoudend orgaan kunnen bijvoorbeeld te maken hebben met eigendom, bestuur, management, personeel, gedeelde bronnen, financiën, contracten, uitbesteding, training, marketing en de betaling van verkoopprovisie.

Een belangenconflict zou bijvoorbeeld kunnen optreden wanneer medewerkers die controles uitvoeren of besluiten nemen namens een toezichthoudend orgaan eerder hebben gewerkt bij een van de organisaties die zich bij de code hebben aangesloten. Om een dergelijk belangenconflict te voorkomen zouden de medewerkers hiervan melding moeten maken en zou het werk door anderen moeten worden uitgevoerd.

Eisen:

6. Communicatie met de AP

Toelichting:

In dit onderdeel staat vermeld welke informatie het toezichthoudend orgaan aan de AP moet verstrekken. Het betreft onder meer informatie over schorsing of uitsluiting van deelnemers aan de code en alle wezenlijke veranderingen van zijn eigen rechtspositie.

De schorsing of uitsluiting van deelnemers aan de code is uitsluitend van toepassing in ernstige omstandigheden; deelnemers worden eerst in de gelegenheid gesteld passende corrigerende maatregelen te treffen, in samenspraak met het toezichthoudend orgaan.

Wezenlijke veranderingen die betrekking hebben op de mogelijkheid voor het toezichthoudend orgaan om onafhankelijk en effectief te functioneren of op zijn deskundigheid en elk belangenconflict kunnen leiden tot herziening van zijn accreditatie.

Eisen:

7. Mechanismen voor toetsing van de gedragscode

Toelichting:

Toezichthoudende organen spelen een centrale rol bij de toetsing van de code in samenspraak met de gedragscodehouder. Na de toetsing kan de gedragscode door de gedragscodehouder worden gewijzigd of uitgebreid.

Eisen:

8. Rechtsvorm

Toelichting:

Het toezichthoudend orgaan kan op verschillende manieren worden opgericht of ingesteld, bijvoorbeeld als vennootschap of brancheorganisatie. Het overkoepelende beginsel is echter dat ongeacht de vorm het toezichthoudend orgaan moet aantonen dat het over voldoende financiële en overige middelen beschikt om zijn specifieke taken en verantwoordelijkheden uit te voeren. Deze voldoende financiële en overige middelen moeten vergezeld gaan van de noodzakelijke procedures om het functioneren van de gedragscode ook op langere termijn te waarborgen. Het toezichthoudend orgaan moet derhalve bewijs van zijn rechtsvorm overleggen aan de AP.

Er kunnen boetes worden opgelegd aan een toezichthoudend orgaan dat zijn toezichthoudende functies niet uitoefent en nalaat passende maatregelen te nemen wanneer er inbreuk wordt gepleegd op de voorschriften van de code. Een toezichthoudend orgaan moet derhalve aantonen dat het over de juiste status beschikt om zijn rol uit hoofde van de AVG, artikel 41, vierde lid, uit te voeren.

Eisen:

9. Onderaannemers

Toelichting:

Toezichthoudende organen kunnen gebruikmaken van onderaannemers. In de onderstaande eisen worden de relevante waarborgen behandeld bij het gebruikmaken van onderaannemers.

Om deze waarborgen te onderbouwen moet het toezichthoudend orgaan bewijzen overleggen.

Eisen: