EDPB stelt nieuwe richtlijnen voor opstellen gedragscode vast

Ouderwetse typemachine waarmee het woord 'Code of Conduct' ie geschreven

De European Data Protection Board (EDPB) heeft een conceptversie van haar richtlijnen over het vaststellen van een gedragscode als doorgifte-instrument aangenomen. Bedrijven en organisaties die daar behoefte aan hebben kunnen tot 1 oktober 2021 reageren op de richtlijnen. Daarnaast heeft de Europese instantie definitieve guidelines over AVG-begrippen en spraakassistenten vastgelegd.

Dat meldt de Autoriteit Persoonsgegevens op haar website.

Toezichthouder geeft groene licht voor eerste Nederlandse gedragscode

De Algemene Verordening Gegevensbescherming (AVG) geeft private partijen de mogelijkheid om een gedragscode te ontwikkelen. Een gedragscode is een set regels die voor alle bedrijven, organisaties en andere instanties die in een specifieke sector of branche werkzaam zijn gelden. Anders gezegd, het is een concrete uitwerking hoe de AVG in praktijk wordt nageleefd. Het vertelt onder meer welke gegevens een bedrijf mag verzamelen, hoe deze data opgeslagen en verwerkt moet worden en welke bewaartermijn hieraan gekoppeld is.

Een gedragscode is er niet van de ene op de andere dag. Allereerst moet hij worden opgesteld in samenspraak met branchegenoten. Daarna moet de Autoriteit Persoonsgegevens de gedragscode goed- of afkeuren. Dat deed de toezichthouder in 2020 voor het eerst, toen ze de Data Pro Code van branchevereniging NLdigital goedkeurde. Naast nationale gedragscodes zijn er ook Europese en internationale gedragscodes.

Conceptversie nieuwe richtlijnen voor schrijven gedragscode beschikbaar

De gedragscodes dienen in praktijk vaak ook als doorgifte-instrument. We hebben het dan over de spelregels en voorwaarden waaronder bedrijven en organisaties persoonsgegevens met andere partijen mogen delen. Over gedragscodes die als doorgifte-instrument worden gebruikt, heeft de EDPB, de overkoepelende organisaties waarin alle Europese privacywaakhonden zijn vertegenwoordigd, richtlijnen voor opgesteld. Of ‘Guidelines on Codes of Conduct as Tools for Transfers’ zoals ze officieel heten.

Aan Europese en internationale gedragscodes worden strengere regels gesteld dan nationale gedragscodes. Dat is ook niet zo vreemd aangezien de reikwijdte en de impact daarvan groter zijn voor de deelnemers. De aanvullende voorwaarden zijn in de richtlijnen uitgewerkt. Zo beveelt de EDPB onder meer aan dat de Europese Commissie de Europese of internationale gedragscodes algemeen geldend verklaart. Tevens wil de Europese privacyorganisatie dat bedrijven die buiten de EU gevestigd zijn toezeggingen doen om persoonsgegevens van Europese burgers te beschermen. AVG-rechten als het recht op inzage en recht op vergetelheid moeten eveneens vastgelegd worden.

Het gaat om een conceptversie van de richtlijnen van de EDPB. Iedereen kan en mag commentaar geven op deze versie. Dat moet vóór 1 oktober 2021 gebeuren, daarna sluit de termijn om kanttekeningen te plaatsen. Reageren kan via de website van de EDPB.

Meer duidelijkheid over AVG-begrippen en virtuele spraakassistenten

Naast de richtlijn voor het opstellen van een gedragscode heeft de EDPB nog twee andere richtlijnen vastgesteld. In tegenstelling tot de hierboven genoemde richtlijn zijn deze twee definitief. Het gaat om een richtlijnen om enkele AVG-begrippen te verhelderen en een richtlijn die het onderwerp ‘virtuele spraakassistent’ behandelt.

De eerstgenoemde richtlijn geeft opheldering over de begrippen ‘verwerker’ en ‘verwerkingsverantwoordelijke’. Tevens gaan de richtlijnen in op de belangrijkste gevolgen van deze begrippen voor verantwoordelijken, verwerkers en gezamenlijke verantwoordelijken. “De guidelines proberen daarmee partijen te helpen met het beantwoorden van vragen als: ben ik verwerkingsverantwoordelijke? Ben ik verwerker? Of ben ik samen met een andere partij gezamenlijk verantwoordelijk? En wat betekent dat voor mij?”, schrijft de Autoriteit Persoonsgegevens. De nieuwe richtlijnen vervangen een advies daterend uit 2010 over de definitie van deze termen.

Tot slot heeft de EDPB nieuwe richtlijnen over virtuele voice assistenten aangenomen. Dat is een digitale spraakassistent die je misschien kent van mobiele apparaten als smartphones, tablets en smart speakers. Je roept ‘OK, Google’ of ‘He, Siri’ en opent daarmee de applicatie. Vervolgens kun je een vraag stellen of hem een taak laten uitvoeren, zoals een afspraak in je agenda noteren, ja favoriete nummer afspelen, de weersvoorspelling opvragen of een alarm instellen. Enkele bekende virtuele spraakassistenten zijn Google Assistent (Google), Siri (Apple), Bixby (Samsung) en Alexa (Amazon).

In de ‘Guidelines on virtual voice assistants’ schrijft de EDPB voor hoe partijen die spraakassistenten aanbieden of ontwikkelen moeten omgaan met de persoonsgegevens die daarbij worden verwerkt.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen