Vergelijking van de GDPR-instrumenten met andere mechanismen
De GDPR erkent formeel vier hoofdinstrumenten die beschikbaar zijn voor verwerkingsverantwoordelijken en verwerkers om passende waarborgen te bieden en hun naleving te ondersteunen: certificering, gedragscode, bindende bedrijfsregels en standaardcontractbepalingen. Laten we hun kenmerken en beperkingen vergelijken:
Gegevensbescherming door ontwerp en standaardinstellingen
Dit is een van de meest complexe wettelijke verplichtingen om te documenteren en aan te tonen. Certificering is het enige instrument dat wordt erkend door artikel 25 van de GDPR "om naleving aan te tonen van" deze vereiste.
Aantonen van geschiktheid van verwerkingsverantwoordelijken
Artikel 24 van de GDPR verduidelijkt de verplichtingen van verwerkingsverantwoordelijken. Het noemt twee instrumenten om deze naleving aan te tonen: certificering en gedragscodes.
Aantonen van geschiktheid van geselecteerde verwerkers
Volgens artikel 28 van de GDPR "mag de verwerkingsverantwoordelijke enkel verwerkers gebruiken die voldoende garanties bieden om passende technische en organisatorische maatregelen toe te passen." De verwerkingsverantwoordelijke is verantwoordelijk en aansprakelijk voor eventuele inbreuken en niet-naleving door zijn verwerkers. Er wordt verwacht dat hij vóór het delen van gegevens een volledige beoordeling uitvoert van de getroffen maatregelen. Gelukkig erkent dit artikel twee instrumenten om die geschiktheid te beoordelen: certificering en gedragscodes.
Aantonen van geschiktheid van beveiligingsmaatregelen
Artikel 32 van de GDPR vereist het waarborgen van een passend beveiligingsniveau. Net als bij verwerkers worden certificering en gedragscodes [met regelmatige audits] erkend als middelen "0".
Invloed op administratieve boetes
Artikel 83 van de GDPR vereist dat bij het bepalen van de hoogte van een boete in geval van niet-naleving rekening wordt gehouden met het gebruik van een erkende certificering of gedragscode door een verwerkingsverantwoordelijke of verwerker. Bovendien helpen beide om het risico op niet-naleving aanzienlijk te verkleinen.
Beschikbaarheid
Het goede nieuws is dat certificeringscriteria en SCC’s zijn goedgekeurd en beschikbaar. Het aannemen van een gedragscode vergt aanzienlijke inspanning en vereist de mobilisatie van een representatief aantal bedrijven via een vereniging om de code te ontwikkelen, toe te passen en goed te laten keuren. Dat kan meerdere jaren duren. Ook het invoeren van bindende bedrijfsregels vereist goedkeuring door de autoriteit, duurt eveneens meerdere jaren en kan enkel gebruikt worden door entiteiten die formeel deel uitmaken van dezelfde groep (niet bijvoorbeeld door verwerkers).
Universaliteit
SCC’s en certificeringen onder de GDPR, zoals Europrivacy, zijn sectoronafhankelijk en bruikbaar voor alle verwerkingsverantwoordelijken en verwerkers. Andere certificeringen kunnen beperkt zijn tot verwerkers of specifieke doelstellingen. Bindende bedrijfsregels zijn bedrijfsspecifiek. Gedragscodes zijn branchespecifiek, wat betekent dat verantwoordelijken en verwerkers die gegevens delen onder verschillende gedragscodes kunnen vallen. Een code die bijvoorbeeld ontworpen is voor de hotelbranche, zal niet geschikt zijn voor dienstverleners zoals accountants die werken voor hotelbedrijven.
Tijd en inspanning
Aangenomen dat een bedrijf al voldoet aan de GDPR, variëren de benodigde tijd en inspanning per instrument. Een SCC vereist onderhandelingen en overeenstemming tussen de partijen. Als een bedrijf één B2B-partner heeft, is dit het snelste instrument. Maar hoewel één certificering gebruikt kan worden met een onbeperkt aantal verwerkingsverantwoordelijken en verwerkers, moet een aparte SCC worden aangenomen en ondertekend voor elke partner waarmee gegevens worden gedeeld.
Flexibiliteit en aanpasbaarheid
Sommige instrumenten richten zich op bedrijfseisen (BCR, CC), terwijl andere focussen op specifieke verwerkingsactiviteiten (Certificering, SCC). De eerste categorie vereist naleving op hoog niveau. De tweede stelt bedrijven in staat hun inspanningen te richten op prioritaire gegevensverwerking en het belangrijkste eerst aan te pakken.
Betrouwbaarheid
Het betrouwbaarheidsniveau hangt af van de aard van het instrument. Een SCC is een bindende toezegging, maar kent geen audit of controle op daadwerkelijke naleving. Een certificering daarentegen berust op regelmatige audits door gekwalificeerde derden. De Trust Level Scale (TSL) biedt een schaal van A (zeer betrouwbaar) tot I (helemaal niet betrouwbaar) om het vertrouwen in daadwerkelijke naleving te beoordelen. Voor de vier instrumenten varieert dit van F voor SCC tot A voor certificering.
Waardecreatie
Alle instrumenten ondersteunen naleving. Toch biedt certificering de unieke mogelijkheid om naleving om te zetten in een immaterieel bedrijfsactief. Net als een octrooi vormt een certificering een immaterieel bezit van het bedrijf. Het verandert naleving in een bron van waardecreatie. Het kan worden ingezet door marketing- en verkoopteams als concurrentievoordeel, en helpen onzekerheid te verminderen bij financiële analisten, investeerders en aandeelhouders.
De volgende tabel vat de kenmerken van de vier instrumenten samen.
| SCC | BCR | CC | Certificering | |
|---|---|---|---|---|
| Aantonen van gegevensbescherming door ontwerp en standaard onder Art. 25 GDPR | NEE | NEE | NEE | JA |
| Aantonen van adequaatheid van Verwerkingsverantwoordelijken onder Art. 24 GDPR | NEE | NEE | JA | JA |
| Aantonen van adequaatheid van geselecteerde Gegevensverwerkers onder Art. 28 GDPR | NEE | NEE | JA | JA |
| Aantonen van beveiliging van gegevensverwerking onder Art. 32 GDPR | NEE | NEE | JA | JA |
| Universaliteit: Toepasselijkheid over verschillende sectoren | JA | NEE | NEE | JA |
| Waardevol als immaterieel actief | NEE | NEE | NEE | JA |
| Mogelijkheid om te selecteren en te focussen op prioritaire gegevensverwerking | JA | NEE | NEE | JA |
| Impact op administratieve boetes onder Art. 83 GDPR | NEE | NEE | JA | JA |
| Schaalbaarheid en uitbreidbaarheid (één kan worden gebruikt met alle B2B-partners) | NEE | JA | JA | JA |
Zoals geïllustreerd door de tabel, blijkt certificering het meest krachtige instrument te zijn met veel voordelen. Dit wordt bevestigd door de frequentie van formele verwijzingen naar elk van de instrumenten in de GDPR.
- Certificering wordt 73 keer genoemd in 12 artikelen
- Gedragscodes worden 36 keer genoemd in 10 artikelen
- Bindende bedrijfsregels worden 25 keer genoemd in 7 artikelen
- Standaardcontractbepalingen worden 7 keer genoemd in 2 artikelen
Conclusie
Elk GDPR-instrument biedt een verschillende set voordelen en betrouwbaarheidsniveau met betrekking tot effectieve naleving. Het is aan de FG om te beoordelen en te kiezen welk instrument het beste aansluit bij de behoeften van zijn werkgever. We hopen dat deze analyse u zal helpen bij het vergelijken en kiezen.
Voor het geval u van gedachten verandert, is het overstappen van het ene instrument naar het andere, of het combineren van verschillende instrumenten vrij eenvoudig, zodra u uw naleving hebt gecontroleerd en gedocumenteerd.
Referenties
| Instrument | Aantal GDPR-referenties | Artikelen | Overwegingen |
|---|---|---|---|
| Standaardcontractbepalingen | 7 | 28, 57 | 81, 109, 168 |
| Bindende bedrijfsregels | 25 | 4, 46, 47, 49, 57, 58, 64, 70 | 107, 108, 110, 168 |
| Gedragscodes | 36 | 24, 28, 32, 35, 40, 41, 46, 57, 58, 64, 70, 83 | 77, 81, 98, 99, 148, 168 |
| Certificering | 73 | 24, 25, 28, 32, 42, 43, 46, 57, 58, 64, 70, 83 | 77, 81, 100, 166, 168 |