Achtergrond
De Data Pro Code (de "Code") stelt duidelijke eisen aan transparantie en contractuele bepalingen. Op het gebied van transparantie vereist de Code dat gecontroleerde bedrijven duidelijk in het Data Pro Statement aangeven of het Statement beperkt is tot specifieke producten en diensten, en of er afwijkingen zijn. Ook vereist de Code dat de Data Pro Verklaring vergezeld gaat van adequate contractuele bepalingen. Vervolgens moet het gecontroleerde bedrijf, in plaats van deze twee documenten op te stellen, de gedefinieerde Principes toepassen en interne maatregelen implementeren en handhaven om effectief compliant te handelen.
Verwachting van de Toezichthouder
Aangezien de geïmplementeerde maatregelen wezenlijk kunnen verschillen tussen verschillende gecontroleerde ondernemingen en gecontroleerde diensten, is er geen specifieke blauwdruk hoe dit moet gebeuren.
De meeste relevante informatie wordt openbaar gemaakt door het Data Pro Statement. Bijgevolg is de vereiste informatie gericht op het ophalen van een actuele kopie van de twee belangrijkste pijlers, d.w.z. de Data Pro-verklaring en de contractuele clausules.
Niettemin kan de gecontroleerde onderneming worden onderworpen aan een steekproefsgewijze diepgaande beoordeling, die - indien nodig - gericht zal zijn op de volledigheid, nauwkeurigheid en consistentie van de Data Pro-verklaring en de contractuele clausules, evenals een beoordeling met betrekking tot het bestaan van vereiste interne maatregelen, inclusief een beoordeling of dergelijke maatregelen de verklaringen in de Data Pro-verklaring en de Principes zoals vastgelegd in de Code weerspiegelen.
Wanneer in deze DoA-sjabloon geïmplementeerde maatregelen, met name beleid of procedures, moeten worden vermeld, geef dan een korte beschrijving van de bestaande procedure. Als een dergelijke beschrijving al wordt gedekt door de Verklaring gegevensbescherming, is een verwijzing naar het betreffende onderdeel voldoende. Als documentatie vereist is, geef dan aan waar en hoe de procedure is gedocumenteerd. Het is niet voldoende om alleen naar documentatie te verwijzen zonder de principes en stappen van de procedure te beschrijven. Ook is het niet voldoende om - waar documentatie vereist is - alleen de procedure te beschrijven zonder naar de documentatie te verwijzen (bijv. bestandsnaam, bestandsversie, opslag). Houd er ook rekening mee dat van een gedocumenteerde procedure of beleid wordt verwacht dat de versie ervan wordt aangegeven, de afdeling / het personeel dat verantwoordelijk is voor het onderhouden / aftekenen van de procedure / het beleid en in welke gevallen de procedure / het beleid van toepassing is.
Gevolgen als niet aan de verwachtingen wordt voldaan
Voor alle duidelijkheid: als uw antwoorden niet overtuigend zijn, omdat ze niet voldoende gedetailleerd zijn, de referentie onnauwkeurig is of geen verwijzingen bevat naar andere bepalingen die ook van toepassing kunnen zijn, of als u details geeft over uw procedures maar de verwijzing naar uw documenten ontbreekt, zal de toezichthoudende instantie uw antwoord als onvolledig / inconsistent beschouwen. Vooral als u slaagt voor een initiële beoordeling, zal dit in het beste geval het proces van de verklaring van conformiteit alleen maar vertragen; in het slechtste geval, vooral als de Monitoring Body u de kans heeft gegeven om uw verstrekte antwoord te verbeteren door follow-up antwoorden te vragen, zal de Monitoring Body uw herhaalde ontoereikende antwoorden beschouwen als niet meer in staat om de Monitoring Body te overtuigen van uw conformiteit; vandaar dat zij de verklaring van conformiteit zal stopzetten en uw verklaarde diensten zal beschouwen als niet-conform met de Code - althans voorlopig. Dit zal u niet beletten om een nieuw proces van verklaring van overeenstemming te starten zodra u zich beter hebt voorbereid en dus in staat bent om overtuigend te antwoorden op de verzoeken van de controle-instanties.