Meteen naar de inhoud
ISMS.online

Hoe u naleving van AVG kunt aantonen Artikel 40

Naleving van artikel 40 van de AVG onderstreept hoe belangrijk het is dat organisaties sectorspecifieke gedragscodes ontwikkelen om naleving van de AVG te waarborgen, vertrouwen te vergroten en regelgevingsrisico's te beperken.

Auteur
David Holloway
Bijgewerkt 30, 2025
4 / 5 sterren

Zorgen voor naleving van artikel 40 van de AVG: de rol van gedragscodes

GDPR Artikel 40 gaat expliciet in op de noodzaak voor organisaties om een ​​gedragscode – of meerdere gedragscodes – op te stellen die uniek is/zijn voor hun bedrijf en toepasbaar is op de verschillende rollen die daarin vervat zijn.

Ondersteunende codes kunnen scenario's omvatten zoals het gebruik van persoonlijke gegevens voor marketingdoeleinden of gezondheidszorgdoeleinden.

AVG Artikel 40 Wettelijke tekst

EU AVG-versie

Gedragscodes

  1. De lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie moedigen het opstellen aan van gedragscodes die bedoeld zijn om bij te dragen tot de juiste toepassing van deze verordening, rekening houdend met de specifieke kenmerken van de verschillende verwerkende sectoren en de specifieke behoeften van micro-organismen. , kleine en middelgrote ondernemingen.
  2. Verenigingen en andere instanties die categorieën verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, kunnen gedragscodes opstellen, of dergelijke codes wijzigen of uitbreiden, met als doel de toepassing van deze verordening te specificeren, bijvoorbeeld met betrekking tot:

    • (a) eerlijke en transparante verwerking;
    • (b) de legitieme belangen die door verwerkingsverantwoordelijken in specifieke contexten worden nagestreefd;
    • (c) het verzamelen van persoonsgegevens;
    • (d) de pseudonimisering van persoonsgegevens;
    • e) de informatie die aan het publiek en aan de betrokkenen wordt verstrekt;
    • f) de uitoefening van de rechten van betrokkenen;
    • g) de informatie die wordt verstrekt aan en de bescherming van kinderen, en de manier waarop de toestemming van degenen die de ouderlijke verantwoordelijkheid voor kinderen hebben, moet worden verkregen;
    • h) de maatregelen en procedures bedoeld in de artikelen 24 en 25 en de maatregelen om de veiligheid van de verwerking te garanderen bedoeld in artikel 32;
    • (i) de melding van inbreuken op persoonsgegevens aan toezichthoudende autoriteiten en de mededeling van dergelijke inbreuken op persoonsgegevens aan betrokkenen;
    • j) de overdracht van persoonsgegevens aan derde landen of internationale organisaties; of
    • k) buitengerechtelijke procedures en andere procedures voor geschillenbeslechting voor het oplossen van geschillen tussen voor de verwerking verantwoordelijken en betrokkenen met betrekking tot de verwerking, onverminderd de rechten van betrokkenen op grond van de artikelen 77 en 79.
  3. Naast de naleving door verwerkingsverantwoordelijken of verwerkers die onder deze verordening vallen, kunnen gedragscodes die zijn goedgekeurd op grond van lid 5 van dit artikel en die algemene geldigheid hebben op grond van lid 9 van dit artikel, ook worden nageleefd door verwerkingsverantwoordelijken of verwerkers die niet onder deze verordening vallen. Verordening krachtens artikel 3 om passende waarborgen te bieden in het kader van de overdracht van persoonsgegevens aan derde landen of internationale organisaties onder de voorwaarden bedoeld in artikel 46, lid 2, onder e). Dergelijke verwerkingsverantwoordelijken of verwerkers zullen bindende en afdwingbare toezeggingen doen, via contractuele of andere juridisch bindende instrumenten, om die passende waarborgen toe te passen, ook met betrekking tot de rechten van betrokkenen.
  4. Een gedragscode als bedoeld in lid 2 van dit artikel bevat mechanismen die het in artikel 41, lid 1, bedoelde orgaan in staat stellen het verplichte toezicht uit te oefenen op de naleving van de bepalingen ervan door de voor de verwerking verantwoordelijken of verwerkers die zich ertoe verbinden deze toe te passen, zonder doet afbreuk aan de taken en bevoegdheden van de op grond van artikel 55 of 56 bevoegde toezichthoudende autoriteiten.
  5. Verenigingen en andere organen bedoeld in lid 2 van dit artikel die voornemens zijn een gedragscode op te stellen of een bestaande code te wijzigen of uit te breiden, leggen de ontwerpcode, wijziging of uitbreiding voor aan de toezichthouder die krachtens artikel 55 bevoegd is. De toezichthoudende autoriteit brengt advies uit over de vraag of de ontwerpcode, wijziging of uitbreiding in overeenstemming is met deze verordening en keurt die ontwerpcode, wijziging of uitbreiding goed als zij constateert dat deze voldoende passende waarborgen biedt.
  6. Indien de ontwerpcode, of de wijziging of uitbreiding, wordt goedgekeurd overeenkomstig lid 5, en indien de betrokken gedragscode geen betrekking heeft op verwerkingsactiviteiten in meerdere lidstaten, registreert en publiceert de toezichthoudende autoriteit de code.
  7. Wanneer een ontwerp-gedragscode betrekking heeft op verwerkingsactiviteiten in meerdere lidstaten, legt de toezichthoudende autoriteit die krachtens artikel 55 bevoegd is, deze, alvorens de ontwerp-gedragscode goed te keuren, te wijzigen of uit te breiden, volgens de procedure bedoeld in artikel 63 voor aan het Comité. die advies uitbrengt over de vraag of de ontwerpcode, wijziging of uitbreiding in overeenstemming is met deze verordening of, in de in lid 3 van dit artikel bedoelde situatie, passende waarborgen biedt.
  8. Indien het in lid 7 bedoelde advies bevestigt dat de ontwerpcode, wijziging of uitbreiding in overeenstemming is met deze verordening, of, in de in lid 3 bedoelde situatie, passende waarborgen biedt, legt het Comité zijn advies voor aan de Commissie.
  9. De Commissie kan door middel van uitvoeringshandelingen besluiten dat de goedgekeurde gedragscode, wijziging of uitbreiding die haar overeenkomstig lid 8 van dit artikel wordt voorgelegd, algemene geldigheid heeft binnen de Unie. Deze uitvoeringshandelingen worden vastgesteld volgens de onderzoeksprocedure van artikel 93, lid 2.
  10. De Commissie zorgt voor passende publiciteit voor de goedgekeurde codes waarvan overeenkomstig lid 9 is besloten dat zij algemene geldigheid hebben.
  11. Het Bestuur verzamelt alle goedgekeurde gedragscodes, wijzigingen en uitbreidingen in een register en maakt deze op passende wijze openbaar.

Britse AVG-versie

Gedragscodes

  1. De commissaris moedigt het opstellen aan van gedragscodes die moeten bijdragen tot de juiste toepassing van deze verordening, rekening houdend met de specifieke kenmerken van de verschillende verwerkende sectoren en de specifieke behoeften van micro-, kleine en middelgrote ondernemingen.
  2. Verenigingen en andere instanties die categorieën verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, kunnen gedragscodes opstellen, of dergelijke codes wijzigen of uitbreiden, met als doel de toepassing van deze verordening te specificeren, bijvoorbeeld met betrekking tot:

    • (a) eerlijke en transparante verwerking;
    • (b) de legitieme belangen die door verwerkingsverantwoordelijken in specifieke contexten worden nagestreefd;
    • (c) het verzamelen van persoonsgegevens;
    • (d) de pseudonimisering van persoonsgegevens;
    • e) de informatie die aan het publiek en aan de betrokkenen wordt verstrekt;
    • f) de uitoefening van de rechten van betrokkenen;
    • g) de informatie die wordt verstrekt aan en de bescherming van kinderen, en de manier waarop de toestemming van degenen die de ouderlijke verantwoordelijkheid voor kinderen hebben, moet worden verkregen;
    • h) de maatregelen en procedures bedoeld in de artikelen 24 en 25 en de maatregelen om de veiligheid van de verwerking te garanderen bedoeld in artikel 32;
    • (i) de kennisgeving van inbreuken in verband met persoonsgegevens aan de commissaris en de mededeling van dergelijke inbreuken in verband met persoonsgegevens aan de betrokkenen;
    • j) de overdracht van persoonsgegevens aan derde landen of internationale organisaties; of
    • k) buitengerechtelijke procedures en andere procedures voor geschillenbeslechting voor het oplossen van geschillen tussen voor de verwerking verantwoordelijken en betrokkenen met betrekking tot de verwerking, onverminderd de rechten van betrokkenen op grond van de artikelen 77 en 79.
  3. Naast de naleving door verwerkingsverantwoordelijken of verwerkers die onder deze verordening vallen, kunnen gedragscodes die zijn goedgekeurd op grond van lid 5 van dit artikel en die algemene geldigheid hebben op grond van lid 9 van dit artikel, ook worden nageleefd door verwerkingsverantwoordelijken of verwerkers die niet onder deze verordening vallen. Verordening krachtens artikel 3 om passende waarborgen te bieden in het kader van de overdracht van persoonsgegevens aan derde landen of internationale organisaties onder de voorwaarden bedoeld in artikel 46, lid 2, onder e). Dergelijke verwerkingsverantwoordelijken of verwerkers zullen bindende en afdwingbare toezeggingen doen, via contractuele of andere juridisch bindende instrumenten, om die passende waarborgen toe te passen, ook met betrekking tot de rechten van betrokkenen.
  4. Een gedragscode als bedoeld in lid 2 van dit artikel bevat mechanismen die het in artikel 41, lid 1, bedoelde orgaan in staat stellen het verplichte toezicht uit te oefenen op de naleving van de bepalingen ervan door de voor de verwerking verantwoordelijken of verwerkers die zich ertoe verbinden deze toe te passen, zonder doet afbreuk aan de taken en bevoegdheden van de commissaris.
  5. Verenigingen en andere organen bedoeld in lid 2 van dit artikel die voornemens zijn een gedragscode op te stellen of een bestaande code te wijzigen of uit te breiden, leggen de conceptcode, wijziging of uitbreiding voor aan de commissaris. De commissaris brengt advies uit over de vraag of de ontwerpcode, wijziging of uitbreiding in overeenstemming is met deze verordening en keurt de ontwerpcode, wijziging of uitbreiding goed als hij van oordeel is dat deze voldoende passende waarborgen biedt.
  6. Wanneer de ontwerpcode, of de wijziging of uitbreiding wordt goedgekeurd in overeenstemming met lid 5, registreert en publiceert de commissaris de code.


ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Technisch commentaar

AVG Artikel 40 vraagt ​​organisaties om acht hoofdgebieden in overweging te nemen bij het implementeren van gedragscodes:

  1. Wat wordt bedoeld met een gedragscode, waar ze voor dienen, wie ze kan opstellen.
  2. De specifieke behoeften van de organisatie die moeten worden aangepakt door middel van een gedragscode.
  3. Verenigingen of andere brancheorganisaties die zich bezighouden met gedragscodes die voor de organisatie gelden.
  4. Wie hun doelgroep is.
  5. Hoe gedragscodes worden goedgekeurd door relevante autoriteiten.
  6. Specifieke voorwaarden waaraan moet worden voldaan voordat een gedragscode kan worden goedgekeurd (bijvoorbeeld een openingsverklaring).
  7. Hoe een gedragscode gepubliceerd kan worden, nadat deze is goedgekeurd.
  8. Of een gedragscode al dan niet moet worden opgenomen in een register van soortgelijke codes.

ISO 27701 Clausule 5.2.1 (Inzicht in de organisatie en haar context) en EU AVG Artikel 40

In deze sectie hebben we het over AVG-artikelen 40 (1), 40 (10), 40 (11), 40 (2)(a), 40 (2)(b), 40 (2)(c), 40 (2 )(d), 40 (2)(e), 40 (2)(f), 40 (2)(g), 40 (2)(h), 40 (2)(i), 40 (2)( j), 40 (2)(k), 40 (3), 40 (4), 40 (5), 40 (6), 40 (7), 40 (8), 40 (9)

De organisatie moet kunnen begrijpen hoe zij haar resultaten op het gebied van privacybescherming gaat bereiken, en eventuele problemen die de bescherming van PII in de weg staan, moeten worden geïdentificeerd en aangepakt.

Voordat organisaties proberen privacybescherming aan te pakken en een PII te implementeren, moeten ze eerst inzicht krijgen in hun verplichtingen als enige of gezamenlijke PII-beheerder en/of verwerker.

Dit bevat:

  • Het beoordelen van geldende privacywetten, -regelgeving of ‘rechterlijke beslissingen’.
  • Rekening houdend met de unieke eisen van de organisatie met betrekking tot het soort producten en diensten dat zij verkopen, en bedrijfsspecifieke bestuursdocumenten, beleidslijnen en procedures.
  • Eventuele administratieve factoren, inclusief de dagelijkse leiding van het bedrijf.
  • Overeenkomsten met derden of servicecontracten die een impact kunnen hebben op PII en privacybescherming.

Index van gekoppelde EU AVG-artikelen en ISO 27701-clausules

AVG-artikel ISO 27701-clausule ISO 27701 Ondersteunende clausules
EU AVG Artikelen 40 (1) tot 40 (9) ISO 27701 5.2.1 Geen

Hoe ISMS.online helpt

Door onze ‘Adopt, Adapt, Add’-implementatiestrategie te combineren met het ISMS.online-platform worden de inspanningen die nodig zijn om GDPR-compliance te bereiken aanzienlijk verminderd. Er zijn ook een aantal krachtige functies die u tijd zullen besparen.

Wij maken het in kaart brengen van data eenvoudig. Met onze vooraf geconfigureerde dynamische tool Records of Processing Activity kunt u alles eenvoudig bijhouden.

Meer informatie via het boeken van een korte demo.

David Holloway

Chief Marketing Officer

David Holloway is Chief Marketing Officer bij ISMS.online en heeft meer dan vier jaar ervaring in compliance en informatiebeveiliging. Als onderdeel van het managementteam richt David zich op het ondersteunen van organisaties om vol vertrouwen door complexe regelgeving te navigeren en strategieën te ontwikkelen die bedrijfsdoelen afstemmen op impactvolle oplossingen. Hij is tevens co-host van de podcast Phishing For Trouble, waarin hij ingaat op spraakmakende cybersecurityincidenten en waardevolle lessen deelt om bedrijven te helpen hun beveiliging en compliance te versterken.

LinkedIn

AVG-artikelen

AVG in de diepte

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Klaar voor de start?

Demo boeken