Navigeren door AVG-naleving: wat artikel 41 betekent voor bedrijven
GDPR Artikel 41 volgt op artikel 40 (gedragscodes) door te bepalen dat de naleving van een gedragscode bewaakt door een bevoegde autoriteit, met een passend expertisegebied met betrekking tot de bedrijfspraktijken en doelstellingen van de organisatie.
Organisaties moeten het gezag en de vereiste procedures van toezichthoudende instanties erkennen en ernaar streven deze te allen tijde na te leven.
AVG Artikel 41 Wettelijke tekst
EU AVG-versie
Toezicht op goedgekeurde gedragscodes
- Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit op grond van de artikelen 57 en 58, kan het toezicht op de naleving van een gedragscode overeenkomstig artikel 40 worden uitgevoerd door een orgaan dat over een passend niveau van deskundigheid beschikt met betrekking tot het onderwerp. -materie van de code en is daartoe geaccrediteerd door de bevoegde toezichthouder.
- Een instantie als bedoeld in het eerste lid kan worden geaccrediteerd voor het toezicht op de naleving van een gedragscode, indien die instantie:
- a) tot tevredenheid van de bevoegde toezichthoudende autoriteit blijk heeft gegeven van zijn onafhankelijkheid en deskundigheid met betrekking tot het onderwerp van de code;
- b) vastgestelde procedures waarmee zij kan beoordelen of de betrokken verwerkingsverantwoordelijken en verwerkers in aanmerking komen om de code toe te passen, toezicht kan houden op hun naleving van de bepalingen ervan en periodiek de werking ervan kan beoordelen;
- (c) vastgestelde procedures en structuren om klachten te behandelen over inbreuken op de code of de manier waarop de code is of wordt geïmplementeerd door een verwerkingsverantwoordelijke of verwerker, en om deze procedures en structuren transparant te maken voor de betrokkenen en het publiek ; En
- d) tot tevredenheid van de bevoegde toezichthoudende autoriteit heeft aangetoond dat haar taken en plichten niet tot een belangenconflict leiden.
- De bevoegde toezichthoudende autoriteit legt de ontwerpcriteria voor de accreditatie van een orgaan als bedoeld in lid 1 van dit artikel voor aan het Comité overeenkomstig het in artikel 63 bedoelde consistentiemechanisme.
- Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit en de bepalingen van HOOFDSTUK VIII, neemt een orgaan als bedoeld in lid 1 van dit artikel, met inachtneming van passende waarborgen, passende maatregelen in geval van overtreding van de code door een verwerkingsverantwoordelijke. of verwerker, inclusief opschorting of uitsluiting van de betrokken verwerkingsverantwoordelijke of verwerker van de code. Zij stelt de bevoegde toezichthoudende autoriteit op de hoogte van dergelijke maatregelen en van de redenen daarvoor.
- De bevoegde toezichthoudende autoriteit trekt de accreditatie van een orgaan als bedoeld in lid 1 in, indien niet (meer) aan de voorwaarden voor accreditatie wordt voldaan of wanneer door het orgaan ondernomen acties in strijd zijn met deze verordening.
- Dit artikel is niet van toepassing op verwerkingen die worden uitgevoerd door overheidsinstanties en -organen.
Britse AVG-versie
Toezicht op goedgekeurde gedragscodes
- Onverminderd de taken en bevoegdheden van de commissaris op grond van de artikelen 57 en 58, kan het toezicht op de naleving van een gedragscode overeenkomstig artikel 40 worden uitgevoerd door een orgaan dat over een passend niveau van deskundigheid beschikt met betrekking tot het onderwerp van de code, en is daartoe geaccrediteerd door de Commissaris.
- Een instantie als bedoeld in het eerste lid kan worden geaccrediteerd voor het toezicht op de naleving van een gedragscode, indien die instantie:
- a) tot tevredenheid van de commissaris blijk heeft gegeven van zijn onafhankelijkheid en deskundigheid met betrekking tot het onderwerp van de code;
- b) vastgestelde procedures waarmee zij kan beoordelen of de betrokken verwerkingsverantwoordelijken en verwerkers in aanmerking komen om de code toe te passen, toezicht kan houden op hun naleving van de bepalingen ervan en periodiek de werking ervan kan beoordelen;
- (c) vastgestelde procedures en structuren om klachten te behandelen over inbreuken op de code of de manier waarop de code is of wordt geïmplementeerd door een verwerkingsverantwoordelijke of verwerker, en om deze procedures en structuren transparant te maken voor de betrokkenen en het publiek ; En
- d) tot tevredenheid van de commissaris heeft aangetoond dat zijn taken en plichten niet tot een belangenconflict leiden.
- Onverminderd de taken en bevoegdheden van de Commissaris en de bepalingen van een orgaan als bedoeld in lid 1 van dit artikel zal, met inachtneming van passende waarborgen, passende actie worden ondernomen in geval van overtreding van de code door een verwerkingsverantwoordelijke of verwerker, met inbegrip van opschorting of uitsluiting van de betrokken verwerkingsverantwoordelijke of verwerker van de code. Zij stelt de commissaris op de hoogte van dergelijke maatregelen en van de redenen daarvoor.
- De commissaris trekt de accreditatie van een instantie als bedoeld in lid 1 in, indien niet (meer) aan de voorwaarden voor accreditatie wordt voldaan of wanneer door de instantie ondernomen acties in strijd zijn met deze verordening.
- Dit artikel is niet van toepassing op verwerkingen die worden uitgevoerd door overheidsinstanties en -organen.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Technisch commentaar
AVG Artikel 41 bespreekt de geschiktheid en functie van het toezichthoudende orgaan op vijf belangrijke gebieden:
- De onderliggende rol die het toezichthoudend orgaan speelt.
- De juiste hoeveelheid expertise die nodig is om een monitorende rol uit te voeren.
- Hoe onafhankelijk een orgaan is van de organisaties waarop het toezicht moet houden.
- Een vastgestelde reeks procedures voor het monitoren van organisaties.
- Hoe goedkeuring/accreditatie kan worden ingetrokken.
ISO 27701 Clausule 5.2.1 (Inzicht in de organisatie en haar context) en EU AVG Artikel 41
In deze sectie praten we over AVG-artikelen 41 (1), 41 (2)(a), 41 (2)(b), 41 (2)(c), 41 (2)(d), 41 (3), 41(4), 41 (5), 41 (6)
Organisaties moeten een mapping-oefening ondergaan die zowel interne als externe factoren opsomt die verband houden met de implementatie van een PIMS.
De organisatie moet kunnen begrijpen hoe zij haar resultaten op het gebied van privacybescherming gaat bereiken, en eventuele problemen die de bescherming van PII in de weg staan, moeten worden geïdentificeerd en aangepakt.
Voordat organisaties proberen privacybescherming aan te pakken en een PII te implementeren, moeten ze eerst inzicht krijgen in hun verplichtingen als enige of gezamenlijke PII-beheerder en/of verwerker.
Dit bevat:
- Het beoordelen van geldende privacywetten, -regelgeving of ‘rechterlijke beslissingen’.
- Rekening houdend met de unieke eisen van de organisatie met betrekking tot het soort producten en diensten dat zij verkopen, en bedrijfsspecifieke bestuursdocumenten, beleidslijnen en procedures.
- Eventuele administratieve factoren, inclusief de dagelijkse leiding van het bedrijf.
- Overeenkomsten met derden of servicecontracten die een impact kunnen hebben op PII en privacybescherming.
Index van gekoppelde EU AVG-artikelen en ISO 27701-clausules
| AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
|---|---|---|
| EU AVG Artikelen 41 (1) tot 41 (6) | ISO 27701 5.2.1 | Geen |
Hoe ISMS.online helpt
Zorg voor naleving van de AVG in de EU en het VK. Onze kant-en-klare omgeving past naadloos in uw beheersysteem en stelt u in staat uw aanpak voor het beschermen van uw Europese en Britse klantgegevens te beschrijven en te demonstreren.
Met ISMS.online kunt u eenvoudig een niveau van privacybescherming aantonen dat verder gaat dan 'redelijk', en dat alles op één veilige, altijd beschikbare locatie.
Meer informatie via het boeken van een korte demo.
