Adfærdskodekser

En lille post i rækken af nedslag i vejledninger, som Datatilsynet har publiceret ifm forordningen (GDPR du ved).

De (adfærdskodekser) nævnes flere gange i forordningen, og jeg har også flere steder givet udtryk for min frustration over en manglende definition - men den kommer altså i denne PDF vejledning fra Datatilsynet, hvor det blandt andet står at adfærdskodekser er

et sæt retningslinjer, som skal bidrage til at sikre, at de virksomheder, der har tilsluttet sig kodeksen, anvender reglerne i databeskyttelsesforordningen korrekt.

De udarbejdes af sammenslutninger - fx brancheorganisationer, KL, Danske Regioner, mfl. - og det er frivilligt om man som medlem af en sådan organisation ønsker at tilslutte sig et givent adfærdskodeks, og det fritager ikke deltagerne for ansvar, men kan tænkes at have formildende indflydelse ift en eventuel strafudmåling!

Et konkret eksempel på brugen af adfærdskodekser gives også i vejledningen:

Et hospital skal anskaffe et nyt patient registrerings-system. Hospitalet har tilsluttet sig en kodeks for behandlingssikkerhed, og i den står bla hvordan 'man bør' pseudonymisere og kryptere, og det kan hospitalet bruge i sin konsekvensanalyse af det nye system og risici ifm skiftet.