בצעד ראשון מסוגו אישרה רשות הגנת המידע בבלגיה לחברת Scope Europe הבלגית לשמש כגוף הסמכה לקוד התנהגות חדש עבור ספקי שירותי ענן המבקשים לפעול בתאימות להוראות ה-GDPR שעוסקות במערכת היחסים ובחובות שבין הלקוח - בעל השליטה במידע (Controller) - לבין ספק הענן הפועל כמעבד המידע (Processor). הקוד מיועד למגוון רחב של שירותים מבוססי-ענן, בין אם הם שירות IaaS (תשתית כשירות), PaaS (פלטפורמה כשירות) או SaaS (תוכנה כשירות). קוד ההתנהגות זכה גם לתמיכת מועצת הרגולטורים להגנת מידע של מדינות האיחוד האירופי.
לפי ה-GDPR, קוד התנהגות ככלל הוא מנגנון המשמש אמצעי עבור ארגונים העוסקים בתחום הפעילות של קוד ההתנהגות להוכיח את הציות שלהם לדרישות מסוימות שה-GDPR מטיל עליהם. קוד ההתנהגות הנוכחי מיועד כאמור לספקי שירותי ענן ומתווה קונקרטיזציה של דרישות ה-GDPR בנושאים הבאים:
- חוקיות, הוגנות ושקיפות עיבוד המידע
- בסיסים חוקיים לעיבוד מידע
- נציגות באיחוד האירופי של ספק שירותי ענן המאוגד מחוץ לאיחוד האירופי
- שימוש ספק הענן בספקי משנה (subprocessors)
- הסכם עיבוד המידע בין ספק הענן לבין לקוחו - בעל השליטה במידע
- רשומות המתארות את פעילויות עיבוד המידע (Records of processing activities)
- אבטחת מידע
- התמודדות עם אירועי אבטחת מידע
- קצין הגנת מידע (Data Protection Officer - DPO)
- העברות מידע בינמדינתיות
קוד ההתנהגות מאפשר לספק שירותי ענן לבחור באחת מבין שלוש דרגות הסמכה - הסמכה עצמית הכפופה לבדיקת התיעוד הנלווה להסמכה העצמית על-ידי גוף ההסמכה (Scope Europe); הסמכה עצמית בשילוב ביקורת חיצונית בידי צד שלישי שאינו גוף ההסמכה, כאשר גוף ההסמכה בוחן את שניהם; הסמכה באמצעות ביקורת חיצונית נמרצת של גוף ההסמכה. מקור: הודעת רשות הגנת הפרטיות בבלגיה.