Codes of Practice Compliance and Monitoring

Codes of practice require specific mechanisms for monitoring compliance and enforcement, which is distinct from general AI Act compliance and deserves dedicated topic coverage.

code compliance code monitoring compliance verification code enforcement compliance assessment monitoring procedures compliance reporting code violations

Overview

Legal Framework

The topic of compliance monitoring for codes of practice is governed by the AI Act, specifically Recital 155 and Recital 115. Recital 155 mandates that all providers of high-risk AI systems must establish a post-market monitoring system. This system is required to collect and analyze data from the system's performance in real-world use to enable continuous improvement and the timely implementation of corrective actions. Separately, Recital 115 imposes specific monitoring and reporting obligations on providers of general-purpose AI models with systemic risks, requiring them to track and report serious incidents without undue delay to the Commission and national authorities.

Practical Application

The legal framework establishes a tiered monitoring obligation. For high-risk AI systems, monitoring is a continuous, integral part of the provider's quality management system, focused on the system's lifecycle performance and safety. For general-purpose AI models deemed to have systemic risk, monitoring is triggered by the occurrence of a serious incident, requiring immediate reporting and communication of mitigation measures. This structure reflects the EU legislator's intent to create proactive, system-specific oversight for embedded high-risk applications and reactive, incident-driven oversight for foundational models with broad, potentially society-wide impact. The obligation aligns with established principles in EU law, as referenced in the authoritative T&C commentary on the GDPR and its implementing law, which confirms that member states must empower supervisory authorities to bring infringements before judicial authorities, underscoring that effective monitoring is a prerequisite for enforcement.

Key Considerations

Distinguish System Types: Organizations must classify their AI offering to determine the correct monitoring regime: a continuous post-market monitoring system is mandatory for high-risk AI systems, while a serious incident reporting protocol is required for general-purpose AI models with systemic risk.
Integrate with Governance: The post-market monitoring system for high-risk AI must be documented and integrated into the provider's existing quality management and conformity assessment procedures, ensuring it feeds directly into risk management and update processes.
Establish Clear Reporting Lines: For general-purpose AI models, have a defined internal process to immediately identify a "serious incident," escalate it, and report to the Commission and relevant national competent authority, including details of the incident and any corrective measures.

Newest Relevant

Laws (7)

Recital 115

Jul 12, 2024 AI Act

Article 20

Corrigerende maatregelen en mededelingsverplichting

Jul 12, 2024 AI Act

Case Law (7)

Geen spoedeisend belang bij verzoek om opdragen Autoriteit Persoonsgegevens corrigerende maatregelen te nemen

Rechtbank

Verzoek om voorlopige voorzeining jegens Autoriteit Persoonsgegevens om corrigerende maatregelen te nemen afgewezen. In bezwaar was het gegrond verklaard en heeft er “een interventie plaatsgevonden die ertoe heeft geleid dat de derde-partij alsnog de vereiste aanpassingen heeft gedaan om het came...

Jan 19, 2026 Rechtbank

AP mocht afzien van handhaving door beroep op prioriteringsbeleid

Raad van State

Betrokkene had drie klachten ingediend bij AP over de verwerking van persoonsgegevens door voormalig werkgever Prime Vision B.V. N.a.v. de eerste twee klachten heeft de AP normoverdragende brieven gestuurd aan Prime Vision, de derde klacht met een verzoek om corrigerende maatregelen zijn afgeweze...

Oct 13, 2025 Raad van State

AP hoefde niet handhavend op te treden. Rectificatierecht medische analyses.

Rechtbank

Beroep ongegrond. Wet bescherming persoonsgegevens. Met verweerder is de rechtbank van oordeel dat hoewel medische dossiers persoonsgegevens kunnen bevatten dit niet betekent dat medische analyses waar eiser zich niet mee kan verenigen op zichzelf ook kunnen worden aangemerkt als een persoonsgegeven. De rechtbank is verder van oordeel dat de onjuistheden in de door eiser genoemde informatie niet eenvoudig en objectief zijn vast te stellen. Dit is wel vereist om tot aanpassing dan wel correctie over te gaan.

Jul 10, 2025 Rechtbank

Besluit op bezwaar van AP rechtmatig. Geen reden tot schadevergoeding.

Raad van State

Bij besluit van 25 maart 2021 heeft de Autoriteit Persoonsgegevens een klacht van [appellant] met een verzoek om corrigerende maatregelen tegen de Belastingdienst afgewezen. Op 23 mei 2020 en op 17 juni 2020 heeft [appellant] via het meldingsformulier klachten een klacht ingediend bij de AP, omdat de Belastingdienst heeft geweigerd op zijn verzoek zijn dossier toe te zenden. In de bij de klacht van 17 juni 2020 bijgevoegde brief (gedateerd 18 juni 2020) heeft [appellant] ook de AP verzocht corrigerende maatregelen te nemen. Op 25 maart 2021 heeft de AP het verzoek om handhaving afgewezen, omdat er na globaal bureauonderzoek onvoldoende feiten zijn om een overtreding van de AVG door de Belastingdienst vast te stellen. Daarvoor is nader onderzoek vereist. Omdat in onvoldoende mate aan de prioriteringscriteria is voldaan, heeft de AP besloten geen nader onderzoek te doen naar de klacht.

Jun 17, 2025 Raad van State

Reikwijdte beginselplicht tot handhaving en onderzoeksverplichtingen van de AP.

Rechtbank

Reikwijdte beginselplicht tot handhaving en onderzoeksverplichtingen van de AP. De AP heeft in deze omstandigheden kunnen afzien van een herstelsanctie, boete of berisping naar aanleiding van een overtreding van de AVG. Ook heeft de AP voldaan aan de verplichting van artikel 57 van de AVG om de twee andere klachten in gepaste mate te onderzoeken. De gestelde overtredingen zijn in het globale bureauonderzoek van Fase I niet vast komen te staan. De AP heeft op basis van het prioriteringsbeleid kunnen beslissen na dat globale bureauonderzoek geen nader onderzoek te doen.

Mar 10, 2025 Rechtbank

Deutsche Wohnen SE v Staatsanwaltschaft Berlin

C-807/21 (Deutsche Wohnen)

Fines can be imposed directly on legal persons without identifying responsible natural person.

Dec 5, 2023 CJEU

HvJ EU: Privacy Shield ongeldig verklaard (Schrems II)

Het Hof van Justitie verklaart het Privacy Shield-akkoord ongeldig wegens onvoldoende waarborgen voor Europese burgers tegen toegang door Amerikaanse inlichtingendiensten.

Jul 16, 2020 Hof van Justitie EU

Guidance (22)

View all 22

Richtsnoeren 07/2022 voor certificering als doorgifte-instrument

Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...

Overview

Legal Framework

Practical Application

Key Considerations

Laws (7)

Recital 115

Article 20

Recital 155

Recital 115

Recital 88

Recital 88

Recital 129

Case Law (7)

Geen spoedeisend belang bij verzoek om opdragen Autoriteit Persoonsgegevens corrigerende maatregelen te nemen

AP mocht afzien van handhaving door beroep op prioriteringsbeleid

AP hoefde niet handhavend op te treden. Rectificatierecht medische analyses.

Besluit op bezwaar van AP rechtmatig. Geen reden tot schadevergoeding.

Reikwijdte beginselplicht tot handhaving en onderzoeksverplichtingen van de AP.

Deutsche Wohnen SE v Staatsanwaltschaft Berlin

HvJ EU: Privacy Shield ongeldig verklaard (Schrems II)

Guidance (22)

Richtsnoeren 07/2022 voor certificering als doorgifte-instrument

Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines 09/2020 on relevant and reasoned objection under Regulation 2016/679

Guidelines 10/2020 on restrictions under Article 23 GDPR

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines 06/2022 on the practical implementation of amicable settlements

VERSIEGESCHIEDENIS

Richtsnoeren 07/2022 voor certificering als doorgifte-instrument

Versiegeschiedenis

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

Versiegeschiedenis

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

Versiegeschiedenis

Richtsnoeren 9/2020 inzake relevant en gemotiveerd bezwaar overeenkomstig Verordening 2016/679

Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte

Richtsnoeren 01/2021

Guidelines 07/2022 on certification as a tool for transfers

Enforcement (3)

ASOCIACIÓN ESCUELA NACIONAL DE EQUITACIÓN: Insufficient cooperation with supervisory authority

ASOCIACIÓN ESCUELA NACIONAL DE EQUITACIÓN: Onvoldoende samenwerking met de toezichthoudende instantie.

TIM (telecommunications operator): Insufficient legal basis for data processing