Het CBP is op grond van artikel 25 Wbp belast met de toetsing van gedragscodes die uitvoering geven aan de wetgeving voor organisaties die actief zijn in een of meer sectoren van de samenleving.
Gedragscodes zijn een middel om de verantwoordelijkheid voor de uitwerking van de normen voor de bescherming van persoonsgegevens te verdelen binnen de samenleving. De algemene normen, rechten en verplichtingen, procedures en sancties staan in de wet. De concretisering van de algemene normen vindt dan plaats via gedragscodes voor een bepaalde sector.
Een organisatie (bijvoorbeeld een brancheorganisatie) kan het CBP verzoeken de eigen gedragscode te toetsen. In de samenleving wordt veel vertrouwen gesteld in gedragscodes. Het CBP toetst daarom de gedragscode zorgvuldig aan artikel 25 Wbp. Het gaat dan onder meer om de juiste uitwerking van de wet, een nauwkeurige omschrijving van de sector, de representativiteit van de organisatie die de gedragscode opstelt, en de waarborgen voor onafhankelijkheid bij de beslechting van geschillen.
Het CBP is meestal van harte bereid om mee te werken aan de totstandkoming van deze sectorale gedragscodes. De concretisering van de wettelijke bepalingen in een bepaalde sector leidt tot een versterking van de bescherming van persoonsgegevens en doet ook recht aan het uitgangspunt van zelfregulering dat aan de Wbp ten grondslag ligt.