Heeft uw organisatie vestigingen buiten de EU? En worden er persoonsgegevens uitgewisseld met deze vestigingen? Dan moet u extra maatregelen treffen om AVG-proof te zijn. Binding Corporate Rules (BCR) zijn vaak het meest interessant. In deze blog een overzicht van de te treffen maatregelen, de meest kosteneffectieve juridische opties die beschikbaar zijn voor doorgifte van persoonsgegevens buiten de EU en alles over de BCR.

Intern persoonsgegevens uitwisselen buiten de EU: niet zonder consequenties

Bij de implementatie van de AVG is interne, internationale doorgifte van persoonsgegevens één van de grootste uitdagingen voor een internationale organisatie of multinational.

De AVG verbiedt namelijk overdracht van persoonsgegevens uit de Europese Economische Ruimte (EER) naar landen die geen ‘adequaat niveau van gegevensbescherming’ waarborgen.

Doorgifte naar dat land kan op grond van de AVG slechts plaatsvinden als de verwerkingsverantwoordelijke of verwerker passende waarborgen biedt. Daarnaast moeten de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

Passende waarborgen worden geboden door middel van de volgende instrumenten:

  • juridisch bindende afspraken tussen overheidsorganen;

  • bindende bedrijfsvoorschriften/ Binding Corporate Rules (BCR);

  • standaard gegevensbeschermingsbepalingen / EU-modelcontractbepalingen;

  • goedgekeurde gedragscodes en certificeringsmechanismen.

Tip!

De Europese Commissie heeft een lijst opgesteld van landen met een adequaat beschermingsniveau.

BCR vs. EU-modelcontractbepaling

De meest kosteneffectieve juridische opties die beschikbaar zijn voor doorgifte van persoonsgegevens buiten de EU zijn de EU-modelcontractbepalingen en de BCR.

Zowel BCR als modelcontractbepalingen zijn instrumenten voor gegevensoverdracht die passende waarborgen kunnen bieden. De modelcontractbepalingen zijn standaardclausules die zijn opgesteld door de Europese Commissie. De BCR zijn te vergelijken met een gedragscode en voor iedere organisatie uniek.

businessman.jpg

Binding Corporate Rules zijn interessant voor organisaties die in veel verschillende landen actief zijn, omdat uitwisseling van persoonsgegevens eenvoudiger kan plaatsvinden.

De modelcontractbepalingen zijn onpraktisch voor grote bedrijven met veel klanten. In dat geval moeten er namelijk honderden modelcontractbepalingen getekend worden. Die overigens in principe niet aangepast kunnen worden. Daarnaast kunnen er tussen de verwerkingsverantwoordelijke en de uiteindelijke (sub)verwerker nog eens een aantal bedrijven zitten, wat resulteert in hoge administratieve kosten en veel gedoe.

In tegenstelling tot modelcontractbepalingen zijn de BCR op maat gemaakt, staat het een stroom aan dataoverdracht toe voor verschillende doeleinden en hoeft er geen apart contract opgesteld te worden voor iedere doorgifte. De Binding Corporate Rules zijn echter niet geldig voor doorgifte van persoonsgegevens aan derde partijen.

De Europese privacy toezichthouders hebben een aantal leidraden opgesteld over BCR met betrekking tot de eisen. Ook in de AVG staan duidelijke regels voor het opstellen van de Binding Corporate Rules en de voordelen ervan. De BCR zorgen ervoor dat elk onderdeel van een concern/groep op dezelfde manier omgaat met privacyvraagstukken.

Let op!

Dit kan afhangen van de rol van de organisatie (verwerker of verwerkingsverantwoordelijke).

De BCR: een nadere kennismaking

audit2.jpg

Interne gedragscodes voor het verkeer van persoonsgegevens binnen de eigen organisatie naar niet EU-landen zonder passend beschermingsniveau, worden bindende bedrijfsvoorschriften oftewel Binding Corporate Rules (BCR) genoemd. Alle werknemers en entiteiten binnen het concern (ook de Nederlandse en Europese vestigingen) moeten zich houden aan deze interne gedragscode.

De BCR waren voor de AVG al geïntroduceerd. In de AVG wordt de voorwaarde gesteld dat in de BCR alle essentiële beginselen en afdwingbare rechten zijn vastgesteld die met het oog op de betreffende doorgifte passende waarborgen bieden.

De BCR zorgen er dus voor dat alle gegevensoverdrachten binnen een bedrijfsgroep veilig zijn. Ze moeten de volgende zaken bevatten:

  • privacy beginselen, zoals transparantie, gegevenskwaliteit en beveiliging;

  • hulpmiddelen voor doelmatigheid, zoals audit, training of klachtenbehandelingssystemen; en

  • bewijs dat de BCR bindend zijn voor alle ondernemingen in de groep.

In de BCR worden de beginselen voor de verwerking van persoonsgegevens gerespecteerd, worden de rechten van betrokkenen gewaarborgd, zijn wettelijke gronden voor rechtmatige verwerking aanwezig, worden datapraktijken gestroomlijnd en nog veel meer. Maar ze bieden ook, onder andere, belangrijke concurrentievoordelen.

Binding Corporate Rules vergen veel inspanning en zijn pas AVG-proof na goedkeuring.

Goedkeuring van BCR

Om de BCR goedgekeurd te krijgen, moeten ze:

  • juridisch bindend zijn;

  • van toepassing zijn op elk betrokken lid van de multinationale of internationale organisatie;

  • worden gehandhaafd door elk van deze betrokken leden;

  • beschikken over duidelijke manieren voor betrokkenen om hun rechten uit te oefenen;

  • specifieke informatie vermelden met betrekking tot o.a. de organisatie en de verwerking.

De BCR moeten in overeenstemming zijn met de AVG. De bevoegde Europese privacy toezichthouder in een lidstaat kan deze voorschriften op verzoek van de organisatie goedkeuren. Daarna moet de European Data Protection Board (EDPB) goedkeuring geven.

Het hangt van de specifieke Binding Corporate Rules af hoe lang het duurt voordat een BCR is goedgekeurd. Elke BCR is anders, waardoor er geen standaardtermijn te geven is.

De Autoriteit Persoonsgegevens (de Nederlandse toezichthouder) streeft ernaar een BCR binnen een jaar goed te keuren. Dit is gerekend vanaf de datum dat een BCR volledig bij de Autoriteit Persoonsgegevens is ingediend. Het kan ook langer duren dan een jaar.

Hulp nodig bij het opstellen van uw BCR?

Onze ICT-juristen hebben diverse organisaties geholpen bij het opstellen van Binding Corporate Rules.

Heeft u interesse in een vrijblijvende prijsopgave? Of wilt u nader kennis met ons maken? Bel ons direct via 010 2290 646.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.