Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: Bescherming persoonsgegevens | Bewerkersovereenkomst | Binding Corporate Rules | Cookies | Datalekken | Data Protection Officer | Doorgifte persoonsgegevens | Europese Privacyverordening | Kopie paspoort | Persoonsgegevens | EU-US Privacy Shield | Safe Harbor | Vergeetrecht

Wat zijn Binding Corporate Rules?

Binding Corporate Rules (BCR) zijn interne regels binnen multinationals voor doorgifte van persoonsgegevens binnen de groep. Alle werknemers en entiteiten moeten zich hieraan houden. Het gaat om doorgifte van persoonsgegevens naar landen met een ontoereikend beschermingsniveau.
BCRs beschermen de rechten en de privacy van alle individuen binnen het concern, volgens Europese wetgeving. De uitwisseling van data omvat persoonsgegevens van werknemers, klanten, leveranciers en zakenpartners.
Wanneer de persoonsgegevens extern worden bewerkt dan gelden de strikte voorwaarden van de BCR ook voor deze bewerkers. De houder van de Binding Corporate Rules moet er dus op toezien dat de bewerker -en eventuele subbewerkers- handelen volgens de normen van de BCR.
BCRs zijn te zien als de 'global privacy policy' van een bedrijf voor de verwerking van persoonsgegevens wereldwijd.
Feitelijk vallen BCRs in twee delen uiteen: een code voor medewerkers en een code voor externe personen (klanten, leveranciers en zakenpartners).

Wanneer zijn BCRs nodig?

Wanneer een Europees bedrijf persoonsgegevens doorgeeft naar een land zonder passend beschermingsniveau moet hiervoor een Europees Modelcontract getekend worden. Dat geldt voor doorgifte naar bedrijven binnen dezelfde groep en doorgifte naar externe bedrijven.
Bij doorgifte naar bedrijven binnen dezelfde groep geldt dat die contracten getekend moeten worden tussen alle entiteiten die gegevens uitwisselen. Dus voor elk uitwisselingscontact een contract. Bij grote organisaties loopt daarmee het aantal af te sluiten modelcontracten snel op. En dit moet gebeuren voor alle soorten van doorgifte, rekening houdend met verschillende wetgeving in de diverse landen. Voor grote multinationals is dit niet werkbaar, gelet op aantallen contracten, mutaties in contracten en wijzigingen in wetgeving. Deze problemen worden sterk verminderd door het gebruik van Binding Corporate Rules.

Implementatie van BCR

Binding Corporate Rules - bewerken van gegevens De privacytoezichthouders zijn de instanties die het BCR-traject begeleiden en beslissen over toelating. In elk goedkeuringstraject is één toezichthouder leidend. Voor organisaties met de hoofdvestiging in Nederland is dat onze Autoriteit Persoonsgegevens. De meeste Europese toezichthouders erkennen elkaars beoordeling van BCR.
De doorlooptijd voor goedkeuring is minder dan een jaar. Het opzetten en invoeren van interne procedures en het bijscholen van medewerkers kan een jaar in beslag nemen. Het aanpassen van ICT-systemen voor BCR is een project op zich.
Voor de implementatie van BCR is hulp van een kantoor nodig dat gespecialiseerd is in BCRs.

BCRs voor bewerkers

BCRs zijn ontwikkeld voor verantwoordelijken van persoonsgegevens.
In 2013 is een nieuw type BCR geïntroduceerd: BCR voor bewerkers. Een bedrijf dat persoonsgegevens verwerkt voor derden kan samen met haar onderaannemers dit speciale type BCR aanvragen. Door te zorgen voor allerlei maatregelen zoals training medewerkers, uitvoeren van audits en het aanstellen van privacy officers kan gegarandeerd worden dat het verwerken van data compliant is met de Europese wetgeving op het gebied van persoonsgegevens.
De verantwoordelijke blijft aansprakelijk voor een juiste bescherming van de persoonsgegevens.
Een organisatie met een BCR voor verantwoordelijken kan relatief eenvoudig een contract aangaan met een bedrijf dat een BCR voor bewerkers heeft. Tot nu toe zijn er slechts enkele bedrijven gecertificeerd voor BCR voor bewerkers.

Ontstaan van BCR

In 2011 heeft Lokke Moerel een proefschrift over BCR geschreven, dat nog steeds geldt als een leidraad voor dit onderwerp. Daarna heeft de Artikel 29-werkgroep (de verzamelde Europese privacytoezichthouders) het systeem geadopteerd.
De eerste bedrijven met BCR waren General Electric in 2005 en Philips in 2007. Inmiddels worden BCRs erkend in zeer veel landen buiten Europa. Sinds in oktober 2015 Safe Harbor ongeldig werd verklaard is het belang van BCRs toegenomen.

Opmerkingen over Binding Corporate Rules