Binding Corporate Rules - wat zijn het, wanneer gebruiken?
Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: AVG: Europese Privacyverordening | Bescherming persoonsgegevens | Verwerkersovereenkomst | Binding Corporate Rules | Cookies | Dataretentie | Datalekken | Data Protection Officer of Functionaris Gegevensbescherming | Doorgifte persoonsgegevens | Kopie paspoort | Persoonsgegevens | EU-US Privacy Shield | Vergeetrecht

Wat zijn Binding Corporate Rules?

Binding Corporate Rules (BCR) zijn interne regels binnen multinationals voor doorgifte van persoonsgegevens binnen de groep. Alle werknemers en entiteiten moeten zich hieraan houden. Het gaat om doorgifte van persoonsgegevens naar landen met een ontoereikend beschermingsniveau.
BCRs beschermen de rechten en de privacy van alle individuen binnen het concern, volgens Europese wetgeving. De uitwisseling van data omvat persoonsgegevens van werknemers, klanten, leveranciers en zakenpartners.
Wanneer de persoonsgegevens extern worden verwerkt dan gelden de strikte voorwaarden van de BCR ook voor deze verwerkers. De houder van de Binding Corporate Rules moet er dus op toezien dat de verwerker -en eventuele subverwerkers- handelen volgens de normen van de BCR.
BCRs zijn te zien als de 'global privacy policy' van een bedrijf voor de verwerking van persoonsgegevens wereldwijd.
Feitelijk vallen BCRs in twee delen uiteen: een code voor medewerkers en een code voor externe personen (klanten, leveranciers en zakenpartners).

Wanneer zijn BCRs nodig?

Wanneer een Europees bedrijf persoonsgegevens doorgeeft naar een land zonder passend beschermingsniveau moet hiervoor een Europees Modelcontract getekend worden. Dat geldt voor doorgifte naar bedrijven binnen dezelfde groep en doorgifte naar externe bedrijven.
Bij doorgifte naar bedrijven binnen dezelfde groep geldt dat die contracten getekend moeten worden tussen alle entiteiten die gegevens uitwisselen. Dus voor elk uitwisselingscontact een contract. Bij grote organisaties loopt daarmee het aantal af te sluiten modelcontracten snel op. En dit moet gebeuren voor alle soorten van doorgifte, rekening houdend met verschillende wetgeving in de diverse landen. Voor grote multinationals is dit niet werkbaar, gelet op aantallen contracten, mutaties in contracten en wijzigingen in wetgeving. Deze problemen worden sterk verminderd door het gebruik van Binding Corporate Rules.

Implementatie van BCR

Binding Corporate Rules - verwerken van gegevens De privacytoezichthouders zijn de instanties die het BCR-traject begeleiden en beslissen over toelating. In elk goedkeuringstraject is één toezichthouder leidend, de lead authority. Dat is doorgaans de autoriteit in het land waar het hoofdkantoor is gevestigd. Die coördineert de handhaving met de overige toezichthouders. In sommige gevallen wordt een BCR beoordeeld door meer dan één toezichthouder. De toezichthouders die assisteren worden co-leads genoemd.

De meeste Europese toezichthouders erkennen elkaars beoordeling van BCR.
De doorlooptijd voor goedkeuring is minder dan een jaar. Het opzetten en invoeren van interne procedures en het bijscholen van medewerkers kan een jaar in beslag nemen. Het aanpassen van ICT-systemen voor BCR is een project op zich.
Voor de implementatie van BCR is hulp van een kantoor nodig dat gespecialiseerd is in BCRs.

Lees meer over de selectie van lead authority
Het proces van goedkeuring van de BCR
De lijst met bedrijven met goedgekeurde BCRs

BCRs voor verwerkers

BCRs zijn ontwikkeld voor verantwoordelijken van persoonsgegevens, de verwerkingsverantwoordelijken zoals de AVG ze noemt.
In 2013 is een nieuw type BCR geïntroduceerd: BCR voor verwerkers. Een bedrijf dat persoonsgegevens verwerkt voor derden kan samen met haar onderaannemers dit speciale type BCR aanvragen. Door te zorgen voor allerlei maatregelen zoals training medewerkers, uitvoeren van audits en het aanstellen van privacy officers kan gegarandeerd worden dat het verwerken van data compliant is met de Europese wetgeving op het gebied van persoonsgegevens.
De verwerkingsverantwoordelijke blijft aansprakelijk voor een juiste bescherming van de persoonsgegevens.
Een organisatie met een BCR voor verantwoordelijken kan relatief eenvoudig een contract aangaan met een bedrijf dat een BCR voor verwerkers heeft. Tot nu toe zijn er slechts enkele bedrijven gecertificeerd voor BCR voor verwerkers, vandaar dat de informatie hierover nog vaak de oude benaming 'bewerker' noemt.

Ontstaan van BCR

In 2011 heeft Lokke Moerel een proefschrift over BCR geschreven, dat nog steeds geldt als een leidraad voor dit onderwerp. Daarna hebben de verzamelde Europese privacytoezichthouders het systeem geadopteerd.
De eerste bedrijven met BCR waren General Electric in 2005 en Philips in 2007. Inmiddels worden BCRs erkend in zeer veel landen buiten Europa. Sinds in oktober 2015 Safe Harbor ongeldig werd verklaard is het belang van BCRs toegenomen.

Opmerkingen over Binding Corporate Rules