Persoonsgegevens en ‘derde landen’: Binding Corporate Rules

‍Dit is de laatste post in de reeks over doorgifte van persoonsgegevens naar derde landen. In eerdere edities werden adequaatheidsbesluiten, het Privacy Shield en modelcontracten besproken. Deze blogpost gaat in op Binding Corporate Rules (BCR): interne gedragscodes voor gegevensverkeer binnen multinationals.

Zoals in eerdere blogposts is besproken, is de hoofdregel bij doorgifte van persoonsgegevens dat deze alleen mogen worden doorgegeven naar landen die een ‘passend’ beschermingsniveau hebben. Dit zijn in ieder geval de landen die zijn aangesloten bij de Raad van Europa. Deze landen hebben een verdrag getekend waarin een minimum beschermingsniveau voor persoonsgegevens is overeengekomen. En vanaf mei 2018 geldt de Algemene Verordening Gegevensbescherming of privacyverordening in elke lidstaat van de EU waardoor er in de hele EU dezelfde regels gelden voor gegevensbescherming.

BCR bij multinationals

Bij multinationals komt het voor dat gegevens moeten worden doorgegeven naar bedrijfsonderdelen in landen zonder een passend beschermingsniveau. Dit kan gedaan worden met behulp van een standaard modelcontract. Onder de privacyverordening wordt het echter eenvoudiger om BCR aan te nemen, waardoor deze een goed alternatief vormen.

BCR zijn regels over gegevensbescherming die gebruikt kunnen worden binnen een multinational. Deze set met regels kan gezien worden als een wereldwijd privacybeleid van het bedrijf en garandeert dat de gegevens van werknemers, klanten, leveranciers en zakenpartners worden beschermd volgens de Europese wetgeving. Door BCR aan te nemen zorgt een bedrijf er dus voor dat het beschermingsniveau in vestigingen van landen zonder een passend beschermingsniveau, alsnog voldoet aan het minimale Europese niveau.

Waarom BCR aannemen?

De belangrijkste reden om BCR aan te nemen is om in alle landen waar zaken worden gedaan, te voldoen aan de Europese privacywetten. Daarnaast zorgt de set met regels ervoor dat elk onderdeel van het bedrijf op dezelfde manier omgaat met privacyvraagstukken; wat erg overzichtelijk is. Ook bieden BCR informatie voor werknemers over de bescherming van persoonsgegevens.

BCR was al een mogelijkheid onder de privacyrichtlijn. Maar nu onder de privacyverordening wordt het specifiek genoemd als een passende waarborg voor de beveiliging van persoonsgegevens bij doorgifte.

Goedkeuring door toezichthouder

Voordat een bedrijf gegevens kan doorgeven aan een onderdeel in het buitenland op basis van BCR, moet de set BCR eerst worden goedgekeurd door een Europese privacytoezichthouder. Voor bedrijven met de hoofdvestiging in Nederland is de Nederlandse toezichthouder leidend: de Autoriteit Persoonsgegevens. De AP beoordeelt de BCR aan de hand van punten van de Artikel 29 Werkgroep (Europese privacy-experts). Vervolgens stuurt de AP de BCR door naar de landen waar het bedrijf gegevens mee wil uitwisselen. De lokale autoriteiten gaan na of de BCR voldoen aan de vereisten. Eenentwintig landen (waarvan voornamelijk EU-lidstaten) zijn overeengekomen om de BCR wederzijds goed te keuren. Dit houdt in dat als de leidende autoriteit de BCR heeft goedgekeurd, de lokale autoriteit de BCR ook goedkeurt. Dit zorgt ervoor dat de goedkeuringsprocedure sneller kan worden afgerond. Landen die geen wederzijdse goedkeuring zijn overeengekomen hebben één maand om de BCR te beoordelen. Na goedkeuring kan het bedrijf gegevens uitwisselen op basis van de BCR.

Tot nu toe zijn er ongeveer 100 bedrijven die gebruik maken van Binding Corporate Rules. Onder deze bedrijven zijn ook Nederlandse multinationals zoals ABN Amro Bank, AkzoNobel en Philips.