Binding Corporate Rules (BCR)

[ binding-corporate-rules.nl ]

Wat zijn Binding Corporate Rules?

Binding Corporate Rules (BCR) zijn interne regels binnen multinationals voor doorgifte van persoonsgegevens binnen het concern. Alle werknemers en vestigingen moeten zich hieraan houden. In de BCR worden de waarborgen vastgelegd voor de bescherming van persoonsgegevens bij doorgifte naar landen met een ontoereikend beschermingsniveau.
BCR beschermen de privacyrechten van bij het concern betrokken personen, naar Europese maatstaven. Het gaat hierbij om gegevens van werknemers, klanten, leveranciers en zakenpartners.
Wanneer de persoonsgegevens door een externe partij worden verwerkt dan gelden de strikte voorwaarden van de BCR ook voor deze verwerkers. De houder van de Binding Corporate Rules moet er dus op toezien dat de verwerker -en eventuele subverwerkers- handelen volgens de normen van de BCR.
BCR zijn te zien als de 'global privacy policy' van een multinational voor de verwerking van persoonsgegevens wereldwijd.
In de praktijk bestaan BCR vaak uit twee delen: een beleid (of code) voor medewerkers en een code voor externe personen (klanten, leveranciers en zakenpartners).

Wanneer zijn BCR nodig?

Wanneer een Europees bedrijf persoonsgegevens doorgeeft naar een land zonder passend beschermingsniveau zal hiervoor vaak een Europees Modelcontract getekend worden. Dat geldt zowel voor doorgifte naar bedrijven binnen dezelfde groep als voor doorgifte naar externe bedrijven.
Bij doorgifte naar bedrijven binnen dezelfde groep geldt dat die contracten getekend moeten worden tussen alle vestigingen die de gegevens uitwisselen. En dat voor elk bedrijfsproces waar persoonsgegevens mee gemoeid zijn. Voor grote multinationals is dit niet werkbaar, gelet op de aantallen betrokken partijen en (wijzigingen in) bedrijfsprocessen. Deze problemen worden sterk verminderd door het gebruik van Binding Corporate Rules.

Implementatie van BCR

Binding Corporate Rules - verwerken van gegevens In de Algemene Verordening Gegevensbescherming is een artikel gewijd aan BCR (dit was onder de Wbp niet het geval). Eerst moeten de Europese privacytoezichthouders de BCR goedkeuren, daarna geeft de European Data Protection Board (de voormalige Artikel-29-werkgroep) haar goedkeuring.
Het gehele proces van opstellen, goedkeuren en implementeren van BCR kan enkele jaren in beslag nemen. Het in overeenstemming brengen van ICT-systemen met de BCR is een project op zich. Onderschat ook niet het bijscholen van alle medewerkers (wereldwijd). Het is ten zeerste aan te raden een advocatenkantoor dat gespecialiseerd is in BCR in de arm te nemen, in elk geval met betrekking tot het opstellen en laten goedkeuren van de BCR.

Lees op de website van de Europese Commissie meer over BCR

BCR voor verwerkers

BCR zijn ontwikkeld voor verantwoordelijken van persoonsgegevens, de verwerkingsverantwoordelijken zoals de AVG ze noemt.
In 2013 is een nieuw type BCR geïntroduceerd: BCR voor verwerkers. Een organisatie die namens een klant persoonsgegevens verwerkt, kan dit speciale type BCR aanvragen. Daarmee is zij ervan verzekerd dat de uitwisseling van persoonsgegevens naar landen buiten de EU gebeurt volgens de Europese privacyregelgeving. Ook hoeft de organisatie dan niet bij elk nieuw contract te onderhandelen over de maatregelen die zij moet nemen om AVG-compliant te zijn. De BCR voor verwerkers zijn voor de verwerkingsverantwoordelijke onderdeel van de garanties om, in het kader van zijn verantwoordingsplicht, aan de privacytoezichthouder aan te tonen dat hij voldoet aan de eisen uit de AVG.

Tot nu toe zijn er slechts enkele bedrijven gecertificeerd voor BCR voor verwerkers, vandaar dat de informatie hierover nog vaak de oude benaming 'bewerker' noemt.
De term BCR-P (Binding Corporate Rules for Processors) wordt gehanteerd ter onderscheid met de gewone BCR.

Ontstaan van BCR

In 2011 heeft Lokke Moerel een proefschrift over BCR geschreven, dat nog steeds geldt als een leidraad voor dit onderwerp. Daarna hebben de verzamelde Europese privacytoezichthouders het systeem geadopteerd.
De eerste bedrijven met BCR waren General Electric in 2005 en Philips in 2007. Inmiddels worden BCR erkend in zeer veel landen buiten Europa.

Opmerkingen over Binding Corporate Rules

  • De BCR worden erkend door vrijwel alle landen van de Europese Unie.
  • Het kan een uitdaging zijn BCR geaccepteerd te krijgen in landen buiten Europa, die in hun lokale regelgeving een minder hoog beschermingsniveau voor persoonsgegevens hanteren.
  • Compliance met goedgekeurde BCR moet binnen een bedrijf doorlopend worden bewaakt. Dit speelt met name als de structuur van het bedrijf verandert, de datastromen wijzigen of nieuwe wetgeving geïntroduceerd wordt. In sommige gevallen zal de tekst van de BCR moeten worden aangepast, waarna opnieuw goedkeuring van de toezichthouders moet worden verkregen.
  • De BCR moeten gepubliceerd worden zodat de betrokkenen om wie het gaat er kennis van kunnen nemen. In de regel zal de werknemerscode op het intranet voor alle werknemers toegankelijk worden gemaakt, en de code voor klanten, leveranciers en zakenpartners op de algemene of corporate website.
  • De vertaling Bindende Bedrijfsvoorschriften komt uit de Europese Privacyverordening AVG
  • De documentatie van de EDPB (voormalige Article 29 Working Party) voor BCR zijn in feb. 2018 aangepast aan de AVG.
  • In de BCR wordt aangegeven dat als de lokale wetgeving strenger is t.a.v. persoonsgegevens, de lokale wetgeving voorrang krijgt.
    Let op: per land zijn verschillen mogelijk in de uitvoering van de AVG, bijvoorbeeld op het gebied van werknemers- en salarisadministratie.
  • Mogelijk moet een organisatie in de context van haar BCR ook Transfer Impact Assessments uitvoeren. Meer hierover is te vinden op de pagina Europees modelcontract

Gerelateerde onderwerpen