Vergroot contrast

Binding corporate rules voor bewerkers

De Europese privacytoezichthouders, verenigd in de zogeheten Artikel 29-werkgroep, hebben besloten vanaf 1 januari 2013 binding corporate rules (BCR) voor bewerkers te lanceren. BCR voor bewerkers zijn interne gedragscodes om te verzekeren dat de uitwisseling van persoonsgegevens naar landen buiten de EU, door een bewerker die handelt namens een klant, gebeurt volgens de Europese privacywetgeving.

Gebruik BCR

​Het gebruik van BCR voor bewerkers is niet verplicht. Ieder bedrijf dat handelt als een bewerker, bijvoorbeeld in de context van het outsourcen van activiteiten of cloud computing, kan een aanvraag indienen bij de nationale privacytoezichthouder. In Nederland is dat het College bescherming persoonsgegevens.

Als BCR voor bewerkers zijn goedgekeurd door de privacytoezichthouder, kunnen ze gebruikt worden door het verantwoordelijke bedrijf en de bewerkers. Zij hoeven daarmee niet bij ieder nieuw contract te onderhandelen over de waarborgen en condities om te voldoen aan de Europese privacywetgeving.

Working document en aanvraagformulier

In de loop van 2012 hebben de Europese privacytoezichthouders een working document en een aanvraagformulier voor BCR voor bewerkers goedgekeurd.
 
Een BCR voor bewerkers zal onderdeel zijn van de garanties van een verantwoordelijke om aan de privacytoezichthouder te kunnen laten zien dat er adequate bescherming van persoonsgegevens is en om de benodigde autorisatie te krijgen om persoonsgegevens uit te wisselen met de verschillende entiteiten van hun bewerkers (bijvoorbeeld subbewerkers en datacenters).

Het working document bevat een checklist die guidance biedt aan bedrijven over welke onderwerpen moeten worden opgenomen in een BCR voor bewerkers.

De aanvraagprocedure voor BCR voor bewerkers zal dezelfde zijn als de procedure voor BCR voor verantwoordelijken. Dit betekent dat deze gebaseerd zal zijn op een proces met een privacytoezichthouder die de lead heeft en een systeem van wederzijdse erkenning met een behoorlijk aantal andere Europese privacytoezichthouders2.

Het aanvraagformulier is ook opgesteld op dezelfde basis als het bestaande formulier voor BCR voor verantwoordelijken. Bedrijven die een aanvraag willen doen voor BCR voor bewerkers kunnen contact opnemen met de nationale privacytoezichthouder.
 
2Oostenrijk, België, Bulgarije, Cyprus, Tsjechie, Estland, Frankrijk, Duitsland, IJsland, Ierland, Italië, Letland, Liechtenstein, Luxemburg, Malta, Nederland, Norwegen, Slowakije, Slovenië, Spanje, Verenigd Koninkrijk.

Zie ook