Vergroot contrast

Binding corporate rules

Binnen internationale organisaties of multinationals vindt doorgifte van persoonsgegevens plaats tussen de verschillende vestigingen. Zijn er vestigingen buiten de Europese Unie (EU)? Dan kunnen deze organisaties interne gedragscodes opstellen voor het gegevensverkeer binnen de eigen organisatie. Dit worden bindende bedrijfsvoorschriften oftewel binding corporate rules (BCR) genoemd.

In de BCR legt een organisatie de waarborgen vast voor de bescherming van persoonsgegevens bij doorgifte naar landen zonder passend beschermingsniveau.

De BCR moeten in overeenstemming zijn met de Algemene verordening gegevensbescherming (AVG). De Europese privacytoezichthouders moeten eerst de BCR goedkeuren. Daarna moet de European Data Protection Board (EDPB) goedkeuring geven.

Nieuws

Alle nieuwsberichten over het onderwerp 'Binding corporate rules'

Alle antwoorden op mijn vragenVragen over binding corporate rules (BCR)

  • Waar kan ik informatie vinden over BCR’s?

    De Europese privacytoezichthouders hebben een aantal leidraden (WP-documenten) opgesteld over BCR.

    Informatie voor de Controller BCR

    Voor de Controller BCR zijn de volgende documenten van belang:

    Informatie voor de Processor BCR

    Voor de Processor BCR zijn de volgende documenten van belang:

  • Welke eisen worden aan een BCR gesteld?

    De minimumvereisten aan een BCR staan in WP256 (voor de Controller BCR) en WP257 (voor de Processor BCR).

    Neem daarnaast alle informatie die u van belang acht op in uw BCR of in bijlagen.

  • Hoe lang duurt het voordat een BCR is goedgekeurd?

    Dat hangt van de specifieke BCR af. Elke BCR is anders, waardoor er geen standaardtermijn te geven is.

    De Autoriteit Persoonsgegevens streeft ernaar een BCR binnen een jaar goed te keuren. Dit is gerekend vanaf de datum dat een BCR volledig bij de Autoriteit Persoonsgegevens is ingediend.

  • Wat houdt de mutual recognition-procedure in?

    Een aantal data protection authority’s (DPA’s) heeft een procedure afgesproken voor mutual recognition (wederzijdse erkenning). Dit houdt in dat de DPA’s elkaars beoordelingen van BCR accepteren. Dit maakt de procedure voor goedkeuring van BCR sneller.

    Mutual recognition-procedure

    De procedure voor mutual recognition verloopt als volgt:

    • Een organisatie dient een BCR in bij een DPA, die de BCR in behandeling neemt. Deze DPA wordt de ‘lead DPA’ genoemd ofwel 'de leidende toezichthouder'.
    • De lead DPA vraagt twee andere DPA’s de BCR te beoordelen en hun commentaar daarop toe te sturen.
    • Zijn de lead DPA en de twee andere DPA’s (ook wel ‘co-reviewers’ genoemd) akkoord met de BCR? Dan wordt de BCR ter goedkeuring voorgelegd aan de European Data Protection Board (EDPB).
    • Na goedkeuring van de EDPB zullen de  relevante DPA’s geïnformeerd worden en krijgen zij de BCR toegestuurd.
    • Als de EDPB door de AP wordt gevraagd goedkeuring te geven aan de BCR, dan zal de EDPB binnen acht weken een advies geven. Die termijn kan met zes weken worden verlengd. Er wordt rekening gehouden met de complexiteit van de BCR.
    • De AP zal maximaal rekeninghouden met het advies van de EDPB en dient binnen twee weken na ontvangst van het advies, mee te delen of zij het ontwerpbesluit zal handhaven of het ontwerpbesluit zal wijzigen naar aanleiding van het advies.
  • Welke DPA’s hebben zich aangesloten bij de mutual recognition-procedure?

    Zie de website van de Europese Commissie voor een actuele lijst van landen waarvan de data protection authority (DPA) zich heeft aangesloten bij de mutual recognition-procedure.

  • Wie beslist welke co-reviewers benaderd worden?

    De lead DPA (leidende toezichthouder) beslist welke co-reviewers benaderd worden. Wanneer u uw BCR indient, kunt u een voorkeur uitspreken voor co-reviewers. Waar mogelijk zal de Autoriteit Persoonsgegevens rekening houden met uw voorkeur.

  • Wat houdt de coördinatieprocedure in?

    Is een DPA niet aangesloten bij de mutual recognition-procedure, dan beoordeelt deze DPA BCR zelfstandig. Als daar aanvullende vragen en opmerkingen uit voortkomen, stemt de DPA die af met de lead DPA en de organisatie die de BCR heeft ingediend. Dit noemen we de coördinatieprocedure.

  • Wat moet ik doen als ik mijn BCR heb geüpdatet?

    Stuur de nieuwe versie van de BCR naar de Autoriteit Persoonsgegevens (AP), met een brief waarin u de wijzigingen en/of aanvullingen vermeldt met een uitleg.

    De AP beoordeelt of er inhoudelijke veranderingen zijn in uw BCR en of een nieuwe goedkeuringsprocedure noodzakelijk is.

    • Is een nieuwe procedure niet noodzakelijk? Dan stuurt de AP de nieuwe versie van uw BCR naar de relevante DPA’s.
    • Is een nieuwe procedure wel noodzakelijk? Dan krijgt u bericht van de AP. U kunt dan een nieuwe procedure starten voor goedkeuring van uw gewijzigde BCR.
Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden