Vergroot contrast

Binding corporate rules

Binnen internationale organisaties of multinationals vindt doorgifte van persoonsgegevens plaats tussen de verschillende vestigingen. Zijn er vestigingen buiten de Europese Unie (EU)? Dan kunnen deze organisaties interne gedragscodes opstellen voor het gegevensverkeer binnen de eigen organisatie. Dit worden binding corporate rules (BCR) genoemd.

In de BCR legt een organisatie de waarborgen vast voor de bescherming van persoonsgegevens bij doorgifte naar landen zonder passend beschermingsniveau. BCR moeten in overeenstemming zijn met de Europese privacyrichtlijn. De Europese privacytoezichthouders moeten de BCR goedkeuren.

Meer informatie over binding corporate rules is te vinden op de website van de Europese Commissie.

Nieuws

Alle nieuwsberichten over het onderwerp 'Binding corporate rules'

Alle antwoorden op mijn vragenVragen over binding corporate rules (BCR)

  • Waar kan ik informatie vinden over BCR’s?

    De Artikel 29-werkgroep van Europese privacytoezichthouders heeft een aantal leidraden (WP-documenten) opgesteld over BCR’s.

    Informatie voor de Controller BCR

    Voor de Controller BCR zijn de volgende documenten van belang:

    Informatie voor de Processor BCR

    Voor de Processor BCR zijn de volgende documenten van belang:

  • Welke eisen worden aan een BCR gesteld?

    De minimumvereisten aan een BCR staan in WP153 (voor de Controller BCR) en WP195 (voor de Processor BCR).

    Neem daarnaast alle informatie die u van belang acht op in uw BCR of in bijlagen.

  • Hoe lang duurt het voordat een BCR is goedgekeurd?

    Dat hangt van de specifieke BCR af. Elke BCR is anders, waardoor er geen standaardtermijn te geven is.

    De Autoriteit Persoonsgegevens streeft ernaar een BCR binnen een jaar goed te keuren. Dit is gerekend vanaf de datum dat een BCR volledig bij de Autoriteit Persoonsgegevens is ingediend.

  • Wat houdt de mutual recognition-procedure in?

    Een aantal data protection authority’s (DPA’s) heeft een procedure afgesproken voor mutual recognition (wederzijdse erkenning). Dit houdt in dat de DPA’s elkaars beoordelingen van BCR’s accepteren. Dit maakt de procedure voor goedkeuring van BCR’s sneller.

    Mutual recognition-procedure

    De procedure voor mutual recognition verloopt als volgt:

    • Een organisatie dient een BCR in bij een DPA, die de BCR in behandeling neemt. Deze DPA wordt de ‘lead DPA’ genoemd.
    • De lead DPA vraagt twee andere DPA’s de BCR te beoordelen en hun commentaar daarop toe te sturen.
    • Zijn de lead DPA en de twee andere DPA’s (ook wel ‘co-reviewers’ genoemd) akkoord met de BCR? Dan stuurt de lead DPA de BCR ter informatie naar de overige relevante DPA’s.
  • Welke DPA’s hebben zich aangesloten bij de mutual recognition-procedure?

    Zie de website van de Europese Commissie voor een actuele lijst van landen waarvan de data protection authority (DPA) zich heeft aangesloten bij de mutual recognition-procedure.

  • Wie beslist welke co-reviewers benaderd worden?

    De lead DPA beslist welke co-reviewers benaderd worden. Wanneer u uw BCR indient, kunt u een voorkeur uitspreken voor co-reviewers. Waar mogelijk zal de Autoriteit Persoonsgegevens rekening houden met uw voorkeur.

  • Wat houdt de coördinatieprocedure in?

    Is een DPA niet aangesloten bij de mutual recognition-procedure, dan beoordeelt deze DPA BCR's zelfstandig. Als daar aanvullende vragen en opmerkingen uit voortkomen, stemt de DPA die af met de lead DPA en de organisatie die de BCR heeft ingediend. Dit noemen we de coördinatieprocedure.

  • Wat houdt de nationale autorisatieprocedure in?

    Na de mutual recognition-procedure of de coördinatieprocedure volgt de nationale autorisatieprocedure. Die is in ieder land anders. Om deze procedure te starten, vraagt u de relevante DPA’s om u te informeren over de te volgen procedure. 

    In Nederland bestaat de nationale autorisatieprocedure uit het aanvragen van een vergunning voor doorgifte van persoonsgegevens. U moet deze vergunning aanvragen bij de Autoriteit Persoonsgegevens (AP).

    Vergunning aanvragen

    U vraagt een vergunning aan door de volgende drie documenten naar de AP te sturen:

    • het ingevulde aanvraagformulier in het Nederlands of Engels;
    • een brief waarin u een korte beschrijving geeft van uw organisatie en waarin u de BCR vermeldt op basis waarvan u de vergunning aanvraagt;
    • de BCR.

    Beoordeling aanvraag

    De AP beoordeelt uw aanvraag. Heeft de AP de aanvraag goedgekeurd, dan stuurt de AP deze met een positief advies door naar het ministerie van Veiligheid en Justitie.

    Het ministerie van Veiligheid en Justitie besluit vervolgens of u de vergunning krijgt. Zo ja, dan krijgt u deze binnen 6 weken nadat het ministerie de aanvraag met het positieve advies van de AP heeft ontvangen.

  • Wat moet ik doen als de tenaamstelling op de vergunning niet klopt?

    Neem contact op met dienst Justis van het ministerie van Veiligheid en Justitie. U kunt aan dienst Justis vragen de tenaamstelling op de vergunning te wijzigen en een nieuwe vergunning af te geven.

  • Wat moet ik doen als ik mijn BCR heb geüpdatet?

    Stuur de nieuwe versie van de BCR naar de Autoriteit Persoonsgegevens (AP), met een brief waarin u de wijzigingen en/of aanvullingen vermeldt met een uitleg.

    De AP beoordeelt of er inhoudelijke veranderingen zijn in uw BCR en of een nieuwe goedkeuringsprocedure noodzakelijk is.

    • Is een nieuwe procedure niet noodzakelijk? Dan stuurt de AP de nieuwe versie van uw BCR naar de relevante DPA’s.
    • Is een nieuwe procedure wel noodzakelijk? Dan krijgt u bericht van de AP. U kunt dan een nieuwe procedure starten voor goedkeuring van uw gewijzigde BCR.
  • Heeft de invoering van het privacy shield consequenties voor BCR’s?

    Nee. Als u een goedgekeurde BCR heeft, kunt u die gewoon blijven gebruiken.

    Privacy shield

    Het EU-VS privacy shield is de opvolger van de Safe Harbour-overeenkomst.

    Het privacy shield houdt in dat u persoonsgegevens mag doorgeven naar een Amerikaanse organisatie die is aangesloten bij het privacy shield.

    U heeft daarvoor geen vergunning nodig gebaseerd op een (model)contract of een BCR. 

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden