Binding corporate rules (BCR)

Internationale organisaties of multinationals kunnen interne bedrijfsvoorschriften opstellen voor het gegevensverkeer binnen de eigen organisatie. Die voorschriften heten ‘binding corporate rules’ (BCR). Op deze pagina leest u waar u rekening mee moet houden als u BCR wilt gaan gebruiken.

Op deze pagina

Wat is een BCR?

Binnen internationale organisaties of multinationals vindt doorgifte van persoonsgegevens plaats tussen verschillende vestigingen. Zijn er vestigingen buiten de Europese Economische Ruimte (EER)? Dan kunnen deze organisaties BCR opstellen. Hierin legt een organisatie vast welke waarborgen en regels er zijn om persoonsgegevens te beschermen bij doorgifte naar landen buiten de EER. Deze regels moeten juridisch bindend zijn. Alle partijen binnen het concern moeten zich hieraan houden.

De BCR moeten voldoen aan de Algemene verordening gegevensbescherming (AVG). Een van de Europese privacytoezichthouders moet eerst de BCR goedkeuren. In Nederland is dat de Autoriteit Persoonsgegevens (AP). Daarna moet de European Data Protection Board (EDPB) goedkeuring geven.

Leidraad voor opstellen BCR

De Europese privacytoezichthouders hebben een aantal leidraden (zogeheten WP-documenten) opgesteld over BCR. Met daarin onderscheid tussen informatie voor verwerkingsverantwoordelijken (controllers) en verwerkers (processors).

Informatie voor de controller BCR

Voor de controller BCR zijn de volgende documenten van belang:

Informatie voor de processor BCR

Voor de processor BCR zijn de volgende documenten van belang:

Eisen aan uw BCR

De minimumvereisten aan BCR staan in:

U moet zelf nagaan of er in uw geval nog andere documenten van belang zijn. Deze neemt u ook op in uw BCR of in bijlagen.

BCR laten beoordelen

Heeft u een BCR opgesteld of een bestaande BCR gewijzigd? En wilt u die laten goedkeuren door de AP?

Voor de beoordeling van een nieuwe BCR heeft de AP informatie nodig om te beoordelen of de AP de leidende toezichthouder (Lead SA) is voor uw organisatie. Zo ja, dan neemt de AP uw aanvraag verder in behandeling.

Heeft u uw BCR gewijzigd? Stuur de nieuwe versie naar de AP, met een brief waarin u de wijzigingen en/of aanvullingen vermeldt met een uitleg.

Benodigde informatie bij nieuwe BCR

U moet de volgende informatie aanleveren:

Let op: u moet uw stukken in het Engels opstellen. De AP beoordeelt uw aanvraag en deelt deze vervolgens met collega’s in de EU. Soms moet u ook voor een Nederlandse vertaling zorgen op grond van de Algemene wet bestuursrecht.

Verzoek indienen beoordeling nieuwe BCR

Stuur uw aanvraag via post of e-mail naar de AP onder vermelding van ‘Binding corporate rules’:

Autoriteit Persoonsgegevens
Postbus 93374
2509 AJ  DEN HAAG

E-mail: dutchinternationaltransfers@autoriteitpersoonsgegevens.nl

Hoe snel de AP uw aanvraag in behandeling neemt, hangt van de specifieke BCR af. BCR zijn allemaal anders, waardoor er geen standaardtermijn is.

Is uw aanvraag niet compleet? Dan krijgt u de kans om die aan te vullen. Is uw aanvraag daarna nog niet compleet? Dan kan de AP besluiten uw aanvraag niet in behandeling te nemen.

Proces gewijzigde BCR

Na ontvangst van de door u gewijzigde BCR, beoordeelt de AP of er inhoudelijke veranderingen zijn in uw BCR. En of een nieuwe goedkeuringsprocedure noodzakelijk is.

  • Is een nieuwe procedure niet noodzakelijk? Dan stuurt de AP de nieuwe versie van uw BCR naar de relevante Europese toezichthouders.
  • Is een nieuwe procedure wel noodzakelijk? Dan krijgt u bericht van de AP. U kunt dan een nieuwe procedure starten voor goedkeuring van uw gewijzigde BCR.

Co-reviewers

Uw BCR worden mede beoordeeld door co-reviewers. Dit zijn toezichthouders van andere Europese landen. De leidende toezichthouder beslist welke co-reviewers benaderd worden. Wanneer u uw BCR indient, kunt u een voorkeur aangeven voor co-reviewers. Waar mogelijk zal de AP daarmee rekening houden.