Binding corporate rules (BCR)
Internationale organisaties of multinationals kunnen interne bedrijfsvoorschriften opstellen voor het gegevensverkeer binnen de eigen organisatie. Die voorschriften heten ‘binding corporate rules’ (BCR). Op deze pagina leest u waar u rekening mee moet houden als u BCR wilt gaan gebruiken.
Op deze pagina
Wat is een BCR?
Binnen internationale organisaties of multinationals vindt doorgifte van persoonsgegevens plaats tussen verschillende vestigingen. Zijn er vestigingen buiten de Europese Economische Ruimte (EER)? Dan kunnen deze organisaties BCR opstellen. Hierin legt een organisatie vast welke waarborgen en regels er zijn om persoonsgegevens te beschermen bij doorgifte naar landen buiten de EER. Deze regels moeten juridisch bindend zijn. Alle partijen binnen het concern moeten zich hieraan houden.
De BCR moeten voldoen aan de Algemene verordening gegevensbescherming (AVG). Een van de Europese privacytoezichthouders moet eerst de BCR goedkeuren. In Nederland is dat de Autoriteit Persoonsgegevens (AP). Daarna moet de European Data Protection Board (EDPB) goedkeuring geven.
Leidraad voor opstellen BCR
De Europese privacytoezichthouders hebben een aantal leidraden (zogeheten WP-documenten) opgesteld over BCR. Met daarin onderscheid tussen informatie voor verwerkingsverantwoordelijken (controllers) en verwerkers (processors).
Informatie voor de controller BCR
Voor de controller BCR zijn de volgende documenten van belang:
- Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)
Let op: Dit document vervangt de eerdere WP256 en WP264. - WP74:
Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers - WP108:
Establishing a Model Checklist Application for Approval of Binding Corporate Rules - WP154:
Setting up a framework for the structure of Binding Corporate Rules - WP155:
Frequently Asked Questions (FAQs) related to Binding Corporate Rules - WP263: Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR
Informatie voor de processor BCR
Voor de processor BCR zijn de volgende documenten van belang:
- WP257:
Setting up a table with the elements and principles to be found in Processor Binding Corporate Rules - WP265: Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data
- WP204:
Explanatory Document on the Processor Binding Corporate Rules - WP108:
Establishing a Model Checklist Application for Approval of Binding Corporate Rules - WP154:
Setting up a framework for the structure of Binding Corporate Rules - WP155:
Frequently Asked Questions (FAQs) related to Binding Corporate Rules - WP263: Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR
Eisen aan uw BCR
De minimumvereisten aan BCR staan in:
- voor de controller BCR: Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)
- voor de processor BCR: Setting up a table with the elements and principles to be found in Processor Binding Corporate Rules.
U moet zelf nagaan of er in uw geval nog andere documenten van belang zijn. Deze neemt u ook op in uw BCR of in bijlagen.
BCR laten beoordelen
Heeft u een BCR opgesteld of een bestaande BCR gewijzigd? En wilt u die laten goedkeuren door de AP?
Voor de beoordeling van een nieuwe BCR heeft de AP informatie nodig om te beoordelen of de AP de leidende toezichthouder (Lead SA) is voor uw organisatie. Zo ja, dan neemt de AP uw aanvraag verder in behandeling.
Heeft u uw BCR gewijzigd? Stuur de nieuwe versie naar de AP, met een brief waarin u de wijzigingen en/of aanvullingen vermeldt met een uitleg.
Benodigde informatie bij nieuwe BCR
U moet de volgende informatie aanleveren:
- Een onderbouwing van uw verzoek om de AP als leidende toezichthouder aan te wijzen, gebaseerd op Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR.
- Een ingevuld aanvraagformulier conform Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) (controller) en/of Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data (processor).
- Informatie over de structuur van uw concern en contactgegevens conform artikel 47 lid 2 AVG.
- Een toelichting op uw aanvraag conform de Recommendations 1/2022 en/of Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data, waarin u onder meer bewijs heeft opgenomen van de bindende aard van uw BCR.
- Een kopie van de BCR.
- Een ingevulde tabel conform Recommendations 1/2022 / Setting up a table with the elements and principles to be found in Processor Binding Corporate Rules waarin u gedetailleerde referenties heeft opgenomen naar de BCR en eventuele aanvullende documenten. Hiermee geeft u aan waar de betreffende wettelijke eisen zijn opgenomen in de BCR.
Let op: u moet uw stukken in het Engels opstellen. De AP beoordeelt uw aanvraag en deelt deze vervolgens met collega’s in de EU. Soms moet u ook voor een Nederlandse vertaling zorgen op grond van de Algemene wet bestuursrecht.
Verzoek indienen beoordeling nieuwe BCR
Stuur uw aanvraag via post of e-mail naar de AP onder vermelding van ‘Binding corporate rules’:
Autoriteit Persoonsgegevens
Postbus 93374
2509 AJ DEN HAAG
E-mail: dutchinternationaltransfers@Verwijder-deze-text.autoriteitpersoonsgegevens.nl
Hoe snel de AP uw aanvraag in behandeling neemt, hangt van de specifieke BCR af. BCR zijn allemaal anders, waardoor er geen standaardtermijn is.
Is uw aanvraag niet compleet? Dan krijgt u de kans om die aan te vullen. Is uw aanvraag daarna nog niet compleet? Dan kan de AP besluiten uw aanvraag niet in behandeling te nemen.
Proces gewijzigde BCR
Na ontvangst van de door u gewijzigde BCR, beoordeelt de AP of er inhoudelijke veranderingen zijn in uw BCR. En of een nieuwe goedkeuringsprocedure noodzakelijk is.
- Is een nieuwe procedure niet noodzakelijk? Dan stuurt de AP de nieuwe versie van uw BCR naar de relevante Europese toezichthouders.
- Is een nieuwe procedure wel noodzakelijk? Dan krijgt u bericht van de AP. U kunt dan een nieuwe procedure starten voor goedkeuring van uw gewijzigde BCR.
Co-reviewers
Uw BCR worden mede beoordeeld door co-reviewers. Dit zijn toezichthouders van andere Europese landen. De leidende toezichthouder beslist welke co-reviewers benaderd worden. Wanneer u uw BCR indient, kunt u een voorkeur aangeven voor co-reviewers. Waar mogelijk zal de AP daarmee rekening houden.