Alweer bijna vijf jaar geleden (mei 2018) is de AVG in werking getreden. De ene na de andere verwerkersovereenkomst werd destijds overeengekomen. Ook voor het samenwerken met landen van buiten de EU werden de regels verscherpt. Er geldt namelijk dat er een passend beschermingsniveau moet zijn voor de doorgifte van persoonsgegevens. Dit betekent dat de Europese privacybescherming mee reist met de data. Een mogelijkheid om dit passende beschermingsniveau te bieden, zijn het opstellen van Binding corporate rules (BCR) (hierover later in dit blog meer).
Op 1 december 2022 hebben de Europese privacytoezichthouders, verenigd in de European Data Protection Board (EDPB), nieuwe aanbevelingen gepubliceerd die zien op het gebruik van binding corporate rules (BCR). De aanbevelingen bevatten een wijziging van de vereisten voor de aanvraag van BCR en een nieuw, standaard aanmeldformulier. De bedoeling is om met het standaard aanmeldformulier het aanmeldproces gelijk te trekken in alle lidstaten. Na publieke consultatie zal de EDPB de definitieve richtlijnen vaststellen.
Wat kunnen deze potentiële wijzigingen voor jou als MKB-ondernemer betekenen? Het is nogal juridische informatie die ik hieronder beschrijf maar aan het eind van dit blog kun je als ondernemer lezen wat dit voor jouw onderneming betekent.
In dit blog leg ik uit:
- Wat de BCR inhoudt
- Voor wie de aanbevelingen BCR gelden
- Wat de wijzigingen in het aanmeldformulier zijn
- Veranderingen in de vereisten voor aanvraag
- Wat dit betekent voor jouw onderneming
- Verdere ontwikkelingen van de AVG
Wat houdt BCR in?
BCR, ook wel bindende bedrijfsvoorschriften genoemd, zijn interne gedragscodes voor de doorgifte van persoonsgegevens binnen de eigen organisatie indien deze vestigingen heeft buiten de Europese Economische Ruimte (EER). Op die manier worden de privacyrechten van bij het concern betrokken personen beschermd volgens Europese maatstaven. Binnen de Europese Unie is het niveau van gegevensbescherming gelijk, omdat alle lidstaten zich moeten houden aan de Algemene verordening gegevensbescherming (AVG). Niet alle landen buiten de EER, zogenoemde derde landen, bieden een gelijkwaardig of beter beschermingsniveau. Indien een derde land geen passend beschermingsniveau biedt, is doorgifte van persoonsgegevens alleen toegestaan indien het is gebaseerd op een wettelijke bepaling uit de AVG.
Het is in vier gevallen mogelijk om persoonsgegevens door te geven aan een derde land:
1. Adequaatheidsbesluit
De Europese Commissie heeft een lijst opgesteld met landen die een gelijkwaardig beschermingsniveau bieden als de AVG. Hierbij hoeven dus geen aanvullende waarborgen getroffen te worden. Voorbeelden van deze landen zijn: Argentinië, Israël, Japan, het Verenigd Koninkrijk en Zwitserland.
2. Doorgifte op basis van passende waarborgen
Dat kan door middel van een modelcontract dat door de Europese Commissie is vastgesteld, of door een goedgekeurde gedragscode of een certificeringsmechanisme.
3. Doorgifte op basis van BCR
Het voordeel hiervan is dat dit geldt voor het hele concern, terwijl een modelcontract per derde land overeen moet worden gekomen. De BCR moet in overeenstemming zijn met de AVG. Nadat de Europese privacytoezichthouders en de EDPB goedkeuring hebben gegeven, zijn ze bindend voor alle ondernemingen in het concern.
4. Doorgifte op basis van één van de specifieke uitzonderingen van artikel 49 AVG
De belangrijkste hiervan zijn wanneer de betrokkene uitdrukkelijk met de doorgifte heeft ingestemd na te zijn ingelicht over de risico’s, en het geval waarin de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke.
Aanbevelingen alleen voor verwerkingsverantwoordelijken e BCR
De aanbevelingen van de EDPB gelden alleen voor verwerkingsverantwoordelijken die een BCR-aanvraag doen. Jouw onderneming is verwerkingsverantwoordelijke als deze bepaalt voor welk doel de persoonsgegevens worden verwerkt en daarmee dus feitelijke invloed kan uitoefenen. Uiteindelijk is doorslaggevend wie daadwerkelijk de beslissingen neemt. Daarnaast kan in de wet zijn bepaald dat jouw onderneming bepaalde persoonsgegevens mag of moet verwerken.
De wijzigingen in de aanbevelingen zien alleen op de zogenoemde BCR-C, oftewel de BCR die persoonsgegevensverwerking voor intern gebruik regelt. De wijzigingen zien niet op de BCR-P, de BCR die ziet op de gegevensverwerking ten behoeve van de klanten van de onderneming. In het vervolg zal ik over de BCR blijven spreken.
Wijzigingen in het aanmeldformulier
Eén van de belangrijkste wijzigingen die door de aanbevelingen wordt voorgesteld, is dat het bedrijf dat gegevens wil delen met een vestiging in een derde land moet beoordelen of de wetgeving van dat land het de vestiging niet verhinderd om te voldoen aan de BCR. Wetgeving van het derde land mag niet verder gaan dan wat nodig is in een democratische samenleving om belangrijke doelstellingen van algemeen belang te waarborgen. In het geval van een potentiële inbreuk op de mogelijkheid om aan de BCR-eisen te voldoen moet de gegevensverstrekker beoordelen of hij aanvullende maatregelen kan treffen om een dergelijke belemmering uit te sluiten en op die manier toch kan zorgen voor een gelijkwaardig beschermingsniveau. Als hij hiertoe niet in staat is, kunnen persoonsgegevens niet rechtmatig worden overgedragen aan een derde land onder de BCR.
Daarnaast moet de gegevensverstrekker de gegevensoverdracht beëindigen of uitstellen indien hij op de hoogte gesteld wordt van wijzigingen in het nationale recht van het derde land, die het door de EU-wetgeving vereiste niveau van gegevensbescherming ondermijnt.
Bovendien is er een nieuwe erkenning waarin de BCR-goedkeuring geen beoordeling omvat of elke verwerking in overeenstemming is met alle vereisten van de AVG en de BCR zoals van toepassing. Elk BCR-lid moet ervoor zorgen dat aan alle relevante vereisten wordt voldaan.
Wijzigingen in de vereisten voor aanvraag
Naast de wijzigingen in het aanmeldformulier bevatten de aanbevelingen ook wijzigingen met betrekking tot de vereisten voor aanvraag. De vereisten zijn terug te vinden onder de zogenoemde ‘Elements and principles to be found in BCR-C’. Ik zal de belangrijkste veranderingen hieronder kort bespreken.
Ten eerste moet de BCR een duidelijke toezegging bevatten dat BCR-leden de BCR alleen mogen gebruiken als hulpmiddel voor overdrachten wanneer zij hebben vastgesteld dat de wetten en praktijken in het derde land die van toepassing zijn op de verwerking van gegevens door het BCR-lid dat optreedt als gegevensimporteur, niet belemmeren dat het zijn verplichtingen van de BCR nakomt. Het verantwoordelijke BCR-lid moet op de hoogte worden gebracht van en betrokken worden bij elke beoordeling van overdracht en van eventuele aanvullende waarborgen die zijn ingesteld. Dit moet worden gedocumenteerd en op verzoek beschikbaar zijn bij de bevoegde toezichthoudende autoriteit. Indien aanvullende maatregelen niet helpen, moet de gegevensexporteur de betreffende doorgifte van persoonsgegevens opschorten of beëindigen als de BCR niet kan worden nageleefd.
Ten tweede moeten aanvullende waarborgen worden geboden wanneer de onderneming ervoor kiest om geen gecentraliseerd verantwoordelijkheids- en aansprakelijkheidsregime vast te stellen. Daarbij moet de aanvrager aantonen dat betrokkenen op transparante wijze worden geïnformeerd, worden geholpen bij het uitoefenen van hun rechten en op geen enkele manier worden benadeeld of onnodig geremd door het gebruik van een dergelijk alternatief mechanisme.
Wanneer de wijzigingen definitief zijn zullen wij deze nader bespreken in een ander blog, zodat voor jou duidelijk is aan welke eisen jouw onderneming precies moet voldoen.
Wat betekent dit voor jouw onderneming?
Indien jouw onderneming een of meerdere vestigingen heeft in een derde land en je wilt persoonsgegevens uitwisselen met deze vestigingen, dan zal je moeten nagaan of dit wel is toegestaan onder de AVG. Indien het derde land geen passend beschermingsniveau biedt, dan bestaat de mogelijkheid om BCR op te stellen zodat wel voldoende bescherming wordt gewaarborgd. Momenteel zijn de aanbevelingen van de EDPB nog niet definitief. Mochten de aanbevelingen zoals nu gesteld doorgaan, dan houdt dit een aantal veranderingen voor jouw onderneming in. Heeft jouw onderneming een vestiging in de Verenigde Staten? Let er dan op dat het EU-VS privacyschild in 2020 ongeldig is verklaard. Dat betekent dat er geen persoonsgegevens aan de Verenigde Staten doorgegeven kunnen worden op grond van het privacyschild.
Op dit moment is de EDPB bezig met het verwerken van de feedback die is gegeven op de aanbevelingen. Het is dus afwachten in hoeverre de aanbevelingen in de toekomst gewijzigd dan wel doorgevoerd zullen worden.
Advies is dan ook om de doorgifte van persoonsgegevens te beperken tot landen in de EER. Mochten er geen alternatieven zijn in de EER, laat je dan goed juridisch adviseren.
Verdere ontwikkelingen AVG
Naast de ontwikkelingen rondom de BCR hebben zich ook andere ontwikkelingen voorgedaan rondom de AVG. Zo is er momenteel een wetsvoorstel over het updaten van de Uitvoeringswet van de AVG. Dit wetsvoorstel beoogd onder meer om kinderen tussen de 12 en de 16 jaar meer rechten toe te kennen met betrekking tot de inzage-, correctie- en verwijderverzoeken van persoonsgegevens. Daarnaast worden accountants bevoegd om bijzondere persoonsgegevens te verwerken als dit noodzakelijk is voor de uitvoering van een wettelijk verplichte controle. Verder ligt er een concept klaar voor een opvolger van het Privacy Shield, waardoor gemakkelijker persoonsgegevens met de Verenigde Staten kunnen worden gedeeld. Ten slotte verdient de ePrivacy Verordening nog de aandacht. Deze moet de huidige Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie gaan vervangen. De ePrivacy Verordening richt zich specifiek op de bescherming van persoonsgegevens rond elektronische communicatie. Denk hierbij bijvoorbeeld aan het ophalen van gegevens door middel van het plaatsen van cookies en openbare WiFi-netwerken en online marketing. Het voorstel voor de verordening ligt op dit moment nog bij de Europese Raad.
Kortom, de ontwikkelingen rondom de AVG zijn nog in volle gang en we zullen de komende jaren dan ook waarschijnlijk veranderingen in wetgeving tegemoet zien.
Mocht je verder nog vragen hebben over de AVG, neem dan contact met ons op via 088 0034 300 of via de mail info@hooglander-advocaten.nl.
