Home / Publicaties / Nieuwe regeling stelt ICT-leverancier in staat om...

Nieuwe regeling stelt ICT-leverancier in staat om internationaal dataverkeer aan te bieden die privacy compliant is

15/01/2013

Per 1 januari 2013 is de mogelijkheid om Binding Corporate Rules (BCRs) in te zetten voor het verwerken van persoonsgegevens in landen buiten de Europese Economische Ruimte (EER) uitgebreid tot “bewerkers” van gegevens. Deze stap betekent een enorme kans voor dienstverleners in de ICT en outsourcing, en biedt belangrijke voordelen voor de bedrijven en instellingen die van deze partijen gebruik maken. Bedrijven die een internationale leverancier inschakelen voor de verwerking van hun gegevens kunnen in de toekomst een beroep doen op de BCRs van hun ICT-leverancier. Dit betekent dat ICT-leveranciers met goedgekeurde BCRs een concurrentievoorsprong kunnen nemen door hun klanten echt te ‘ontzorgen’ en de verantwoordelijkheid voor ‘privacy compliance’ op zich te nemen. Verwacht wordt dat deze methode om aan de privacy regels te voldoen een grote vlucht zal gaan nemen, nu de investeringen in BCRs nu door een grotere groep ondernemingen kan worden terugverdiend.

Talloze bedrijven laten hun gegevens opslaan en verwerken door derden (denk aan bedrijfsnetwerken, salarisadministratie, internationale datacenters, cloud services etc.). Dat levert ernstige complianceproblemen op, omdat dit er vaak toe leidt dat gegevens fysiek worden opgeslagen op servers die zich buiten Europa bevinden. De servers staan vaak opgesteld bij buitenlandse zuster- of dochtermaatschappijen die hun werkzaamheden uitvoeren als onderaannemer van de leverancier.

Onder de huidige wetgeving is dat alleen toegestaan als de verantwoordelijke (= de klant) met al die buitenlandse onderaannemers een speciaal contract afsluit over de doorgifte van persoonsgegevens. Omdat zowel aan de klantzijde als aan de leverancierszijde vele tientallen vennootschappen toegang tot de gegevens kunnen hebben, leidt dit vereiste in de praktijk tot een kluwen van soms wel honderden doorgiftecontracten.

Hiervoor komt nu een alternatief: wanneer de internationale gegevensuitwisseling door een bewerker wordt verzorgd die goedgekeurde BCRs heeft, kunnen zij daarmee een oplossing aanbieden die privacy compliant is. Dat wil zeggen dat het bedrijf dat of de instelling die gebruik maakt van deze diensten mag “meeliften” op de bescherming die de BCRs bieden en daarmee kan aantonen dat hij aan de Wbp voldoet (voor wat betreft de gegevensverwerking door de leverancier).

BCRs zorgen ervoor dat de ondernemingen binnen een concern gebonden zijn aan een aantal bindende regels over de bescherming en beveiliging van persoonsgegevens, zoals bedoeld in artikel 77 van de Wbp. BCRs beschrijven in detail het concernbeleid ten aanzien van gegevensbescherming en verplichtingen over audits en opleidingen.

BCRs moeten worden goedgekeurd door de Europese privacy toezichthouders. Om goedkeuring te krijgen moeten de BCRs worden voorgelegd aan de “lead DPA”. Dat is één van de toezichthouders die het voortouw neemt in de goedkeuringsprocedure. Meestal is dat de toezichthouder in het land waarin de aanvrager zijn Europese hoofdkantoor heeft. De aanvrager moet dan aantonen dat hun BCRs voldoende regels en handhavingsinstrumenten bevatten om de bescherming van persoonsgegevens in de hele groep te waarborgen. Na goedkeuring door de lead DPA kunnen de BRCs op basis van een wederzijdse erkenningsafspraak automatisch goedgekeurd worden door collega-toezichthouders in de rest van Europa. Op dit moment doen 21 landen mee aan dit systeem van wederzijdse erkenning.

Tot op heden hebben slechts 29 bedrijven (waaronder Shell, American Express, GE en eBay) goedgekeurde BCRs. Deze gelden uitsluitend voor de verwerking van de eigen gegevens, dat wil zeggen persoonsgegevens ten aanzien waarvan de onderneming de “verantwoordelijke” is in de zin van de wet.

Nu BCRs ook kunnen worden ingezet voor een privacy compliant verwerking van gegevens van klanten, wordt dit instrument waarschijnlijk ook aantrekkelijk voor internationale ICT-dienstverleners. De “verwerkers BCRs” zijn het enige instrument om aan de privacy wetgeving te voldoen zonder dat de klant met ieder bedrijfsonderdeel van zijn ICT leverancier individuele contracten hoeft te sluiten over de doorgifte van persoonsgegevens. Door een contract aan te gaan met een bewerker die goedgekeurde BCRs heeft, kan de verantwoordelijke aan de vereiste normen voldoen zonder de extra financiële en administratieve lasten te hoeven dragen van vergunningen, doorgiftecontracten met alle buitenlandse sub-bewerkers of het opleggen van geografische beperkingen.

Nadelen aan BCRs blijven uiteraard ook bestaan. Die schuilen vooral in de kosten en doorlooptijd. Bovendien verlangen sommige toezichthouders toch nog dat ‘bovenop’ de BCRs vergunningen worden aangevraagd. In Nederland vindt goedkeuring van de BCRs en het verlenen van een vergunning voor doorgifte gelijktijdig plaats; de vergunning (die kosteloos kan worden aangevraagd) is blijkens de wetsgeschiedenis de wettelijke grondslag voor goedkeuring.[1] (http://cmutr02-srv/CMatterS/bin/ibp.jsp?ibpZone=PUB_PUBLICATIES&ibpDisplay=add&ibpPage=FocusPage&ibpDispWhat=object&#_ftn1)

Het is te verwachten dat een groeiende groep ondernemingen deze investering zal gaan nemen. Door te kunnen ‘wapperen’ met goedgekeurde Binding Corporate Rules kan een dienstverlener namelijk op een overtuigende manier aan de markt communiceren dat zijn organisatie voldoet aan de geldende normen voor het veilig hanteren van gegevens. Voor de voorhoedespelers zal het zelfs een unique selling point kunnen worden, waarmee zij een voorsprong kunnen nemen op de concurrentie.

------------------------------------------------------------

[1] (http://cmutr02-srv/CMatterS/bin/ibp.jsp?ibpZone=PUB_PUBLICATIES&ibpDisplay=add&ibpPage=FocusPage&ibpDispWhat=object&#_ftnref)   Staatsblad 2012, nr. 90, p. 22