Den Hollander heeft een nieuwe website. Mogelijk moet u uw wachtwoord opnieuw instellen. Lees meer...
Publicatie datum
14 juli 2020
UDH Publicatie nr.
-

To BCR or not to BCR? Een reflectie op het gebruik van Binding Corporate Rules

drs J.J. (Joris) Blaauw

De afgelopen jaren hebben organisaties veel tijd en
aandacht besteed aan het implementeren van
maatregelen om te voldoen aan de nieuwe privacywetgeving,
de Algemene Verordening Gegevensbescherming
(AVG).
Een deel van deze maatregelen is gericht op het
kunnen delen van persoonsgegevens tussen verschillende
onderdelen binnen de eigen organisatie. Voor
organisaties en bedrijven die uit meerdere entiteiten
bestaan, dienen in ieder geval de onderliggende
verantwoordelijkheden ten aanzien van de verwerking
van persoonsgegevens te worden vastgelegd.1 Internationaal
opererende organisaties dienen daarnaast in
bepaalde gevallen te zorgen voor een grondslag om
persoonsgegevens te kunnen delen met organisatieonderdelen
in landen zonder passend beschermingsniveau.
2
Ondanks dat hiervoor meerdere grondslagen mogelijk
zijn, heeft een groot aantal organisaties actief ingezet
op het opstellen en implementeren van Binding
Corporate Rules (BCR), interne gedragscodes voor het
gegevensverkeer binnen de eigen organisatie. Het
opstellen van een dergelijke code werd enkele jaren
geleden door veel internationale organisaties, mede
op basis van advies van privacy-experts, gekozen als de
manier om aan te tonen dat de organisatie voldoet
aan privacywetgeving.
De afgelopen weken werd echter duidelijk dat het
goedkeuringstraject van de BCR in Europees verband
een langdurig proces blijkt te zijn.3 Dat zorgt er bij
een aantal organisaties voor dat zij hun implementatie
niet kunnen afronden en op dit moment mogelijk
geen geldige grondslag hebben voor bepaalde
doorgiften van persoonsgegevens. Een goed moment
om te reflecteren op de BCR. Is dit inderdaad de
heilige graal waar een internationaal opererende
organisatie naar toe dient te werken? Er zijn immers
alternatieven waarmee persoonsgegevens kunnen
worden gedeeld met organisatieonderdelen in landen
zonder een passend beschermingsniveau.
In dit artikel wordt nader ingegaan op alternatieven
en wordt beschouwd welke factoren relevant zijn voor
internationaal opererende organisaties om al dan niet
te kiezen voor het opstellen van een BCR.

Verder lezen?

Om het volledige artikel te kunnen lezen heeft u een abonnement nodig. Als u al een abonnement heeft log dan in met uw Den Hollander gegevens om dit artikel te bekijken.

Welkom op onze vernieuwde website! Als u direct of via uw organisatie een abonnement afneemt op (één van) onze titels dan kunt u die voortaan al dan niet via een contentintegrator, op deze website raadplegen. Om toegang te krijgen, dient u éénmalig een persoonlijk gebruikersaccount aan te maken. Bij een volgend bezoek wordt u automatisch herkend en kunt u direct doorklikken naar het door u gewenste artikel of tijdschrift.

Mocht het onverhoopt niet lukken, neem dan contact op met onze Websupport via websupport@denhollander.info