Besluit van de Staatssecretaris van Veiligheid en Justitie van 16 januari 2017 houdende vaststelling van beleidsregels inzake de verlening van vergunningen op grond van artikel 77, tweede lid, van de Wet bescherming persoonsgegevens ten behoeve van de doorgifte van persoonsgegevens uit de Europese Unie naar derde landen krachtens bindende bedrijfsvoorschriften voor bewerkers (Beleidsregels vergunningverlening Processor BCR's)

De Staatssecretaris van Veiligheid en Justitie,

Gelet op artikel 77, tweede lid, van de Wet bescherming persoonsgegevens;

Besluit:

Artikel 1

In deze beleidsregels wordt verstaan onder:

a. wet:

Wet bescherming persoonsgegevens;

b. richtlijn:

richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281);

c. bindende bedrijfsvoorschriften:

beleid inzake de bescherming van persoonsgegevens dat een op het grondgebied van een lidstaat gevestigde bewerker voert met betrekking tot de doorgifte of categorieën van doorgiften van persoonsgegevens aan een andere bewerker in een of meer derde landen binnen een groep in de zin van artikel 2:24b van het Burgerlijk Wetboek of een groep van ondernemingen die gezamenlijk een economische activiteit uitoefent;

d. vergunning:

vergunning als bedoeld in artikel 77, tweede lid, van de wet;

e. bewerkersovereenkomst:

overeenkomst als bedoeld in artikel 14, tweede lid, van de wet;

f. bewerker, onderscheidenlijk, College:

hetgeen daaronder wordt verstaan in de wet;

g. Groep:

Groep, bedoeld in artikel 29 van de richtlijn.

Artikel 2

Aan een bewerker wordt op aanvraag een vergunning voor een doorgifte of een categorie doorgiften van persoonsgegevens in overeenstemming met bindende bedrijfsvoorschriften verleend.

Artikel 3

Aan een vergunning worden de volgende voorschriften verbonden:

  • a. de door de bewerker gesloten bewerkersovereenkomst bevat de voorwaarde dat doorgiften of categorieën van doorgiften uitsluitend plaatsvinden in overeenstemming met door de bewerker vastgestelde bindende bedrijfsvoorschriften ten aanzien waarvan de procedures tot wederzijdse goedkeuring en coördinatie, vastgesteld door de Groep, volledig zijn doorlopen, en

  • b. de door de bewerker gesloten bewerkersovereenkomst bevat de voorwaarde dat de bewerker zorgdraagt voor de gelding van de bindende bedrijfsvoorschriften voor de duur van de bewerkersovereenkomst.

Artikel 4

Een vergunning wordt slechts verleend indien het College een positief advies op de aanvraag heeft verleend.

Artikel 5

Een vergunning kan, gehoord het College, worden gewijzigd, opgeschort of ingetrokken indien de bewerker de voorschriften, bedoeld in artikel 3 niet naleeft.

Artikel 6

  • 1. Een aanvraag wordt gericht aan de Minister van Veiligheid en Justitie en ingezonden aan het College. Voor de aanvraag wordt gebruikgemaakt van het aanvraagformulier dat daartoe beschikbaar is op de website van het College.

  • 2. De aanvrager voegt bij het aanvraagformulier de nodige documentatie bij, waaronder in elk geval een begeleidende brief en de goedgekeurde bindende bedrijfsvoorschriften met de bijlagen die onderdeel zijn geweest van de procedures tot wederzijdse goedkeuring en coördinatie, vastgesteld door de Groep.

  • 3. Het College zendt de aanvraag vergezeld van zijn advies aan de Minister van Veiligheid en Justitie.

Artikel 7

Deze beleidsregels treden in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin zij worden geplaatst en vervallen met ingang van 25 mei 2018.

Artikel 8

Deze beleidsregels worden aangehaald als: Beleidsregels vergunningverlening Processor BCR's.

Deze beleidsregels zullen met de toelichting in de Staatscourant worden geplaatst.

De Staatssecretaris van Veiligheid en Justitie, K.H.D.M. Dijkhoff

TOELICHTING

Algemeen

Europeesrechtelijk en wettelijk kader

Ingevolge artikel 25, eerste lid, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281) (hierna: richtlijn) mogen persoonsgegevens slechts naar een derde land worden doorgegeven indien, onverminderd de naleving van de nationale wetgeving vastgesteld ter uitvoering van de richtlijn, dat land een passend niveau van gegevensbescherming waarborgt. Ingevolge artikel 25, tweede lid, van de richtlijn wordt het passend karakter van het door het derde land gewaarborgde beschermingsniveau beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie van gegevensdoorgiften van invloed zijn. In het bijzonder wordt daarbij rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.

Ingevolge artikel 26, tweede lid, van de richtlijn kan een lidstaat toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, tweede lid, biedt, indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten. Deze rechten kunnen met name voortvloeien uit passende contractuele bepalingen, aldus artikel 26, tweede lid, van de richtlijn.

De artikelen 25, eerste en tweede lid, en artikel 26, tweede lid, zijn geïmplementeerd in de Wet bescherming persoonsgegevens (hierna: Wbp). Ingevolge artikel 76, eerste lid, van de Wbp worden persoonsgegevens die aan een verwerking worden onderworpen of bestemd zijn om na hun doorgifte te worden verwerkt slechts naar een land buiten de Europese Unie doorgegeven indien onverminderd de naleving van de wet dat land een passend beschermingsniveau waarborgt. Artikel 76, derde lid, van de Wbp regelt de omstandigheden waarmee rekening moet worden gehouden en de voorwaarden waaronder wordt beoordeeld of het derde land een passend beschermingsniveau biedt. In de artikelen 76, tweede lid, en 77 van de Wbp is geregeld onder welke voorwaarden een doorgifte of een categorie doorgiften van persoonsgegevens in afwijking van de hoofdregel naar een derde land dat geen waarborgen biedt voor een passend beschermingsniveau kan plaatsvinden.

Vergunningverlening Minister van Veiligheid en Justitie

Ingevolge artikel 77, tweede lid, van de Wbp kan de Minister van Veiligheid en Justitie, gehoord de Autoriteit persoonsgegevens (hierna: Ap), een vergunning geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen biedt voor een passend beschermingsniveau. Aan de vergunning worden nadere voorschriften verbonden die nodig zijn om de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen, alsmede de uitoefening van de daarmee verband houdende rechten te waarborgen.

De Minister van Veiligheid en Justitie maakt regelmatig van de bevoegdheid gebruik. De praktijk is dat een belanghebbende, vrijwel steeds de verantwoordelijke, een aanvraag voor een vergunning inzendt aan de Ap. De Ap beoordeelt de vergunningaanvraag en geeft de Minister van Veiligheid en Justitie een advies met betrekking tot de aan de vergunning te verbinden voorschriften, bedoeld in artikel 77, tweede lid, van de Wbp. Daarbij houdt de Ap rekening met de omstandigheden en de voorwaarden, bedoeld in artikel 76, derde lid, van de Wbp. Waar nodig doet de Ap dat in nader contact met de aanvrager. In de praktijk wordt de vergunning uitsluitend verleend door de Minister van Veiligheid en Justitie indien de Ap daarover een positief advies heeft verleend. De voorgestelde voorschriften worden dan steeds aan de vergunning verbonden.

Binding Corporate Rules

Multinationale ondernemingen die vestigingen hebben in de Europese Unie (of de Europese Economische Ruimte) en in derde landen zien zich bij de doorgifte van persoonsgegevens uit de EU naar de desbetreffende vestigingen in die derde landen voortdurend voor de vraag geplaatst op welke grondslag de doorgifte moet plaatsvinden. Wanneer de onderneming in verschillende derde landen vestigingen heeft is het niet uitgesloten dat voor elke vestiging een andere grondslag moet worden gezocht. Om deze praktische problemen het hoofd te kunnen bieden heeft het bedrijfsleven een eigen oplossing ontwikkeld in de vorm van intern bindende bedrijfsvoorschriften, of binding corporate rules (hierna: BCR's). BCR's zijn interne voorschriften voor de verwerking van persoonsgegevens die in een onderneming of in een groep in de zin van artikel 2:24b van het Burgerlijk Wetboek op concernniveau worden vastgesteld. De binding aan de regels is gebaseerd op de statutaire bevoegdheidsregeling van het bestuur van de onderneming. De vaststelling van BCR's is geen voldoende voorwaarde voor de rechtmatige doorgifte van persoonsgegevens aan een derde land. Richtlijn en Wbp bevatten een gesloten stelsel van doorgiftegrondslagen. Dat stelsel bevat geen specifieke regeling met betrekking tot BCR's. Uit artikel 26, eerste lid, onder b, gelezen in samenhang met de laatste volzin het tweede lid, van de richtlijn kan worden afgeleid dat contractuele bepalingen daarvoor wel een grondslag kunnen bieden. Voor de doorgifte van werknemersgegevens zou een arbeidsovereenkomst die grondslag kunnen vormen. Dit zal echter niet voldoende zijn om alle benodigde doorgiften te kunnen afdekken. In veel lidstaten van de EU is echter op grond van artikel 26, tweede lid, van de richtlijn een regeling getroffen voor de verlening van toestemming van overheidswege om niet specifiek door de richtlijn geregelde doorgiften te kunnen rechtvaardigen. In de meeste lidstaten is die taak toebedeeld aan de toezichthouder. In Nederland heeft de wetgever die taak toebedeeld aan de Minister van Veiligheid en Justitie. Deze heeft de bevoegdheid tot het verlenen van vergunningen. Omdat veel multinationale ondernemingen vestigingen in meerdere lidstaten hebben, vergt de toepassing van BCR's als rechtsgrondslag voor de doorgifte van persoonsgegevens de verlening van toestemming in elk van de desbetreffende lidstaten. Op grond van artikel 28, zesde lid, van de richtlijn zijn de toezichthouders van de EU verplicht tot onderlinge samenwerking. Die samenwerking heeft geleid tot de vaststelling van een aantal Opinies van de Artikel 29 Werkgroep die zijn gewijd aan de minimaal noodzakelijke inhoud van BCR's en de procedure die leidt tot de afgifte van een toestemming. Het betreft:

  • Working Document: Transfers of personal data to third countries: applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers (WP 74) – 3 juni 2003

  • Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From ‘Binding Corporate Rules’ (WP 107) – 14 april 2005

  • Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules (WP 153) – 24 juni 2008

  • Working Document Setting up a framework for the structure of Binding Corporate Rules (WP 154) – 24 juni 2008

  • Working Document on Frequently Asked Questions (FAQ's) related to Binding Corporate Rules (WP 155 rev. 04) – 24 juni 2008, herzien op 8 april 2009

  • Working Document 02/2012 setting up a table with the elements and principles to be found in Processor Binding Corporate Rules (WP 195) – 6 juni 2012

  • Recommendation 1/2012 on the Standard Application form for Approval of Binding Corporate Rules for the Transfer of Personal Data for Processing Activities (WP 195a) – 17 september 2012

  • Explanatory Document on the Processor Binding Corporate Rules (WP 204 rev 01) – 19 april 2013, herzien op 22 mei 2015

  • Opinion 02/2014 on a referential for requirements for Binding Corporate Rules submitted to national Data Protection Authorities in the EU and Cross Border Privacy Rules submitted to APEC CBPR Accountability Agents (WP 212) – 27 februari 2014

Deze documenten zijn openbaar en te vinden op http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index en.htm. De website van de Ap (autoriteitpersoonsgegevens.nl) bevat nuttige links naar deze site.

Verantwoordelijke en bewerker

De regels van het Europese en nationale gegevensbeschermingsrecht richten zich vrijwel als vanzelfsprekend tot de verantwoordelijke. De verantwoordelijke is de natuurlijke of rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 1, onder d, van de Wbp). Die vanzelfsprekende gerichtheid op de verantwoordelijke is zodanig geweest dat de wetgever zich in veel gevallen niet expliciet tot de verantwoordelijke richt. Dat is met name het geval bij veel materiële normen van gegevensbeschermingsrecht, te vinden in de artikelen 6 tot en met 12, 16 tot en met 23, en 76 en 77 van de Wbp. De wetgever stelt in die gevallen veelal eisen aan de verwerking. Aangenomen mag worden dat alle verplichtingen die niet direct of indirect tot de bewerker zijn gericht (zoals de artikelen 14, derde en vierde lid, 49 en 50 van de Wbp) in elk geval steeds door de verantwoordelijke kunnen en ook moeten worden nageleefd. Dat sluit echter niet uit dat de desbetreffende normen ook kunnen worden nageleefd door bewerkers. Uit artikel 1, onder e, van de Wbp volgt immers dat de hoedanigheid van bewerker ook inhoudt dat deze persoonsgegevens verwerkt, al geschiedt dit dan onder gezag van een verantwoordelijke. Richtlijn en Wbp gaan nog altijd uit van het beeld dat de verantwoordelijke als enige doel en middelen van de verwerking van persoonsgegevens vaststelt, en dat de bewerker uitsluitend in opdracht van de verantwoordelijke handelt en op doeleinden en middelen van verwerking weinig of geen invloed uitoefent. Dat beeld is niet meer actueel. Bewerkers zijn tegenwoordig vaak zeer grote ICT-bedrijven die dienstverlening op verschillende niveaus aanbieden. Infrastructuur, platformen en software worden als dienst in plaats van product aangeboden. In datacentra worden massale hoeveelheden gegevens verwerkt, opgeslagen en doorgegeven bij wijze van dienstverlening. Daardoor verkrijgen bewerkers feitelijk een grote mate van zeggenschap over de middelen van verwerking. Daarnaast zijn ook verantwoordelijken feitelijk niet steeds gelijk. Schaalgrootte kan immers variëren. Als gevolg van ontwikkelingen in de ICT hoeft de grootte van een onderneming niet langer bepalend te zijn voor de vraag of er gegevensverkeer met derde landen plaatsvindt. Kleinere en middelgrote ondernemingen hebben die behoefte ook ontwikkeld. Kleinere en middelgrote ondernemingen hebben echter niet altijd de expertise om alle aspecten van de doorgiften van gegevens naar derde landen te overzien. Zij zullen in de praktijk moeten kunnen vertrouwen op de rechtmatige afwikkeling van de doorgiften door de bewerkers aan wie zij dit uitbesteden.

Processor BCR's

Het ontstaan van bewerkers (in de praktijk doorgaans aangeduid als processors) met zeer vele verantwoordelijken als klanten voor de diensten die zij binnen en buiten de EU aanbieden, leidt ertoe dat voor deze bewerkers ook de doorgifte van gegevens een dagelijkse werkzaamheid wordt. De noodzaak om voor die doorgiftepraktijk geschikte rechtsgrondslagen op te stellen is op Europees niveau erkend in de hierboven aangehaalde WP documenten 195, 195a en 204. WP documenten 195 en 204 bevatten uitgebreide praktijkrichtlijnen voor de inhoud van Processor BCR's. Daarbij worden ook de waarborgen voor betrokkenen nadrukkelijk uitgewerkt. De omstandigheid dat Processor BCR's op EU-niveau inmiddels zijn aanvaard, behoort ook consequenties voor de toepassing van de nationale wetgeving te hebben. De verlening van een vergunning blijft immers noodzakelijk omdat de BCR's zelf geen voldoende grondslag voor een doorgifte zijn. Tot dusverre zijn vergunningen voor BCR's alleen afgegeven aan verantwoordelijken die deze hebben vastgesteld. Aangezien artikel 77, tweede lid, van de Wbp niet uitdrukkelijk is gericht tot de verantwoordelijke is het de vraag of een vergunning ook kan worden afgegeven aan een bewerker. Die vraag wordt in deze beleidsregels bevestigend beantwoord. Gegeven het feit dat de wet verlening van een vergunning aan een bewerker niet alleen niet uitsluit, maar met een redelijk uitleg van de begrippen ‘bewerker’ en ‘verwerken’ ook insluit, en gegeven het feit dat op EU-niveau de constructie van de Processor BCR is aanvaard, kan de vergunningverlening aan bewerkers voor de doorgifte krachtens Processor BCR's ook in het nationale recht worden aanvaard.

Vaststelling beleidsregels

Vanwege het grote belang van de praktijk bij rechtszekerheid met betrekking tot de mogelijkheid een vergunning te verlenen aan bewerkers en de voorwaarden waaronder deze vergunningen moeten worden verleend, wordt voorzien in de vaststelling van beleidsregels. Hoewel deze beleidsregels specifiek zijn gericht tot bewerkers, is daarmee niet beoogd om de verlening van vergunningen aan verantwoordelijken zoals thans geregeld in artikel 77, tweede lid, van de Wbp te beëindigen of te wijzigen. Wel is het zo dat indien verlening van een vergunning aan een bewerker heeft plaatsgevonden vergunningverlening aan een verantwoordelijke met wie de bewerker een bewerkersovereenkomst heeft die wordt bestreken door de goedgekeurde BCR's zelf geen vergunning meer hoeft aan te vragen. Deze beleidsregels beogen ook een bijdrage te leveren aan reductie van de lastendruk van het bedrijfsleven.

Vergunningvoorschriften

Verlening van een vergunning voor de doorgifte van persoonsgegevens door een bewerker krachtens Processor BCR's stelt bijzondere eisen aan de inhoud van de BCR's om te bewerkstelligen dat de BCR's bindend zijn voor de bewerkers, voor eventuele derden aan wie de gegevens worden doorgegeven en in de relatie tussen verantwoordelijke en bewerker. Dat laatste is van bijzondere betekenis. De verantwoordelijke blijft bij uitsluiting het aanspreekpunt voor betrokkenen die hun rechten willen uitoefenen. Daarnaast moet verzekerd zijn dat de toezichthouder voldoende inzicht heeft in de doorgiften om waar nodig te kunnen interveniëren.

Op grond van artikel 14, tweede lid, van de Wbp moet de verantwoordelijke met de bewerker een bewerkersovereenkomst sluiten. Wanneer beoogd wordt de bewerker ook doorgiften naar derde landen op te dragen, en deze doorgifte wordt gebaseerd op Processor BCR's, behoort in de bewerkersovereenkomst geregeld te zijn dat dit alleen kan met inachtneming van de voorwaarden die in de voor de bewerker vastgestelde BCR's zijn opgenomen..Onder vastgestelde BCR's wordt verstaan BCR's die de volledige procedure van wederzijdse goedkeuring en de volledige coördinatieprocedure hebben doorlopen, beschreven in WP 107.

De bewerkersovereenkomst moet verder uitdrukkelijk regelen dat gelding en toepassing van de BCR's voor de bewerker gedurende de gehele geldingsduur van de desbetreffende bewerkersovereenkomst blijft bestaan.

Naast deze vergunningvoorschriften moet de bewerker overigens voldoen aan alle procedurele en inhoudelijke eisen die zijn gesteld aan de Processor BCR die zijn opgenomen in de toepasselijke WP documenten. In deze documenten zijn belangrijke waarborgen opgenomen voor de betrokkenen. Gedacht moet worden aan de regeling van de transparantieverplichtingen, verplichtingen voor de bewerker om mee te werken met de verantwoordelijke in gevallen waarin een betrokkene zijn rechten op inzage, verbetering, afscherming en verzet wil uitoefenen en een verwijzing naar het intern en extern toezicht op de verwerking van persoonsgegevens.

Aanvraagprocedure

Uit artikel 4:1 van de Algemene wet bestuursrecht (Awb) vloeit voort dat een aanvraag schriftelijk wordt ingediend bij het bevoegde bestuursorgaan. Het is al geruime tijd om praktische redenen gebruikelijk dat de aanvraag feitelijk wordt ingediend bij de Ap. Immers, artikel 77, tweede lid, Wbp regelt dat de Ap een advies verleent over de aanvraag en voorstellen doet over de aan de vergunning te verbinden voorschriften en beperkingen. Aangezien de huidige praktijk van vergunningverlening zodanig is dat een vergunning uitsluitend verleend wordt indien de Ap een positief advies geeft, en er geen aanleiding is daarin verandering te brengen, wordt deze procedure ook in deze beleidsregels geregeld. Voor de aanvraag moet gebruik worden gemaakt van het door de Ap op de website beschikbaar gestelde formulier, het ‘Aanvraagformulier voor een vergunning zoals omschreven in artikel 77.2 Wbp (verplicht te gebruiken)’. Het betreft een formulier dat in een Nederlandse en in een Engelse versie beschikbaar is. Het is verder noodzakelijk voor deze specifieke categorie vergunningen enkele aanvullende eisen te stellen aan de mee te zenden stukken. De Ap zal vooraf moeten kunnen beoordelen of de aanvrager voldoet aan de eisen voor vergunningverlening en dat deze in staat zal zijn de op te leggen voorschriften na te leven. Omdat de Ap en de andere in aanmerking komende toezichthouders uit de Europese Unie voorafgaand aan de vergunningaanvraag de BCR's reeds hebben bezien en er in deze beleidsregels reeds standaardvoorschriften zijn vastgesteld, zal de Ap naar verwachting doelmatig kunnen adviseren. De eigenlijke vergunningverlening vindt plaats door de Dienst Justis van het Ministerie van Veiligheid en Justitie.

Wijziging, opschorting of intrekking van de vergunning

Hoewel artikel 77, tweede lid, van de Wbp geen regeling bevat over de wijziging, de opschorting en de intrekking van vergunningen, is de aard van de vergunning zodanig dat wijziging, opschorting of intrekking bestuursrechtelijk niet uitgesloten is. Immers, de vergunning wordt in de regel mede verleend voor categorieën van doorgiften. Dat vooronderstelt een zekere continuïteit. Wijziging van de vergunning, in de vorm van het toevoegen van voorschriften of beperkingen kan aan de orde zijn in gevallen waarin de vergunninghouder de opgelegde voorschriften niet of onvoldoende naleeft. Leidt dit niet tot verbetering van de naleving, dan kan opschorting of intrekking van de vergunning worden overwogen. Toepassing van die bevoegdheid zou ook in ernstige gevallen van niet-naleving aan de orde kunnen komen. Aangezien de Minister van Veiligheid en Justitie niet over specifieke bevoegdheden beschikt ten behoeve van het toezicht op de naleving, ligt hier een belangrijke informerende en adviserende taak voor de Ap die wel over deze bevoegdheden beschikt. Nu de wet bovendien voorschrijft dat een vergunning slechts wordt verleend nadat de Ap daarover advies heeft verleend, ligt het ook overigens voor de hand te regelen dat wijziging, opschorting of intrekking van de vergunning niet plaatsvindt dan nadat de Ap daarover een advies heeft uitgebracht.

Afwijkingsbevoegdheid

Ingevolge artikel 4:84 van de Awb handelt de Minister van Veiligheid en Justitie overeenkomstig deze beleidsregel, tenzij dat voor een of meer belanghebbenden gevolgen zou hebben die wegens bijzondere omstandigheden onevenredig zijn in verhouding tot de met de beleidsregel te dienen doelen.

Gelding beleidsregels

In artikel 47 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (Algemene verordening gegevensbescherming) (PbEU L 119) (hierna: verordening) is een geharmoniseerde regeling getroffen met betrekking tot BCR's. BCR's kunnen krachtens deze bepaling zowel voor verantwoordelijken als voor bewerkers worden vastgesteld. De verordening treft een eigen regeling over de procedure van vaststelling. De gelding van de verordening vangt aan op 25 mei 2018. Dat brengt met zich dat met ingang van die datum de rechtsgrondslag voor het verlenen van vergunningen vervalt. Deze beleidsregels moeten daarom met ingang van die datum vervallen. Verleende vergunningen blijven krachtens artikel 46, tweede lid, van de verordening overigens geldig. Er wordt rekening gehouden met 15 tot 20 aanvragen voor vergunningen gedurende de periode van geldigheid van deze beleidsregels.

Procedurele aspecten

Het ontwerp voor deze beleidsregels is bij brief van 10 november 2016, 2012822,van de Staatssecretaris van Veiligheid en Justitie voor advies voorgelegd aan de Autoriteit persoonsgegevens.

Bij brief van 14 december 2016, Z2016-15740, heeft de Ap aangegeven dat het ontwerp geen aanleiding geeft tot het maken van inhoudelijke opmerkingen.

Het ontwerp voor deze beleidsregels is bij brieven van 10 november 2016, 2012843 en 2012842, van de Staatssecretaris van Veiligheid en Justitie aangeboden voor commentaar aan, respectievelijk, VNO/NCW en Nederland ICT.

VNO/NCW heeft bij bericht van 15 december 2016 laten weten geen opmerkingen te hebben op het ontwerp.

Nederland ICT heeft bij brief van 14 december 2016 aandacht gevraagd voor twee punten. Het eerste punt betreft de vraag of de verantwoordelijke nog verplicht is een vergunning aan te vragen indien aan de door hem gecontracteerde bewerker overeenkomstig deze beleidsregels een verguning is verleend. Het tweede punt betreft een vraag naar de intensiteit van de toetsing van de vergunningaanvraag door de Ap.

Deze vraagpunten geven aanleiding tot de volgende reacties. Indien aan een bewerker overeenkomstig deze beleidsregels een vergunning is verleend, is er geen noodzaak meer voor een verantwoordelijke die met de desbetreffende bewerker een bewerkingsovereeenkomst heeft gesloten die onder het bereik van de BCR's valt, zelf ook nog een vergunning aan te vragen. Het doel van deze beleidsregels is nu juist de verantwoordelijke deze last te besparen. De toelichting is terzake verduidelijkt. De Ap is ingevolge artikel 52, tweede lid, van de Wbp een onafhankelijk orgaan. Dat brengt met zich dat de Ap de haar ingevolge artikel 77, tweede lid, van de Wbp opgedragen taak om advies aan het vergunningverlenend gezag te verlenen ook in onafhankelijkeid uitoefent. In deze beleidsregels kunnen daarom geen regels over de intensiteit van de toetsing worden gegeven. Wel is zo dat de wetgever met het verplicht horen van de Ap voorafgaande aan een vergunningaanvraag specifiek heeft willen regelen dat het vegunningverlenend gezag een deskundig advies ontvangt over de aan de vergunning te verbinden voorschriften en beperkingen. Daaraan kan niet voorbij worden gegaan. Gelet op de taak die Ap verricht met de vaststelling van BCR's en hetgeen overigens in de beleidsregels is opgenomen met betrekking tot de vergunningvoorwaarden en het verleningsproces mag erop worden vertrouwd dat de Ap op doelmatige wijze haar taken zal uitoefenen. De toelichting is terzake enigszins bijgesteld.

Naast het advies van de Ap en de hierboven vermelde consultaties is nog een informele reactie ontvangen van Kennedy Van der Laan advocaten. Deze reactie bevat naast dezelfde aandachtspunten die door Nederland ICT naar voren zijn gebracht nog twee vragen over de verhouding tussen de bewerkersovereenkomst en de vergunning.

De eerste vraag betreft of de bewerkersovereenkomst moet worden ingediend bij de aanvraag en, indien dit zo is, of daaruit het rechtsgevolg voortvloeit dat de bewerker alleen met instemming van het vergunningverlenend gezag mag wijzigen. De regeling met betrekking tot de aanvraagprocedure bevat niet de verplichting de bewerkersovereenkomsten over te leggen. Noch uit artikel 77, tweede lid, van de Wbp, noch uit enige bepaling in de Wbp kan overigens het bestaan van een bevoegdheid van de Ap of de Minister van Veiligheid en Justitie tot goedkeuring of instemming met enige bewerkersovereenkomst worden afgeleid. Daaruit volgt dat ook deze beleidsregels dergelijke regels niet kunnen bevatten.

De tweede vraag betreft of het de bewerker nadat hem een vergunning is verleend vrijstaat om doorgiften naar derde te baseren op een andere grondslag dan de vergunning, zoals de goedgekeurde modelcontractsbepalingen, bedoeld in artikel 77, eerste lid, onder g, van de Wbp. Men denkt dat dit kan voorkomen in gevallen waarin de verantwoordelijke en de bewerker een door de verantwoordelijke zelf opgestelde standaardovereenkomst die dergelijke contractsbepalingen bevat. Hieraan wordt de vraag verbonden of dit gebruik leidt tot schending van de vergunningvoorschriften. Uit artikel 76 van de Wbp vloeit voort dat het de verantwoordelijke is die de eerste zorg heeft voor de rechtmatigheid van een voorgenomen doorgifte. Daar hoort bij dat hij, afhankelijk van de omstandigheden van het concrete geval len rekening houdend met richtlijn en Wbp, de keuze moet maken voor de rechtsgrondslag voor de doorgifte. Uit het systeem van richtlijn en Wbp volgt dat een doorgifte krachtens goedgekeurde modelcontractsbepalingen eerder in aanmerking komt als rechtsgrondslag voor een doorgifte dan een vergunning. Modelcontractsbepalingen hebben een EU-brede gelding en worden vastgesteld na het doorlopen van een zorgvuldige en expliciet geregelde procedure. Een vergunning is in beginsel de laatst beschikbare oplossing voor een doorgifte. Het is die keuze die verantwoordelijke en bewerker voor ogen moeten houden. Of een beslissing van een verantwoordelijke en een bewerker om in een concreet geval de voorkeur te geven aan een bepaalde doorgifte zal leiden tot schending van de voorschriften kan niet op voorhand worden gezegd. De feitelijke situatie is daarvoor mede beslissend.

Ingevolge artikel 26, derde lid, van de richtlijn en artikel 78, eerste lid, onder a, van de Wbp worden deze beleidsregels na bekendmaking in de Staatscourant ter kennisname aan de Europese Commissie aangeboden.

Artikelsgewijs

Artikel 1

De begrippen in deze beleidsregels zijn dezelfde als in de Wbp. Hetgeen in die wet wordt verstaan onder ‘persoonsgegeven’, ‘verwerking’, ‘verantwoordelijke’, ‘bewerker’, ‘betrokkene’ en ‘College’ heeft in deze beleidsregels dezelfde betekenis. Omdat in de artikelen van deze beleidsregels enkele van deze begrippen worden gebruikt voorziet artikel 1 in een expliciete verwijzing. De niet in de Wbp gedefinieerde, maar wel veelvuldig gebruikte term ‘doorgifte’ heeft hier dezelfde betekenis als in die wet, te weten het naar een derde land overbrengen van persoonsgegevens. In deze beleidsregels gedefinieerde begrippen als ‘wet’, ‘richtlijn’ en ‘vergunning’ spreken voor zichzelf. De begripsbepaling ‘bindend bedrijfsvoorschrift’ is ontleend aan artikel 4, onder 20, van de verordening, zij het met enkele kleine afwijkingen die noodzakelijk zijn om aansluiting bij de begrippen van de Wbp te waarborgen. Met de begripsbepaling ‘bewerkersovereenkomst’ wordt buiten twijfel gesteld dat de desbetreffende overeenkomsten niet alleen aan de in deze beleidsregels gestelde eisen moeten voldoen, maar dat de eisen van artikel 14 van de Wbp onverkort gelden.

Artikelen 2 en 3

Een vergunning wordt, daargelaten de mogelijke toepassing van artikel 4:84 Awb, steeds verleend, echter, onder oplegging van de in artikel 3 geregelde voorschriften.

Artikel 4

Ingevolge artikel 77, tweede lid, van de Wbp wordt de Ap gehoord voordat een beslissing op de aanvraag wordt genomen. Als algemene voorwaarde voor de verlening van vergunningen op grond van deze beleidsregels geldt dat de Ap daarover een positief advies aan de Minister van Veiligheid en Justitie heeft verleend. De Ap zal naar verwachting slechts positief kunnen adviseren indien de BCR aan alle inhoudelijk daaraan te stelen voorwaarden voldoet, en de procedures van wederzijdse goedkeuring en coördinatie volledig zijn doorlopen. De Ap adviseert overigens in volstrekte onafhankelijkheid, conform artikel 28, eerste lid, van de richtlijn. Dit beleid wordt al lange tijd gevolgd bij de beslissingen op vergunningaanvragen en wordt in deze beleidsregels voortgezet.

Artikelen 5, 6 en 7

Deze artikelen zijn reeds toegelicht in het algemeen gedeelte.

Artikel 8

Uit oogpunt van herkenbaarheid voor de praktijk wordt gekozen voor het gebruik van enige Engelstalige termen in de citeertitel.

De Staatssecretaris van Veiligheid en Justitie, K.H.D.M. Dijkhoff

Naar boven