“De huidige privacywetgeving is opgesteld in een tijd dat bedrijven slechts op incidentele basis privacygevoelige gegevens naar buiten de EU doorgaven, bijvoorbeeld als een werknemer naar het buitenland werd uitgezonden of bij verkoop van een bedrijfsonderdeel. Inmiddels vindt er een continue gegevensuitwisseling plaats tussen bedrijfsonderdelen, waardoor er voor multinationals een onwerkzame situatie is ontstaan”, stelt Lokke Moerel. De oplossing die Moerel voorstaat is inmiddels in Europa geaccepteerd en zal naar verwachting ook worden doorgevoerd in de op stapel zijnde aanpassing van de Europese Privacy Richtlijn. Door andere aanpassingen van de richtlijn zal deze oplossing op afzienbare termijn ook relevant worden voor nationaal opererende bedrijven.

De oplossing waar Moerel op doelt staat bekend onder de naam Binding Corporate Rules (BCR). En dat is ook de titel van het proefschrift waarop Moerel afgelopen maandag promoveerde aan Tilburg University. Dat proefschrift is de neerslag van haar jarenlange ervaring als partner ICT bij advocatenkantoor De Brauw Blackstone Westbroek, in welke hoedanigheid ze nauw betrokken is geweest bij het ontwikkelen van de nieuwe oplossing.

Moerel raakte bij de materie betrokken na een vraag van Philips dat op de vooravond stond voor alle groepsmaatschappijen wereldwijd één centraal SAP-systeem in te voeren. In dat kader vroeg Philips zich af of andere multinationals daar ook mee bezig waren en tegen dezelfde problemen opliepen waarmee Philips worstelde bij de inrichting van deze wereldwijde personeelsadministratie. Navraag leerde al snel dat ook andere grote Nederlandse multinationals een dergelijk project onderweg hadden en dezelfde issues tegenkwamen. Het grootste probleem was dat in het centrale SAP-systeem de gegevens van alle werknemers wereldwijd zouden worden verwerkt, waardoor de multinationals bij de implementatie met de privacywetten van even zovele landen rekening dienden te houden. “Het bleek dat er tussen de landen ontzettend veel verschillen bestonden in de privacyregels. Dat was zelfs het geval tussen de Europese landen, terwijl die regelgeving is gebaseerd op de Europese Privacy Richtlijn en wordt geacht te zijn gelijkgetrokken. Duitsland eist bijvoorbeeld dat in de personeelsadministratie het kerkgenootschap van werknemers wordt geregistreerd; dat is in Nederland strikt verboden.” De Brauw Blackstone Westbroek formeerde een werkgroep met Philips, Shell, AkzoNobel, Heineken en Sara Lee, waarmee ook overleg met SAP Nederland werd gevoerd hoe hiermee om te gaan. In een later stadium schoven ook nog vijf andere multinationals aan, waaronder DSM en Schlumberger.

Duizenden verschillen

Al met al inventariseerde de werkgroep duizenden grotere en kleinere verschillen in de wetten van de ongeveer zestig landen die privacyregels gesteld hebben. Simpelweg steeds kiezen voor het meest strikte voorschrift bleek geen soelaas te bieden, omdat sommige voorschriften tegenstrijdig waren. Sommige tegenstrijdigheden waren op te lossen door SAP in te regelen. Bijvoorbeeld door per land een eigen ‘view’ op de database in te stellen, waardoor bepaalde categorieën data in sommige landen wel en in andere niet zichtbaar werden. Maar er waren ook verschillen die het onmogelijk maakten om zelfs één Europabreed HR-systeem te implementeren. Een voorbeeld zijn de beveiligingsvoorschriften van Spanje en Italië. Die zijn zo specifiek dat die onmogelijk tegelijkertijd in één IT-systeem zijn te realiseren, stelde de werkgroep vast.

Omdat de multinationals ook buiten Europa actief zijn, kregen ze bovendien te maken met een administratief monster op het moment dat ze via het centrale SAP-systeem data uitwisselden met hun groepsmaatschappijen in landen buiten de EU, die in de ogen van de Europese privacytoezichthouders – bij ons het College bescherming Persoonsgegevens (CBP) – te weinig waarborgen voor de bescherming van privacy bieden. In dat geval kan men alleen toestemming voor de export van de gegevens krijgen als men een modelcontract sluit waarin de ontvanger van de data belooft de data adequaat te beschermen. Omdat een beetje multinational al gauw honderden groepsmaatschappijen heeft, vergt dit een woud aan contracten voordat data naar groepsmaatschappijen buiten de EU mogen worden doorgegeven.

Een column van Moerel over deze problematiek in Het Financieele Dagblad van 3 april 2003 leidde tot een verrassend vervolg. De werkgroep van multinationals kreeg een uitnodiging van toenmalig voorzitter Peter Hustinx van het CPB om te komen praten over een alternatief. Gesproken werd over de mogelijkheid dat multinationals in plaats van het sluiten van de model contracten, wereldwijd een privacycode invoeren om zo hun internationale doorgifte van persoonsgegevens te faciliteren.

De behoefte aan een alternatief voor de modelcontracten werd klaarblijkelijk ook op Europees niveau gevoeld. De Werkgroep 29, waarin vertegenwoordigers van de nationale en Europese toezichthouders ongevraagd niet-bindend advies aan de Europese Commissie kunnen uitbrengen over privacykwesties, pleitte in juni van dat jaar eveneens voor dit alternatief, waar het de naam Binding Corporate Rules (BCR) aan hechtte om tot uitdrukking te brengen dat de privacycode ook wel echt bindend moet zijn voor alle groepsmaatschappijen.

In de jaren die daarop volgden heeft de Werkgroep 29 een aantal richtlijnen voor BCR uitgevaardigd. Het overleg tussen de werkgroep van multinationals en het CBP heeft vervolgens een basis-BCR opgeleverd, waarmee het CBP kon instemmen. “Het is niet zo dat ieder bedrijf deze basiscode vervolgens slaafs moest invullen. De bedrijven hebben de vrijheid om deze basiscode op hun specifieke bedrijf aan te passen. Maar een bedrijf moet daarbij wel zorgen binnen de richtlijnen van de Werkgroep 29 te blijven”, zegt Moerel.

Tot de minimumeisen aan de invoering van het ‘BCR-regime’ behoren:

• Het ontwerpen en invoeren van een bedrijfsreglement (Privacy Policy ) waarin wordt bepaald welke gegevens het bedrijf voor welke doeleinden mag verwerken, welke functionarissen toegang tot de gegevens mogen hebben, hoelang gegevens mogen worden bewaard, hoe gegevens zullen worden beveiligd en welke rechten de werknemers zullen hebben wat betreft toegang tot hun gegevens en correctie daarvan.
• De medewerkers die gegevens verwerken zullen moeten worden getraind zodat ze de privacypolicy kunnen toepassen.
• Het bedrijf zal intern de naleving van de privacypolicy moeten auditen en geconstateerde fouten zullen moeten worden hersteld. 
• Er zal intern moeten worden gerapporteerd over de naleving van de privacycode aan de directie en – als die daarom vraagt – het CBP.
• Er moet een klachtenprocedure worden ingesteld waar werknemers over een schending van de regels kunnen klagen.

Moerel heeft in haar proefschrift een basis-BCR opgenomen die als blauwdruk kan dienen voor het opstellen van zo’n regeling.

Het is niet zo dat met het opstellen van een BCR aan de verplichtingen voldaan is. Zo’n regeling is pas geldig nadat alle privacytoezichthouders in Europa ermee ingestemd hebben. Daarvoor hoeft men niet bij alle toezichthouders te biecht. In Europees verband is afgesproken dat het fiat van drie toezichthouders volstaat: de toezichthouder in het land van vestiging van de hoofdzetel van de multinational, en twee andere toezichthouders die als coreferent optreden. Als die de BCR goedkeuren, geldt dit als goedkeuring in 19 van de 27 Europese lidstaten. Deze 19 lidstaten hebben afgesproken dat ze elkaars goedkeuringen erkennen (de Mutual Recognition Procedure). De toezichthouder van de hoofdzetel coördineert overigens de goedkeuringen van de toezichthouders van de landen die zich niet bij de Mutual Recognition Procedure hebben aangesloten. Dit hoeft de multinational dus niet zelf te doen.

De mogelijkheid om de complicaties van verschillen in privacywetgeving af te vangen met een eigen privacycode per bedrijf is nu binnen Europa sinds ruim twee jaar mogelijk. Ook elders vindt het idee weerklank. De leden van de Europese Vrijhandelsassociatie en van de Asia-Pacific Economic Cooperation kennen een vergelijkbaar concept van Binding Corporate Rules als basis voor de doorgifte van persoonsgegevens. En er is alle reden om te veronderstellen dat dat ook geldt voor landen als Canada en Australië en Japan, die met BCR vergelijkbare voorschriften hebben geformuleerd. In de Verenigde Staten – die veel minder eisen stellen aan de bescherming van de privacy – wordt de ontwikkeling zelfs toegejuicht. De Verenigde Staten hebben altijd moeite gehad met de reikwijdte van de Europese privacywetgeving. Het neerleggen van de verantwoordelijkheid bij de betreffende organisaties zelf past veel beter bij het Amerikaanse denken dan oplossing van het probleem met een wettelijk kader.

Europese wetgever denkt aan aanpassing

Het ontwikkelen van het BCR-regime heeft ook veranderingen teweeggebracht in de manier waarop door de Europese wetgever naar bescherming van privacy wordt gekeken. De huidige privacywetgeving waarbij bedrijven aan allerlei formele eisen moeten voldoen (zoals het verplicht melden van gegevensverwerkingen bij toezichthouders, het sluiten van modelcontracten et cetera), blijkt in de praktijk onvoldoende bescherming te genereren. De gedachte is nu dat betere resultaten zullen worden bereikt indien de wet een bedrijf zal verplichten om een privacycomplianceprogramma in te voeren.

“Binnen de Europese Commissie wordt er serieus over gedacht om het zogenaamde accountabilityprincipe in te voeren bij de aanstaande wijziging van de Privacy Richtlijn. De Werkgroep 29 is daar ook voorstander van en heeft uitdrukkelijk aangegeven dat ze vinden dat het nu ontwikkelde BCR-regime een goede basis kan zijn voor een dergelijk privacycomplianceprogramma. De Werkgroep 29 voegt eraan toe dat dit natuurlijk wel voor kleine bedrijven zal moeten worden bijgesteld omdat het BCR-regime vooral is toegesneden op multinationals. Dat zal betekenen dat van alle bedrijven zal worden verwacht dat ze een privacypolicy invoeren, hun werknemers trainen, een klachtenprocedure instellen en op naleving controleren”, aldus Moerel. Dat is wat haar betreft een belangrijke, en welkome verschuiving. “Voldoen aan de privacyrichtlijnen blijft nu te vaak een papieren exercitie van externe adviseurs en juristen, waarvan het resultaat in de la verdwijnt. Door het opstellen en invoeren van een privacypolicy gaan de maatregelen ook echt leven in de organisatie. En dat vermindert het risico dat een organisatie in de fout gaat. Bovendien is de verwachting dat in ruil voor invoering van het accountabilityprincipe in de aangepaste richtlijn dan een aantal formele vereisten, zoals de verplichte melding van gegevensverwerkingen, komen te vervallen.”