VERSIEGESCHIEDENIS

Aanbevelingen 1/2022 inzake aanvragen tot goedkeuring alsmede de elementen en beginselen die moeten worden opgenomen in bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken (artikel 47 AVG)

Vastgesteld op 20 juni 2023

Translations proofread by EDPB Members. This language version has not yet been proofread

VERSIEGESCHIEDENIS

Versie 2.1	20 juni 2023	3 juli 2023: redactionele correctie (naam voorzitter)
Versie 2.0	20 juni 2023	Vaststelling van de richtsnoeren na openbare raadpleging
Versie 1.0	14 november 2022	Vaststelling van de richtsnoeren voor openbare raadpleging

Inhoudsopgave

Inleiding......................................................................................................................................................................................................................................4
Aanvraagformulier .....................................................................................................................................................................................................................8
Elementen en beginselen in bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken.....................................................................................21

Het Europees Comité voor gegevensbescherming,

Gezien artikel 70, lid 1, punt i), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna: ' AVG '),

Gezien de EER-overeenkomst en met name bijlage XI en protocol 37 daarbij, zoals gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018 1 ,

Gezien de artikelen 12 en 22 van zijn reglement van orde,

HEEFT DE VOLGENDE AANBEVELINGEN VASTGESTELD:

INLEIDING

1. De AVG voorziet uitdrukkelijk in het gebruik van bindende bedrijfsvoorschriften door een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen (hierna: ' groep ') voor de doorgifte van persoonsgegevens in de zin van artikel 44 AVG.

2. De Groep gegevensbescherming artikel 29 (hierna: Groep artikel 29) heeft op 6 februari 2018 een overzicht goedgekeurd van de elementen en beginselen die in bindende bedrijfsvoorschriften moeten worden opgenomen om aan de vereisten ter zake te voldoen (hier na: 'WP 256 rev.01'). Het Europees Comité voor gegevensbescherming (hierna: 'EDPB') heeft WP 256 rev.01 op 25 mei 2018 bekrachtigd. Bij deze aanbevelingen wordt WP 256 rev.01 ingetrokken en vervangen, maar inhoudelijk wordt in dit document op het overzicht voortgebouwd.

3. Op 11 april 2018 heeft de Groep artikel 29 aanbevelingen vastgesteld betreffende de standaardaanvraag tot goedkeuring van bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken inzake de doorgifte van persoonsgegevens (hierna: ' WP 264 '). Het Europees Comité voor gegevensbescherming heeft WP 264 rev.01 op 25 mei 2018 bekrachtigd. Bij deze aanbevelingen wordt WP 264 ingetrokken en vervangen, maar inhoudelijk wordt in dit document op de eerdere aanbevelingen voortgebouwd.

4. Deze aanbevelingen zijn bedoeld om:

5. -te voorzien in een standaardformulier voor aanvragen tot goedkeuring van bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken ;

6. -een toelichting te geven bij de noodzakelijke inhoud van bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken zoals neergelegd in artikel 47 AVG;

7. -af te bakenen wat moet worden opgenomen in bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken en wat moet worden voorgelegd aan de leidende toezichthoudende autoriteit voor bindende bedrijfsvoorschriften 2 in de aanvraag voor bindende bedrijfsvoorschriften, en

8. -uitleg en commentaar bij de vereisten aan te reiken.

9. Bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken kunnen een kader bieden voor de doorgifte van persoonsgegevens door verwerkingsverantwoordelijken die overeenkomstig artikel 3 AVG binnen het geografische toepassingsgebied van de AVG vallen 3 aan andere verwerkingsverantwoordelijken of verwerkers binnen dezelfde groep die gevestigd zijn in derde landen en die niet worden geacht een passend beschermingsniveau te bieden overeenkomstig artikel 45 AVG (hierna: 'interne verwerkingsverantwoordelijken'/'interne verwerkers'). Bindende bedrijfsvoorschriften voor verwerkers daarentegen zijn van toepassing op gegevens die worden verwerkt door groepsleden die binnen het geografische toepassingsgebied van de AVG vallen en als verwerker optreden namens een verwerkingsverantwoordelijke die geen lid is van de groep, waarbij die gegevens vervolgens door groepsleden worden doorgegeven en verwerkt in de hoedanigheid van subverwerkers in derde landen die niet worden geacht een passend beschermingsniveau te bieden overeenkomstig artikel 45 AVG. De verplichtingen in de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken zijn derhalve binnen dezelfde groep zowel van toepassing op entiteiten die optreden als verwerkingsverantwoordelijken als op entiteiten die optreden als 'interne verwerkers'. In verband met laatstgenoemden dient te worden opgemerkt dat er naast de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken door elke als gegevensexporteur optredende verwerkingsverantwoordelijke met alle interne verwerkers ook een overeenkomst of een andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht moet worden gesloten die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt en die alle vereisten als bedoeld in artikel 28, lid 3, AVG omvat 4 . Groepsentiteiten die persoonsgegevens ontvangen in de

4 Krachtens artikel 28, lid 3, AVG moet voor elke relatie tussen een verwerkingsverantwoordelijke en een verwerker in een overeenkomst of een andere rechtshandeling worden vastgelegd wat het onderwerp, de duur, de aard en het doel van de verwerking zijn, welke soort persoonsgegevens er worden verwerkt, om welke categorieën betrokkenen het gaat en wat de verplichtingen en rechten van de verwerkingsverantwoordelijke zijn. Een algemene beschrijving van de categorieën gegevens, betrokkenen enz. in de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken volstaat in dit opzicht niet.

hoedanigheid van ('interne') verwerkers moeten de verplichtingen in de bindende bedrijfsvoorschriften voor verwerkingsverantw oordelijken nakomen voor zover dit niet in strijd is met de overeenkomst of andere rechtshandeling die uit hoofde van artikel 28, lid 3, AVG is gesloten (m.a.w. verwerkers binnen de groep die namens verwerkingsverantwoordelijken binnen de groep gegevens verwerken, moeten zich in de eerste plaats aan deze overeenkomst houden).

6. De groepsleden moeten de toepasselijke EU-wetgeving inzake gegevensbescherming naleven. Die heeft voorrang op de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken, tenzij daarin op vrijwillige basis in een hoger beschermingsniveau wordt voorzien.
7. Overeenkomstig artikel 46, lid 2, punt b), AVG bieden bindende bedrijfsvoorschriften passende waarborgen voor de doorgifte van persoonsgegevens aan derde landen. Bindende bedrijfsvoorschriften roepen afdwingbare rechten en plichten in het leven om voor de in het kader van die voorschriften doorgegeven persoonsgegevens een beschermingsniveau te waarborgen dat in grote lijnen overeenkomt met de door de AVG geboden bescherming. Het volstaat daarom niet dat in bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken louter wordt verwezen naar de bepalingen van de AVG; aanvragers dienen uitdrukkelijk de vereisten te preciseren die in hun voorschriften zijn opgenomen.
8. Bindende bedrijfsvoorschriften moeten worden goedgekeurd 5 door de leidende toezichthoudende autoriteit voor bindende bedrijfsvoorschriften. Hierbij mag niet uit het oog worden verloren dat er een belangrijk verschil bestaat tussen de leidende toezichthoudende autoriteit voor bindende bedrijfsvoorschriften -die bevoegd is om de bindende bedrijfsvoorschriften goed te keuren -en de toezichthoudende autoriteit die bevoegd is voor een specifieke doorgifte door een bepaalde verwerkingsverantwoordelijke in het kader van die voorschriften 6 .
9. Het ontwerpbesluit van de leidende toezichthoudende autoriteit tot goedkeuring van de bindende bedrijfsvoorschriften wordt voor advies voorgelegd aan het EDPB 7 . De goedkeuring bevestigt dat aan de vereisten van artikel 47 AVG is voldaan en dat de in de voorschriften opgenomen verplichtingen dus in de zin van artikel 46 AVG in passende waarborgen voorzien.
10. De goedkeuring omvat echter geen beoordeling van de vraag of elke verwerking in overeenstemming is met alle vereisten van de AVG en de bindende bedrijfsvoorschriften. Zo moet elke gegevensexporteur ervoor zorgen dat elke doorgifte voldoet aan de vereisten van artikel 6 AVG (rechtmatigheid van de verwerking) en artikel 28 AVG (voor doorgifte aan verwerkers) en eventuele aanvullende formaliteiten die in de nationale wetgeving van een lidstaat zijn vastgelegd. Bovendien is het bijvoorbeeld ook de verantwoordelijkheid van elke gegevensexporteur om voor elke doorgifte per geval te beoordelen of er aanvullende maatregelen moeten worden genomen om een beschermingsniveau te kunnen bieden dat in wezen gelijkwaardig is aan de door de AVG geboden

5 Overeenkomstig artikel 47, lid 1, AVG.

6 In deze aanbevelingen verwijst de term 'bevoegde toezichthoudende autoriteit(en)' naar de toezichthoudende autoriteit(en) voo r gegevensbescherming die bevoegd is (zijn) voor de gegevensexporteur(s) van de specifieke doorgifte.

7 Overeenkomstig artikel 46, lid 4, artikel 64, lid 1, punt f), en artikel 64, lid 3, AVG.

bescherming 8 . Deze aanvullende maatregelen vallen onder de verantwoordelijkheid van de gegevensexporteur en worden derhalve niet beoordeeld door een toezichthoudende autoriteit in het kader van de procedure voor de goedkeuring van bindende bedrijfsvoorschriften.

11. De goedkeuring van bindende bedrijfsvoorschriften heeft alleen betrekking op doorgiften van persoonsgegevens aan derde landen die niet worden geacht een passend beschermingsniveau te bieden overeenkomstig artikel 45 AVG. Groepen kunnen echter specifiek bindende bedrijfsvoorschriften opstellen voor gebruik als hun wereldwijde gegevensbeschermingsbeleid voor alle verbonden entiteiten (exporteurs of importeurs), ongeacht hun locatie (binnen of buiten de EER). De reikwijdte van de goedkeuring van de bindende bedrijfsvoorschriften door de leidende toezichthoudende autoriteit blijft evenwel altijd beperkt tot de doorgifte van persoonsgegevens door entiteiten die onder de toepassing van de AVG vallen 9 aan derde landen die niet worden geacht een passend beschermingsniveau te bieden overeenkomstig artikel 45 AVG, en tot de verdere doorgifte van die gegevens aan andere groepsleden die door de voorschriften gebonden zijn (hierna: ' door de voorschriften gebonden leden ').
12. Zodra de bindende bedrijfsvoorschriften zijn goedgekeurd, kunnen ze worden gebruikt voor doorgifte vanuit alle relevante lidstaten, en is de voor de gegevensexporteur bevoegde toezichthoudende autoriteit ook bevoegd om na te gaan of de gegevensimporteur in het derde land bij die doorgifte de bindende bedrijfsvoorschriften naleeft.
13. Deze aanbevelingen treden in werking op de datum van bekendmaking ervan.
14. Bijgevolg verwacht het EDPB dat alle nieuwe en lopende aanvragen voor bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken in overeenstemming met onderstaande vereisten worden gebracht. Aanvragen die op het moment van bekendmaking van deze aanbevelingen reeds het stadium van 'geconsolideerd ontwerp' hebben bereikt in ove reenstemming met artikel 2.4 van WP 263 rev.01 en waarover het EDPB tegen eind 2023 advies uitbrengt, dienen hun voorschriften in lijn met deze aanbevelingen te brengen in het kader van de jaarlijkse bijwerking daarvan voor 2024.
15. Ook alle houders van bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten aan deze aanbevelingen voldoen. Desbetreffende wijzigingen moeten worden doorgevoerd in het kader van de jaarlijkse bijwerking voor 2024. Overeenkomstig punt 8.1 (Procedure voor het bijwerken van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken) vereist een dergelijke bijwerking doorgaans geen nieuwe goedkeuring, aangezien de wijzigingen bedoeld zijn om de waarborgen voor betrokkenen te verbeteren.
16. De leidende toezichthoudende autoriteiten voor bindende bedrijfsvoorschriften moeten indien nodig op verzoek aanvullende informatie kunnen verstrekken.

AANVRAAGFORMULIER

Algemene instructies voor kandidaten:

• Er hoeft slechts één exemplaar van het formulier te worden ingevuld en ingediend bij de toezichthoudende autoriteit die u overeenkomstig artikel 47, lid 1, en artikel 64 AVG alsmede WP 263 als leidende toezichthoudende autoriteit voor bindende bedrijfsvoorschriften beschouwt. Dit formulier mag in alle EER-lidstaten worden gebruikt.
• Als u zowel bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken als bindende bedrijfsvoorschriften voor verwerkers wilt aanvragen, moeten daarvoor afzonderlijke formulieren worden ingevuld.
• Vul alle onderdelen van deel I van het aanvraagformulier in en dien het formulier vervolgens in bij de toezichthoudende autoriteit die u als de leidende toezichthoudende autoriteit voor bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken beschouwt. Zodra een beslissing over de leidende toezichthoudende autoriteit voor bindende bedrijfsvoorschriften is genomen (zie WP 263), bepaalt deze leidende toezichthoudende autoriteit wanneer u zal worden verzocht deel II van het aanvraagformulier in te vullen en in te dienen, met inbegrip van de bijlagen daarbij.
• U kunt extra bladzijden of bijlagen bijvoegen als u niet genoeg ruimte hebt voor uw antwoorden.
• U kunt aangeven welke antwoorden of materialen volgens u commercieel gevoelig zijn en vertrouwelijk moeten worden gehouden, maar u moet zich er in elk geval van bewust zijn dat het desbetreffende document zal worden verspreid onder de betrokken toezichthoudende autoriteiten en het EDPB, dat krachtens artikel 64 AVG een advies moet uitbrengen over het ontwerpbesluit ter goedkeuring van uw bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken. Verzoeken van derden tot openbaarmaking van deze informatie worden evenwel door elke betrokken toezichthoudende autoriteit in overeenstemming met de nationale wetgeving behandeld.
• De volgende stappen van de procedure worden beschreven in WP 263.
• Houders van bindende bedrijfsvoorschriften die in 2024 een kennisgeving indienen van bijgewerkte bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken (zie punt 13 van de inleiding) hoeven alleen afdeling 4 ('Bevestiging') van deel I van onderstaand aanvraagformulier te ondertekenen.
• Houders van bindende bedrijfsvoorschriften moeten in het kader van de jaarlijkse bijwerking (zie punt 8.1 hieronder) bevestigen dat zij over voldoende activa beschikken overeenkomstig afdeling 5 ('Activa') van deel II van onderstaand aanvraagformulier.

Instructies voor het invullen van deel I (informatie over de aanvrager):

Afdeling 1: Structuur en contactgegevens van de aanvrager en de groep

• Indien het hoofdkantoor van de groep in de EER gevestigd is, moet het formulier worden ingevuld en ingediend door die EER-entiteit of -onder bepaalde voorwaarden -door een andere EER-entiteit met gedelegeerde verantwoordelijkheden op het gebied van gegevensbescherming 10 . In dat laatste geval dient de groep nader te motiveren waarom de aanvraag door een andere EER-entiteit dan het hoofdkantoor wordt ingediend.
• Indien het hoofdkantoor van de groep buiten de EER gevestigd is, dient de groep een groepsentiteit aan te wijzen die zich binnen de EER bevindt als groepslid met gedelegeerde verantwoordelijkheden op het gebied van gegevensbescherming. Deze entiteit dient vervolgens namens de groep de aanvraag in te dienen.
• Contactgegevens voor vragen:
• o Geef een contactpersoon op aan wie eventuele vragen over de aanvraag kunnen worden gericht.
• o Deze persoon hoeft zich niet in de EER te bevinden, hoewel dit om praktische redenen wel raadzaam kan zijn.
• o U kunt hier ook een functie opgeven in plaats van een specifieke persoon.

Afdeling 2: Beknopte beschrijving van gegevensstromen

• De aanvrager dient kort de reikwijdte en de aard van de gegevensstromen naar derde landen te beschrijven waarvoor goedkeuring wordt aangevraagd.

Afdeling 3: Vaststelling van de leidende toezichthoudende autoriteit voor bindende bedrijfsvoorschriften

• Overeenkomstig artikel 64 AVG is de leidende toezichthoudende autoriteit verantwoordelijk voor het coördineren van de goedkeuring van uw bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken, die vervolgens kunnen worden beschouwd als passende waarborgen voor de doorgifte van persoonsgegevens door groepsleden aan derde landen, zonder dat daarbij specifieke toestemming voor het gebruik van de bindende bedrijfsvoorschriften van de andere betrokken toezichthoudende autoriteiten moet worden verkregen.

10 Overeenkomstig artikel 47, lid 2, punt f), AVG moet er altijd een op het grondgebied van een EU-lidstaat gevestigd groepslid zijn dat de aansprakelijkheid voor alle inbreuken op de bindende bedrijfsvoorschriften door een niet in de Unie gevestigd betrokken lid aanvaardt. Als het hoofdkantoor van de groep elders gevestigd is, moet het de betreffende verantwoordelijkheden delegeren aan een lid in de EU.

• o Voordat u een bepaalde toezichthoudende autoriteit als vermoedelijke leidende toezichthoudende autoriteit voor bindende bedrijfsvoorschriften benadert, dienen de in deel 1 van WP 263 opgesomde factoren te worden onderzocht. Op basis daarvan dient u in deel 1.3 van het aanvraagformulier toe te lichten welke toezichthoudende autoriteit als leidende toezichthoudende autoriteit voor bindende bedrijfsvoorschriften moet worden aangewezen. De toezichthoudende autoriteiten zijn niet verplicht uw keuze te aanvaarden als zij een andere toezichthoudende autoriteit geschikter achten voor de rol van leidende toezichthoudende autoriteit voor bindende bedrijfsvoorschriften, met name als dit alternatief de procedure kan versnellen (bijv. rekening houdend met de werklast van de oorspronkelijk aangewezen toezichthoudende autoriteit).

Aanvraagformulier voor de goedkeuring van bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken

DEEL I: INFORMATIE OVER DE AANVRAGER

1. STRUCTUUR EN CONTACTGEGEVENS VAN HET CONCERN OF DE GROEPERING VAN ONDERNEMINGEN DIE GEZAMENLIJK EEN ECONOMISCHE ACTIVITEIT UITOEFENEN (DE 'GROEP')

Naam van de groep en locatie van het hoofdkantoor:

Is het hoofdkantoor van de groep gevestigd in de EER?

• Ja

• Nee

Naam en adres van de aanvrager:

Identificatienummer (in voorkomend geval):

Juridische aard van de aanvrager (vennootschap, partnerschap enz.):

Beschrijving van de positie van de aanvrager binnen de groep

(bijv. hoofdkantoor van de groep in de EER of, indien het hoofdkantoor van de groep niet in de EER is gevestigd, het groepslid binnen de EER met gedelegeerde verantwoordelijkheden op het gebied van gegevensbescherming):

Naam en/of functie van de contactpersoon (NB: de contactpersoon kan veranderen; u kunt ook een functie opgeven in plaats van een specifieke persoon):

Adres:

Land:

Telefoonnummer:

E-mail:

EER-lidstaten vanwaaruit de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken zullen worden toegepast:

2. BEKNOPTE BESCHRIJVING VAN DE VERWERKING EN DE GEGEVENSSTROMEN 11

Geef antwoord op de volgende vragen:

• -Wat is de aard van de gegevens waarop de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken betrekking hebben? Zijn deze voorschriften van toepassing op één gegevenscategorie of op meerdere categorieën? Wat is de aard en het doel van de verwerking? Welke soorten betrokkenen worden door de verwerking getroffen (bijv. gegevens over werknemers, klanten, leveranciers en andere derden in het kader van hun respectieve normale bedrijfsactiviteiten enz.)?
• -Zijn de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken alleen van toepassing op doorgiften vanuit de EER of gelden zij voor alle doorgiften tussen groepsleden?
• -Vanuit welk land worden de meeste gegevens doorgegeven aan begunstigden buiten de EER?
• -Wat is de reikwijdte van de doorgiften binnen de groep die onder de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken vallen (geef hier ook een beschrijving en contactgegevens van alle groepsleden binnen of buiten de EER waaraan persoonsgegevens kunnen worden doorgegeven)?

3. VASTSTELLING VAN DE LEIDENDE TOEZICHTHOUDENDE AUTORITEIT VOOR BINDENDE BEDRIJFSVOORSCHRIFTEN 12

Geef aan welke entiteit de rol van leidende toezichthoudende autoriteit voor bindende bedrijfsvoorschriften op zich zou moeten nemen op basis van de volgende criteria:

• -de locatie van het hoofdkantoor van de groep in de EER;
• -als het hoofdkantoor van de groep niet in de EER gevestigd is, de locatie in de EER van de groepsentiteit met gedelegeerde verantwoordelijkheden voor gegevensbescherming;
• -de locatie van de meest geschikte onderneming (wat betreft beheerfunctie, administratieve werklast enz.) om de aanvraag te behandelen en de naleving van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken binnen de groep te handhaven;
• -het land waar de meeste beslissingen met betrekking tot het doel en de middelen van de gegevensverwerking worden genomen;
• -de EER-lidstaten vanwaaruit de meeste doorgiften naar begunstigden buiten de EER zullen plaatsvinden.

12 Zie deel 1, WP 263.

Namens elk lid van de groep bevestigen wij het volgende te erkennen:

-De goedkeuring omvat geen beoordeling van de vraag of elke verwerking in overeenstemming is met alle toepasselijke vereisten van de AVG en de bindende bedrijfsvoorschriften. Elke partij bij de bindende bedrijfsvoorschriften moet ervoor zorgen dat bij elke doorgifte aan alle toepasselijke vereisten van de AVG en de bindende bedrijfsvoorschriften wordt voldaan (bijv. aan de vereisten van artikel 28 met betrekking tot rechtmatigheid, waar nodig aan de vereisten inzake gegevensbeschermingseffectbeoordelingen enz.).

-Voordat enige persoonsgegevens worden doorgegeven aan een groepslid op basis van de goedgekeurde bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken, is het de verantwoordelijkheid van elke gegevensexporteur - indien nodig met de hulp van de gegevensimporteur - om na te gaan of de wetgeving van het betrokken derde land van bestemming de ontvanger niet verhindert om die voorschriften na te leven, onder meer wat verdere doorgifte betreft. Zo moet worden vastgesteld of enige op de door te geven gegevens toepasselijke wetten of praktijken van het derde land verder gaan dan wat in een democratische samenleving noodzakelijk is om belangrijke doelstellingen van algemeen belang te waarborgen, met name op het gebied van strafrechtelijke handhaving en nationale veiligheid, en mogelijk afbreuk doen aan het vermogen van de gegevensimporteur en/of -exporteur om hun verplichtingen in het kader van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken na te komen, rekening houdend met de omstandigheden van de doorgifte. Als hier kans op bestaat, moet de gegevensexporteur in een EER-lidstaat - indien nodig met de hulp van de gegevensimporteur - nagaan of er aanvullende maatregelen kunnen worden getroffen om een dergelijke situatie uit te sluiten en zo voor de beoogde doorgifte toch een beschermingsniveau te waarborgen dat in wezen gelijkwaardig is aan de in de EU geboden bescherming. De uitvoering van die aanvullende maatregelen is de verantwoordelijkheid van de gegevensexporteur en blijft zelfs na goedkeuring van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken op diens schouders rusten. Zij worden derhalve niet door de toezichthoudende autoriteiten beoordeeld in het kader van de goedkeuringsprocedure.

-Ingeval de gegevensexporteur niet in staat is de nodige aanvullende maatregelen te treffen om een beschermingsniveau te waarborgen dat in wezen gelijkwaardig is aan de in de EU geboden bescherming, kunnen er in geen geval rechtmatig persoonsgegevens worden doorgegeven aan een derde land krachtens de bindende bedrijfsvoorschriften. Evenzo is de gegevensexporteur verplicht de doorgifte van persoonsgegevens aan derde landen op te schorten of te beëindigen als die exporteur kennis krijgt van wijzigingen in de wetgeving van het betrokken derde land die het door het Unierecht vereiste beschermingsniveau in het gedrang brengen.

Datum, handtekening van de aanvrager (op bestuursniveau)

4. BEVESTIGING

DEEL II: ACHTERGRONDNOTA

5. BINDEND KARAKTER VAN DE BINDENDE VOORSCHRIFTEN VOOR VERWERKINGSVERANTWOORDELIJKEN

Bindend voor de entiteiten binnen de groep

Hoe wordt de naleving van de voorschriften afgedwongen bij de groepsleden?

• Groepsovereenkomst

• Eenzijdige verklaring, op voorwaarde dat de vereisten van punt 1.2 van "Elementen en beginselen" (= hoofdstuk 3) van deze EDPB-aanbevelingen zijn vervuld

• Ander document (alleen mogeliik als de groep aantoont hoe het bindende karakter van de voorschriften wordt gewaarborgd) — geef een nadere toelichting

Gelieve het ontwerp van de groepsovereenkomst/de eenzijdige verklaring/het "andere document" bij de aanvraag te voegen. Houd er rekening mee dat deze documenten op bestuursniveau moeten worden ondertekend nadat de bindende bedrijfsvoorschriften zijn goedgekeurd.

Leg uit op welke rechtsgrondslag het groepslid/de groepsleden met gedelegeerde verantwoordelijkheid op het gebied van gegevensbescherming de andere groepsleden ertoe kunnen houden de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken na te leven (bijv. dankzij de rechten van een moedermaatschappij uit hoofde van het vennootschapsrecht):

Strekt de interne bindende werking van uw bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken zich uit tot de hele groep? (Indien een aantal groepsleden moet worden vrijgesteld, specificeer dan hoe en waarom.)

Bindend voor de werknemers

Uw groep kan enkele of alle van de volgende stappen ondernemen om ervoor te zorgen dat de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken bindend zijn voor werknemers (er kunnen ook nog andere stappen worden ondernomen). Licht hieronder de genomen maatregelen toe.

• Individuele en afzonderlijke overeenkomst(en)/verbintenissen met daaraan gekoppelde sancties

• Een clausule in arbeidsovereenkomsten waarin de toepasselijke sancties worden uiteengezet

• Collectieve overeenkomsten met daaraan gekoppelde sancties

• Intern beleid met gekoppelde sancties (de groep moet in dit geval evenwel naar behoren uitleggen hoe de voorschriften worden gehandhaafd ten aanzien van de werknemers)

• Andere methoden (de groep moet in dit geval evenwel naar behoren uitleggen hoe de voorschriften worden gehandhaafd ten aanzien van de werknemers)

Geef een samenvatting, waar nodig gestaafd door uittreksels, om uit te leggen hoe de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken bindend worden gemaakt ten aanzien van de werknemers.

Bevestig hieronder dat de aansprakelijke groepsleden krachtens de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken die op het grondgebied van een EER- lidstaat gevestigd zijn (bijv. het Europese hoofdkantoor van de groep of het groepslid met gedelegeerde gegevensbeschermingsverantwoordelijkheden in de EER) passende regelingen hebben getroffen om zelf vergoeding te kunnen betalen voor mogelijke schade als gevolg van een eventuele schending van die voorschriften door leden die zich buiten de EER bevinden, en leg uit hoe dit wordt gewaarborgd.

6. DOELTREFFENDHEID

Het is belangrijk dat u aantoont hoe de bindende bedrijfsvoorschriften van uw organisatie in de praktijk worden gebracht - met name in landen buiten de EER waar gegevens op basis van die voorschriften zullen worden doorgegeven - aangezien dit een grote rol speelt bij de beoordeling van de toereikendheid van de waarborgen. Verstrek daartoe informatie over de onderstaande elementen.

Opleiding en bewustmaking (werknemers)

• Speciale opleidingsprogramma's

• Tests voor werknemers inzake de bindende bedrijfsvoorschriften en gegevensbescherming

• Inkennisstelling van alle werknemers over de bindende bedrijfsvoorschriften, op papier of online

• Beoordeling en goedkeuring door leidinggevenden binnen het bedrijf

• Beschrijving van de manier waarop werknemers wordt geleerd welke gevolgen hun werk heeft vanuit het oogpunt van gegevensbescherming, m.a.w. hoe zij leren te bepalen of het relevante privacybeleid van toepassing is op hun activiteiten en dienovereenkomstig te handelen (dit geldt ongeacht of deze werknemers al dan niet in de EER werkzaam zijn).

Netwerk van functionarissen voor gegevensbescherming of andere geschikte personeelsleden

Bevestig hieronder dat er een netwerk van functionarissen voor gegevensbescherming of andere geschikte personeelsleden (zoals privacyfunctionarissen) is opgericht, met steun van het topmanagement, om toe te zien op en te zorgen voor de naleving van de bindende bedrijfsvoorschriften voor verwerkers.

Geef daartoe nadere uitleg bij de werking van uw netwerk van functionarissen voor gegevensbescherming of privacyfunctionarissen:

• Interne structuur:

• Taken en verantwoordelijkheden:

Datum, handtekening van de aanvrager (op bestuursniveau)

(vermeld ook de naam, functie en contactgegevens)

BIJLAGE 1: KOPIE VAN DE BINDENDE BEDRIJFSVOORSCHRIFTEN VOOR VERWERKINGSVERANTWOORDELIJKEN

U dient een kopie van uw bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken bij uw aanvraag te voegen. Alle verplichte informatie moet in de bindende bedrijfsvoorschriften zelf staan (d.w.z. in het kerndocument/de kerndocumenten of de bijlagen daarbij); 'aanvullende stukken' (d.w.z. documenten die geen deel uitmaken van de voorschriften zelf) mogen alleen worden gebruikt om nadere uitleg te geven 13 .

BIJLAGE 2: KOPIE VAN DE INGEVULDE TABEL 'ELEMENTEN EN BEGINSELEN IN BINDENDE BEDRIJFSVOORSCHRIFTEN VOOR VERWERKINGSVERANTWOORDELIJKEN'

Voeg de ingevulde tabel 'Elementen en beginselen in bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken' bij uw aanvraag.

13 Alle ingediende documenten kunnen het voorwerp vormen van een verzoek tot toegang op basis van de wetgeving inzake de vrijheid van informatie, voor zover die van toepassing is.

3 ELEMENTEN EN BEGINSELEN IN BINDENDE BEDRIJFSVOORSCHRIFTEN VOOR VERWERKINGSVERANTWOORDELIJKEN

Criteria voor de goedkeuring van bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken	In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken	In het aanvraagformulier	Referentie	Opmerkingen	Verwijzingen de voorschrit het aanvraagform en/of aanvull stukken"
1 - BINDEND KARAKTER	1 - BINDEND KARAKTER	1 - BINDEND KARAKTER	1 - BINDEND KARAKTER	1 - BINDEND KARAKTER	1 - BINDEND KARAKTER
Intern	Intern	Intern	Intern	Intern	Intern
1.1 Verplichting om de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken na te leven	JA	NEE	Artikel 47, en	De bindende bedrijfsvoorschriften voor lid 1, punt a), verwerkingsverantwoordelijken moeten lid 2, juridisch bindend zijn en voor elk lid - met punt c), AVG15 inbegrip van de werknemers daarvan - een duidelijke verplichting inhouden om die voorschriften in acht te nemen.
1.2 Toelichting op de wijze waarop NEE de naleving van de bindende		JA	Artikel 47,	lid 1, punt a), toelichten De groep moet in het aanvraagformulier hoem de bindende

bedrijfsvoorschriften voor verwerkingsverantwoordelijken 16 door de betrokken groepsleden en de werknemers daarvan wordt afgedwongen	en lid 2, punt c), AVG	bedrijfsvoorschriften voor verwerkingsverantwoordelijken bindend worden gemaakt: i. ten aanzien van elk groepslid dat partij is bij de voorschriften, met behulp van één of meerdere van de volgende methoden: a) een groepsovereenkomst; b) een eenzijdige verklaring , op voorwaarde dat de volgende vereisten zijn vervuld: - de entiteit(en) die de verantwoordelijkheid en aansprakelijkheid op zich neemt/nemen (zie punt 1.4 hieronder), is/zijn gevestigd in een lidstaat die eenzijdige verklaringen bindend acht, - de entiteit(en) die de verantwoordelijkheid en aansprakelijkheid op zich neemt/nemen (zie punt 1.4 hieronder), is/zijn juridisch bevoegd om de andere leden te binden en dit is uitdrukkelijk bevestigd, bijvoorbeeld in een

afzonderlijke schriftelijke verbintenis die door die entiteit is opgesteld, - in de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken is het beginsel neergelegd dat alle in de eenzijdige verklaring genoemde entiteiten door die voorschriften gebonden zijn, - de eenzijdige verklaring valt onder het recht van het land van de entiteit(en) die de verantwoordelijkheid en aansprakelijkheid op zich neemt/nemen (zie punt 1.4 hieronder), en dit toepasselijke recht staat uitdrukkelijk vermeld in de eenzijdige verklaring, en - het is de verantwoordelijkheid van de groep om te controleren dat aan eventuele aanvullende vereisten voor het bindende karakter uit hoofde van de toepasselijke wetgeving is voldaan (zoals de bekendmaking van de verklaring enz.); c) een ander document (alleen mogelijk als de groep aantoont hoe het bindende karakter van de voorschriften wordt gewaarborgd) -

de leidende toezichthoudende autoriteit voor de bindende bedrijfsvoorschriften kan verlangen dat er documentatie wordt overgelegd waarmee het bindende karakter van de voorschriften wordt aangetoond 17 ; ii. ten aanzien van werknemers, met behulp van één of meerdere van de volgende methoden: a) individuele en afzonderlijke overeenkomst(en)/verbintenissen met daaraan gekoppelde sancties; b) een clausule in arbeidsovereenkomsten waarin de toepasselijke sancties worden uiteengezet; c) collectieve overeenkomsten met daaraan gekoppelde sancties; d) intern beleid met gekoppelde sancties, of e) andere methoden. In geval van de hierboven in de punten d) en e) vermelde methoden moet de groep naar behoren aantonen 1) hoe daarmee de voorschriften juridisch bindend worden

17 Het meest eenvoudige instrument om dit te bereiken is een contractuele regeling (d.w.z. een groepsovereenkomst), aangezien dergelijke regelingen in alle lidstaten krachtens het privaatrecht wettelijk kunnen worden afgedwongen door derden in de hoedanigheid van begunstigden.

			gemaakt voor de werknemers, en 2) dat en hoe deze voorschriften in de praktijk ten aanzien van de werknemers zullen worden gehandhaafd. De leidende toezichthoudende autoriteit voor de bindende bedrijfsvoorschriften kan vragen dat er documentatie wordt overgelegd waarmee het bindende karakter van de voorschriften wordt aangetoond.
Extern
1.3.1 Rechten van derden in de JA hoedanigheid van begunstigden die door betrokkenen kunnen worden ingeroepen	JA	Artikel 47, en punten c) en e), AVG	De bindende bedriifsvoorschriften voor lid 1, punt b),

een hoog risico inhoudt voor hun rechten en vrijheden'), en punt 5.1.4 hieronder); - transparantie en vlotte toegang tot bindende bedrijfsvoorschriften (zie artikel 47, lid 2, punt g), AVG, alsmede de punten 1.7 en 5.1.1 hieronder); - het recht op informatie, inzage, rectificatie, wissing en beperking, het recht op kennisgeving met betrekking tot rectificatie, wissing of beperking, het recht om bezwaar te maken tegen verwerking, het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit (zie artikel 47, lid 2, punt e), en de artikelen 15 tot en met 19, 21 en 22 AVG, alsmede punt 5.2 hieronder); - verplichtingen in het geval van lokale wetten en praktijken met gevolgen voor de naleving van de voorschriften en in het geval van toegangsverzoeken van de overheid (zie artikel 47, lid 2, punt m), AVG alsmede de punten 5.4.1 en 5.4.2 hieronder); - het recht om een klacht in te dienen via de interne klachtenprocedure van de groep (zie artikel 47, lid 1, punt i), AVG en punt 3.2 hieronder);

- plicht tot samenwerking met bevoegde toezichthoudende autoriteiten (zie artikel 47, lid 2, punten j), k) en l), AVG, alsmede punt 4.1 hieronder) met betrekking tot nalevingsverplichtingen die onder deze clausule voor derden in de hoedanigheid van begunstigden vallen; - bepalingen inzake rechterlijke bevoegdheid en aansprakelijkheid (zie artikel 47, lid 2, punten e) en f), AVG alsmede de punten 1.3.2 en 1.4 hieronder); - de verplichting om de betrokkenen op de hoogte te stellen van eventuele bijwerkingen van de voorschriften en de daardoor gebonden leden, bijvoorbeeld door de nieuwe versie onverwijld bekend te maken (zie punt 8.1 hieronder); - de clausule inzake derden in de hoedanigheid van begunstigden zelf (zie onderhavig punt 1.3.1); - het recht op rechtsmiddelen, verhaal en vergoeding (zie punt 1.3.2). Deze rechten strekken zich niet uit tot elementen van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken met betrekking tot interne mechanismen die

				binnen de entiteiten zelf worden ingevoerd, zoals details over opleidingen, controleprogramma's, nalevingsnetwerken en mechanismen voor het bijwerken van de voorschriften. De groep moet ervoor zorgen dat de rechten van derden in de hoedanigheid van begunstigden doeltreffend vorm wordt gegeven zodat deze verplichtingen bindend zijn, d.w.z. afdwingbaar door de betrokkenen (zie punt 1.2 hierboven). Daartoe moet de groep in het aanvraagformulier aangeven en kort uitleggen hoe de geplande instrumentenom de voorschriften intern bindend te maken (zie punt 1.2 hierboven) ook de betrokkenen in staat stellen om de voornoemde elementen uit devoorschriften juridisch af te dwingen ten aanzien van de groep (of toch ten minste ten aanzien van de leden met verantwoordelijkheid en aansprakelijkheid uit hoofde van punt 1.4). Als de groep bijvoorbeeld van plan is om hiertoe een groepsovereenkomst toe te passen (zie punt 1.2, i, a)), dient kort te worden toegelicht hoe die overeenkomst afdwingbaar zal zijn door de betrokkenen.
1.3.2 Recht op rechtsmiddelen, verhaal en vergoeding voor betrokkenen	JA	NEE	Artikel 47, lid 2, punt e), en de artikelen 77	De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten betrokkenen uitdrukkelijk het recht verlenen op rechtsmiddelen, verhaal en, in voorkomend geval, vergoeding in geval van

tot en 82 AVG	met	een inbreuk op één van de in punt 1.3.1 vermelde afdwingbare elementen van de voorschriften. De leden die partij zijn bij de voorschriften aanvaarden dat betrokkenen kunnen worden vertegenwoordigd door een orgaan, organisatie of vereniging zonder winstoogmerk overeenkomstig de voorwaarden van artikel 80, lid 1, AVG (zie de artikelen 77 tot en met 82 AVG). De leden moeten ervoor zorgen dat al deze rechten onder de clausule inzake derden in de hoedanigheid van begunstigden vallen, bijvoorbeeld door te verwijzen naar de bepalingen, afdelingen en/of delen van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken waarin deze rechten worden geregeld of door de rechten op te nemen in de clausule zelf. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten betrokkenen het recht verlenen om een klacht in te dienen (door in de desbetreffende bindende en gepubliceerde documenten van de voorschriften een rechtstreekse verwijzing naar dat recht op te nemen): - bij een toezichthoudende autoriteit, met name in de lidstaat waar de gewone verblijfplaats of arbeidsplaats van de betrokkene zich bevindt of waar de

				vermeende inbreuk heeft plaatsgevonden, en - bij de bevoegde rechtbank van de lidstaten waar de verwerkingsverantwoordelijke of de verwerker een vestiging heeft of waar de gewone verblijfplaats van de betrokkene zich bevindt.
1.4 Aanvaarding, door één of meerdere door de voorschriften gebonden leden in de EER met gedelegeerde verantwoordelijkheid voor gegevensbescherming, van aansprakelijkheid voor het betalen van vergoeding aan betrokkenen en het verhelpen van inbreuken op de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken (hierna: 'aansprakelijke leden')	JA	NEE	Artikel 47, lid 2, punt f), AVG	De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten voorzien in de verplichting dat er op elk moment één door de voorschriften gebonden lid is in de EER dat de verantwoordelijkheid aanvaardt voor handelingen van buiten de EER gevestigde leden en ermee instemt de nodige corrigerende maatregelen te nemen en een vergoeding te betalen voor alle materiële of immateriële schade die voortvloeit uit eventuele schendingen van de voorschriften door die leden ('gecentraliseerde verantwoordelijkheids- en aansprakelijkheidsregeling'). De toezichthoudende autoriteiten kunnen ook - naargelang het geval - oplossingen aanvaarden waarbij die verantwoordelijkheid en aansprakelijkheid worden gedeeld door meerdere in de EER gevestigde door de voorschriften gebonden leden, op voorwaarde dat de aanvrager voldoende adequate garanties biedt. Als er

				gebruik wordt gemaakt van een ander mechanisme dan de gecentraliseerde verantwoordelijkheids- en aansprakelijkheidsregeling, moet de aanvrager aantonen dat de betrokkenen op transparante wijze zullen worden ingelicht en zullen worden bijgestaan bij de uitoefening van hun rechten, en dat zij op geen enkele wijze zullen worden benadeeld of onrechtmatig zullen worden gehinderd door het gebruik van dat alternatief. In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet ook worden vastgesteld dat de rechterlijke bevoegdheid voor eventuele inbreuken op de voorschriften door een lid buiten de EER zal rusten bij de rechtbanken of andere rechterlijke autoriteiten in de EER, en dat de betrokkenen hun rechten en rechtsmiddelen zullen kunnen doen gelden ten aanzien van het aansprakelijke lid alsof de schending door dat lid zelf was veroorzaakt in de lidstaat waar het is gevestigd in plaats van het door de voorschriften gebonden lid buiten de EER.
1.5 Voldoende activa van de aansprakelijke leden	NEE	JA	Artikel 70, lid 1, punt i), AVG	In het aanvraagformulier moet worden bevestigd dat de aansprakelijke leden over voldoende activa beschikken of passende regelingen hebben getroffen om zelf vergoeding te kunnen betalen voor schade die voortvloeit uit een inbreuk op de

				bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken. Dit moet bij elke jaarlijkse bijwerking opnieuw worden bevestigd (zie punt 8.1 hieronder).
1.6 Op de aansprakelijke leden rustende bewijslast	JA	NEE	Artikel 47, lid 2, punt f), AVG	In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet worden neergelegd dat, wanneer betrokkenen kunnen aantonen dat zij schade hebben geleden en feiten kunnen aanhalen waaruit blijkt dat die schade waarschijnlijk voortvloeit uit een schending van de voorschriften, het aan het aansprakelijke lid is om te bewijzen dat het door de voorschriften gebonden lid buiten de EER niet verantwoordelijk was voor de schending waaruit de schade is voortgekomen, dan wel dat die schending niet heeft plaatsgevonden.
1.7 Vlotte toegang tot de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken voor betrokkenen	JA	NEE	Artikel 47, lid 2, punt g), AVG	In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet worden vastgelegd dat alle betrokkenen informatie moeten krijgen over hun rechten als derde in de hoedanigheid van begunstigde in verband met de verwerking van hun persoonsgegevens, alsook over de middelen waarover zij beschikken om die rechten uit te oefenen. In de voorschriften moet ook worden bepaald dat betrokkenen ten minste een beschrijving zullen krijgen van de werkingssfeer van de bindende

bedrijfsvoorschriften voor verwerkingsverantwoordelijken (zie afdeling 2 hieronder); de bepaling over de aansprakelijkheid van de groep (zie punt 1.4 hierboven); de bepalingen over de gegevensbeschermingsbeginselen (zie punt 5.1.1 hieronder), de rechtmatigheid van de verwerkingsactiviteiten (zie punt 5.1.2 hieronder), beveiliging en de melding van inbreuken in verband met persoonsgegevens (zie punt 5.1.3 hieronder) en beperkingen op verdere doorgifte (zie punt 5.1.4 hieronder), evenals de bepalingen over de rechten van betrokkenen (zie punt 5.2 hieronder). Deze informatie moet actueel zijn en op duidelijke, begrijpelijke en transparante wijze aan de betrokkenen worden gepresenteerd 18 . De informatie moet volledig worden verstrekt; een samenvatting is niet voldoende. Bovendien moet in de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken worden aangegeven op welke wijze deze informatie zal worden verstrekt. Er kan bijvoorbeeld worden verklaard dat ten minste de delen van de voorschriften waarvoor een informatieplicht bestaat ten aanzien van betrokkenen (zoals beschreven in de voorgaande punten) zullen worden

gepubliceerd op internet of intranet (wanneer de betrokkenen alleen het personeel van de groep omvatten dat toegang heeft tot het intranet). Indien de groep van plan is de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken niet volledig bekend te maken maar alleen bepaalde delen of een specifieke versie voor betrokkenen te publiceren, moet in de voorschriften uitdrukkelijk de lijst worden opgenomen van de elementen die in de openbare versie aan bod zullen komen. In dat geval moet de beschrijving van de materiële werkingssfeer van de voorschriften 19 altijd deel uitmaken van de openbaar beschikbare informatie. Ook de lijst van definities (zie punt 9.1 hieronder) en, in voorkomend geval, afkortingen die in de bindende bedrijfsvoorschriften worden gebruikt, moet in ieder geval worden opgenomen in de voor publicatie bestemde delen van de voorschriften. De voorschriften moeten hiertoe een uitdrukkelijke verbintenis bevatten. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten in duidelijke en eenvoudige bewoordingen worden gesteld, zodat ze begrijpelijk zijn

19 Zie punt 2.1 hieronder.

			voor de werknemers en alle andere personen die met de toepassing van de voorschriften zijn belast. Hetzelfde geldt voor alle delen/versies van de voorschriften die zullen worden gepubliceerd met het oog op toegang voor betrokkenen.
2 - TOEPASSINGSGEBIED VAN DE BINDENDE BEDRIJFSVOORSCHRIFTEN	2 - TOEPASSINGSGEBIED VAN DE BINDENDE BEDRIJFSVOORSCHRIFTEN	2 - TOEPASSINGSGEBIED VAN DE BINDENDE BEDRIJFSVOORSCHRIFTEN	2 - TOEPASSINGSGEBIED VAN DE BINDENDE BEDRIJFSVOORSCHRIFTEN	2 - TOEPASSINGSGEBIED VAN DE BINDENDE BEDRIJFSVOORSCHRIFTEN	2 - TOEPASSINGSGEBIED VAN DE BINDENDE BEDRIJFSVOORSCHRIFTEN
2.1 Beschrijving van de materiële JA werkingssfeer van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken	JA	Artikel 47,	Met het oog op transparantie moet in de lid 2, punt b), bindende bedrijfsvoorschriften de materiële werkingssfeer van die voorschriften worden afgebakend en moet er dus een beschrijving van de doorgiften in worden opgenomen. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten met name per doorgifte of reeks doorgiften2° de volgende aspecten specificeren (bijvoorbeeld aan de hand van een tabel): - de categorieën persoonsgegevens, -het soort verwerking en de doeleinden ervan; - de categorieën betrokkenen (bijv. gegevens met betrekking tot werknemers, klanten, leveranciers

				en andere derden in het kader van de respectieve reguliere bedrijfsactiviteiten van de groep), en - het derde land of de derde landen. Wat de betrokkenen betreft, zijn de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken van toepassing op alle betrokkenen wier persoonsgegevens binnen het toepassingsgebied van die voorschriften worden doorgegeven vanuit een entiteit die onder hoofdstuk V AVGvalt. Daarom kan het toepassingsgebied van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken in het bijzonder mogelijk niet beperkt zijn tot 'EER - burgers of ingezetenen van de EER'.
2.2 Lijst van door de voorschriften gebonden leden en beschrijving van de geografische reikwijdte van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken	JA	JA	Artikel 47, lid 2, punt a), AVG	In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten de structuur en de contactgegevens van de groep en van elk van de door de voorschriften gebonden leden daarvan worden vermeld (de contactgegevens van de leden - zoals hun adres en registratienummer, in voorkomend geval - moeten worden opgenomen in de ledenlijst die deel uitmaakt van de voorschriften, bijvoorbeeld in een bijlage daarbij die samen met de voorschriften wordt gepubliceerd). In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet

				worden gepreciseerd dat de voorschriften ten minste van toepassing zijn op alle persoonsgegevens die aan door de voorschriften gebonden leden buiten de EER worden doorgegeven en op verdere doorgiften aan andere leden buiten de EER.
3 - DOELTREFFENDHEID	3 - DOELTREFFENDHEID	3 - DOELTREFFENDHEID	3 - DOELTREFFENDHEID	3 - DOELTREFFENDHEID	3 - DOELTREFFENDHEID	3 - DOELTREFFENDHEID
3.1 opleidingsprogramma	Geschikt	JA	JA	Artikel 47, AVG	In de bindende bedrijfsvoorschriften voor lid 2, punt n), verwerkingsverantwoordelijken moet worden aangegeven dat er passende en actuele opleidingen over die voorschriften worden gegeven aan personeel dat permanent of regelmatig toegang heeft tot persoonsgegevens en dat betrokken is bij het verzamelen van gegevens of het ontwikkelen van instrumenten die worden gebruikt om persoonsgegevens te verwerken. Het opleidingsprogramma en het bijbehorende lesmateriaal moeten voldoende zijn ontwikkeld voordat de bindende bedrijfsvoorschriften worden goedgekeurd. In dit verband moet eraan worden herinnerd dat er geen gegevens krachtens de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken kunnen worden doorgegeven aan een door die voorschriften gebonden lid tenzij dat lid doeltreffend door de voorschriften gebonden is en de naleving ervan kan garanderen (zie punt 7.1), wat onder meer

				inhoudt dat er op doeltreffende wijze passende opleiding over de voorschriften kan worden gegeven aan de werknemers van het voornoemde lid. De opleidingsintervallen moeten in de voorschriften worden beschreven. De opleiding moet onder andere betrekking hebben op de procedures voor het beheer van verzoeken om toegang tot persoonsgegevens door overheidsinstanties. De toezichthoudende autoriteiten die de bindende bedrijfsvoorschriften beoordelen, kunnen in de loop van de aanvraagprocedure om voorbeelden van en toelichtingen op het opleidingsprogramma vragen.
3.2 Klachtenafhandelingsprocedure voor de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken	JA	NEE	Artikel 47, lid 2, punt i), en artikel 12, lid 3, AVG	Er moet een interne klachtenafhandelingsprocedure worden ingesteld in de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken om te waarborgen dat alle betrokkenen hun rechten kunnen uitoefenen en een klacht kunnen indienen over elk door de voorschriften gebonden lid. De bindende bedrijfsvoorschriften (of, naargelang van het geval, de delen daarvan die ter attentie van betrokkenen worden gepubliceerd, zie rubriek 1.7 hierboven) moeten één of meerdere contactpunten

vaststellen waar betrokkenen een klacht kunnen indienen met betrekking tot de verwerking van hun persoonsgegevens uit hoofde van die voorschriften. Er moet een fysiek adres worden opgegeven. Daarnaast kunnen er nog andere contactmogelijkheden worden aangeboden, zoals webformulieren, een algemeen e- mailadres en/of een telefoonnummer. Betrokkenen worden aangemoedigd om de aangegeven contactpunten te gebruiken, maar dat is niet verplicht. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten de verplichting bevatten om de indiener van een klacht onverwijld, en in ieder geval binnen één maand, informatie te verstrekken over de maatregelen die zijn genomen door een duidelijk geïdentificeerde afdeling of persoon met een passend niveau van onafhankelijkheid bij de uitoefening van hun taken. Naargelang de complexiteit van het verzoek en het aantal te behandelen verzoeken kan de voornoemde termijn van één maand met maximaal twee extra maanden worden verlengd. In dat geval moet de indiener van de klacht van die verlenging in kennis worden gesteld. De bindende bedrijfsvoorschriften (of, naargelang van het geval, de delen daarvan

die ter attentie van betrokkenen worden gepubliceerd, zie rubriek 1.7 hierboven) moeten informatie bevatten over de praktische stappen waaruit de klachtenprocedure bestaat, en met name over het antwoord op de volgende vragen: - Waar kunnen klachten worden ingediend (contactpunt(en); zie hierboven)? - In welke vorm kunnen klachten worden ingediend? - Wat zijn de gevolgen van vertraging voor het antwoord op de klacht? - Welke gevolgen heeft een eventuele afwijzing van de klacht? - Wat zijn de gevolgen als de klacht als gegrond wordt beschouwd? - Wat zijn de mogelijkheden als de betrokkene ontevreden is met het antwoord? Hierbij gaat het om het recht om beroep in te stellen bij de bevoegde rechtbank of een klacht in te dienen bij een toezichthoudende autoriteit (zie punt 1.3.2 hierboven), waarbij moet worden verduidelijkt dat dit recht niet onderworpen is aan de voorwaarde dat de betrokkene eerst beroep heeft gedaan op de klachtenbehandelingsprocedure.

3.3 Controleprogramma voor de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken	JA	NEE	Artikel 47, lid 2, punten j) l), artikel 38, lid 3, AVG	en en In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet de groep de verplichting worden opgelegd om (door interne en/of externe geaccrediteerde controleurs) gegevensbeschermingscontroles te laten uitvoeren, zowel op periodieke basis als wanneer er aanwijzingen van niet-naleving zijn, om zo te waarborgen dat de naleving van de voorschriften wordt gecontroleerd. In de bindende bedrijfsvoorschriften moet de frequentie van die controles worden vastgesteld, op basis van de risico's die de onder die voorschriften vallende verwerkingsactiviteiten opleveren voor de rechten en vrijheden van betrokkenen. Naast de periodieke controles kunnen er ook specifieke controles (ad-hoccontroles) worden aangevraagd door de privacyfunctionaris of -functie (zie punt 3.4 hieronder) of een andere bevoegde functie in de organisatie. Indien de controles worden toevertrouwd aan externe controleurs, moet in de voorschriften worden aangegeven onder welke voorwaarden dat mogelijk is. Er moet worden vermeld welke entiteit (afdeling binnen de groep) beslist over het controleplan/-programma en welke entiteit de controle verricht. Functionarissen voor gegevensbescherming mogen niet

verantwoordelijk worden gesteld voor het controleren van de naleving van de voorschriften indien dat tot een belangenconflict kan leiden. Beslissingen over het controleplan/-programma en/of het verrichten van controles kunnen bijvoorbeeld worden toevertrouwd aan controleafdelingen, maar andere geschikte oplossingen kunnen ook aanvaardbaar zijn, op voorwaarde dat: - de met deze taken belast personen hun controleactiviteiten gegarandeerd onafhankelijk kunnen uitvoeren, en - de voorschriften hiertoe een uitdrukkelijke verbintenis bevatten. In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet worden vermeld dat het controleprogramma alle aspecten van die voorschriften omvat (zoals aanvragen, IT- systemen, databases voor de verwerking van persoonsgegevens of verdere doorgiften, besluiten inzake verplichte vereisten uit hoofde van nationaal recht die in strijd zijn met de voorschriften, toetsing van de contractuele voorwaarden die worden gebruikt voor de doorgifte van gegevens vanuit de groep aan verwerkingsverantwoordelijken of verwerkers, corrigerende maatregelen enz.), met inbegrip van methoden en actieplannen

om te waarborgen dat corrigerende maatregelen worden uitgevoerd. Het is niet verplicht om bij elke controle van een door de voorschriften gebonden lid alle aspecten van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken te controleren, zolang al die aspecten maar met passende regelmatige tussenpozen voor dat lid worden gecontroleerd. Bovendien moet in de bindende bedrijfsvoorschriften worden vermeld dat de controleresultaten zullen worden meegedeeld: - aan de privacyfunctionaris of -functie (zie punt 3.4 hieronder); - aan de raad van bestuur van het aansprakelijke lid, en - in voorkomend geval, ook aan het bestuur van de uiteindelijke moedermaatschappij van de groep. In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet worden bepaald dat bevoegde toezichthoudende autoriteiten op verzoek toegang kunnen krijgen tot de resultaten van de controle. Aangezien toezichthoudende autoriteiten bij de uitoefening van hun openbare functie

				sowieso al gebonden zijn aan een vertrouwelijkheidsverplichting (zie met name artikel 54, lid 2, AVG), mogen de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken de verplichting van alle door die voorschriften gebonden leden om controleresultaten aan de toezichthoudende autoriteiten mee te delen niet beperken om redenen van vertrouwelijkheid, bijvoorbeeld in verband met de bescherming van bedrijfsgeheimen.
3.4 Oprichting van een netwerk van functionarissen voor gegevensbescherming of andere geschikte personeelsleden om toezicht te houden op de naleving van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken	JA	NEE	Artikel 47, lid 2, punt h), en artikel 38, lid 3, AVG	In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet de verbintenis worden neergelegd om, voor zover dit vereist is uit hoofde van artikel 37 AVG, een functionaris voor gegevensbescherming aan te wijzen of om het even welke andere persoon of entiteit (zoals een hoofdverantwoordelijke voor privacy) te belasten met het toezicht op de naleving van die voorschriften. De aangewezen persoon of entiteit wordt bij de uitvoering van die taak gesteund door het topmanagement. De functionaris voor gegevensbescherming of de andere privacyverantwoordelijken kunnen worden bijgestaan door een team of een netwerk van lokale functionarissen voor gegevensbescherming of lokale contactpersonen, naargelang van het geval (hierna: ' privacyfunctionaris of -functie ').

De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan het topmanagement. Daarnaast kan de functionaris voor gegevensbescherming het topmanagement op de hoogte brengen als er tijdens de uitvoering van de taken vragen of problemen rijzen. In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet een korte beschrijving worden opgenomen van de interne structuur, rol, positie en taken van de functionaris voor gegevensbescherming of vergelijkbare functie en het netwerk dat is opgezet om naleving van de voorschriften te waarborgen. Zo kan er worden aangegeven dat de functionaris voor gegevensbescherming of de hoofdverantwoordelijke voor privacy het topmanagement informeert en adviseert, onderzoeken van bevoegde toezichthoudende autoriteiten behandelt, toezicht houdt op de naleving op mondiaal niveau en daarover jaarlijks verslag uitbrengt, alsook dat lokale functionarissen voor gegevensbescherming of lokale contactpersonen kunnen worden belast met de afhandeling van lokale klachten van betrokkenen, de melding van belangrijke privacyproblemen aan de functionaris voor gegevensbescherming en het toezicht op opleiding en naleving op lokaal niveau.

		De functionaris voor gegevensbescherming mag geen taken krijgen die tot een belangenconflict kunnen leiden.De functionaris voor gegevensbescherming mag niet verantwoordelijk zijn voor het uitvoeren van de gegevensbeschermingseffectbeoordelingen of controles in verband met de voorschriften als dat een belangenconflict kan opleveren. De functionaris voor gegevensbescherming kan evenwel een zeer belangrijke en nuttige rol spelen bij het bijstaan van de door de voorschriften gebonden leden, en voor de voornoemde taken moet het advies van deze functionaris worden ingewonnen. Er moet in de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken worden aangegeven dat er rechtstreeks contact mag worden opgenomen met de functionaris voor gegevensbescherming of andere privacyverantwoordelijken. De voorschriften moeten de toezegging bevatten dat de contactgegevens van deze personen of entiteiten zullen worden gepubliceerd.
4 - SAMENWERKINGSPLICHT	4 - SAMENWERKINGSPLICHT	4 - SAMENWERKINGSPLICHT	4 - SAMENWERKINGSPLICHT	4 - SAMENWERKINGSPLICHT	4 - SAMENWERKINGSPLICHT
4.1 Verplichting tot samenwerking JA met bevoegde toezichthoudende autoriteiten	NEE	Artikel 47, In de bindende bedrijfsvoorschriften voor lid 2, punt I),	verwerkingsverantwoordelijken moeten alle door die voorschriften gebonden leden artikel 31 AVG duidelijk worden verplicht om:

samen te werken met de bevoegde toezichthoudende autoriteiten en te aanvaarden dat zij door die autoriteiten aan een controle worden onderworpen en, indien nodig, ter plaatse worden geïnspecteerd; - rekening te houden met het advies van die autoriteiten, en - zich te houden aan de besluiten van deze toezichthoudende autoriteiten over alle mogelijke kwesties in verband met de bindende bedrijfsvoorschriften. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten de verplichting omvatten om de bevoegde toezichthoudende autoriteiten op verzoek alle informatie verstrekken over de onder die voorschriften vallende verwerkingsactiviteiten. Aangezien toezichthoudende autoriteiten bij de uitoefening van hun openbare functie sowieso al gebonden zijn aan een vertrouwelijkheidsverplichting (zie met name artikel 54, lid 2, AVG), kunnen de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken de verplichting van alle door die voorschriften gebonden leden om hun samenwerking te verlenen aan de toezichthoudende autoriteiten, het advies van die autoriteiten

	in acht te nemen en te aanvaarden dat zij door die autoriteiten worden gecontroleerd en geinspecteerd, waar nodig ter plaatse, niet beperken om redenen van vertrouwelijkheid, bijvoorbeeld in verband met de bescherming van bedrijfsgeheimen. Bij de voorschriften kunnen geen grenzen worden opgelegd aan de verplichting tot samenwerking met de bevoegde toezichthoudende autoriteiten, noch aan de bevoegdheden van die autoriteiten, met name wat de praktische voorwaarden van de door deze autoriteiten uitgevoerde controles betreft (zo zijn die controles niet beperkt tot de kantooruren). In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet worden vastgelegd dat elk geschil in verband met het door de bevoegde toezichthoudende autoriteiten uitgeoefende toezicht op de naleving van die voorschriften zal worden beslecht door de rechtbanken van de lidstaat van de betrokken toezichthoudende autoriteit, overeenkomstig het procesrecht van die lidstaat. De aan de voorschriften gebonden leden stemmen ermee in de rechtsbevoegdheid van deze rechtbanken te erkennen.
5 - WAARBORGEN INZAKE GEGEVENSBESCHERMING	5 - WAARBORGEN INZAKE GEGEVENSBESCHERMING	5 - WAARBORGEN INZAKE GEGEVENSBESCHERMING	5 - WAARBORGEN INZAKE GEGEVENSBESCHERMING	5 - WAARBORGEN INZAKE GEGEVENSBESCHERMING

5.1.1 Beschrijving van de gegevensbeschermingsbeginselen	JA	NEE	Artikel 47, lid 2, punt d), en artikel 5 AVG	De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten uitdrukkelijk de volgende beginselen vermelden en beschrijven die de door die voorschriften gebonden leden moeten naleven. Deze beginselen moeten voldoende uitvoerig worden vastgelegd in overeenstemming met de inhoud van de beginselen volgens de AVG. In de voorschriften mogen geen algemene beperkingen worden opgelegd aan de toepassing van deze beginselen (bijv. via vooraf bepaalde lijsten van hogere belangen). Beperkingen kunnen enkel per geval worden toegepast en, waar van toepassing, in overeenstemming met de transparantievereisten. i. Transparantie, billijkheid en rechtmatigheid (zie punt 5.1.2 hieronder) van de verwerking van persoonsgegevens, bijzondere categorieën van gegevens en gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten (zie artikel 5, lid 1, punt a), en de artikelen 6, 9 en 10 AVG); ii. doelbinding (zie artikel 5, lid 1, punt b), AVG);

				iii. minimale gegevensverwerking en juistheid van gegevens (zie artikel 5, lid 1, punten c) en d), AVG); iv. beperkte bewaartermijnen (zie artikel 5, lid 1, punt e), AVG); v. beveiliging (integriteit en vertrouwelijkheid, zie punt 5.1.3 hieronder alsmede artikel 5, lid 1, punt f), AVG), en vi. verdere doorgifte (zie punt 5.1.4 hieronder alsmede hoofdstuk V AVG).
5.1.2 Rechtmatigheid van verwerking	de JA	NEE	Artikel 47, lid 2, punt d), artikel 5, lid 1, punt a), en de artikelen 6 en 9 AVG	In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet een volledige lijst worden opgenomen van alle rechtsgrondslagen voor verwerking waarop de door die voorschriften gebonden leden zich willen beroepen. Er kan alleen gebruik worden gemaakt van de rechtsgrondslagen die worden vermeld in artikel 6, leden 1 en 3, AVG of die zijn verankerd in de wetgeving van de Unie of de lidstaten, zoals toegestaan door de AVG 21 .

				De verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten is verboden, tenzij de uitzonderingen van artikel 10 AVG van toepassing zijn.
5.1.3 Beveiliging en de melding van inbreuken in verband met persoonsgegevens	JA	NEE	Artikel 47, lid 2, punt d), en de artikelen 32 tot en met 34 AVG	De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten een toezegging bevatten om passende technische en organisatorische maatregelen te nemen ter waarborging van een beveiligingsniveau dat is afgestemd op de relevante risico's voor de rechten en vrijheden van natuurlijke personen (zie artikel 5, punt f), en artikel 32 AVG). Het is niet verplicht om de bewoordingen uit de AVG-bepalingen te kopiëren. Deze verplichtingen moeten echter wel voldoende uitvoerig worden vastgelegd in overeenstemming met de inhoud van de AVG-bepalingen. De voorschriften moeten de verplichting opleggen om: - onverwijld alle inbreuken in verband met persoonsgegevens aan het aansprakelijke lid en de relevante privacyfunctionaris of -functie te melden, alsook aan het lid dat optreedt als verwerkingsverantwoordelijke, zodra een door de voorschriften gebonden lid dat optreedt als

verwerker kennis krijgt van een dergelijke inbreuk; - onverwijld en, waar mogelijk, uiterlijk 72 uur nadat kennis is genomen van een inbreuk in verband met persoonsgegevens, de bevoegde toezichthoudende autoriteit hiervan op de hoogte te stellen, tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen; - onverwijld de betrokkenen te informeren van inbreuken in verband met persoonsgegevens die waarschijnlijk een hoog risico inhouden voor hun rechten en vrijheden, in overeenstemming met de vereisten van artikel 34 AVG. Bovendien moet elke inbreuk in verband met persoonsgegevens worden gedocumenteerd (met inbegrip van de feitelijke omstandigheden van die inbreuk, de gevolgen ervan en de genomen corrigerende maatregelen) en moet die documentatie op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit worden gesteld (zie de artikelen 33 en 34 AVG).

5.1.4 Beperkingen op verdere doorgifte	JA	NEE	Artikel 47, lid 2, punt d), en artikel 44 AVG	In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet worden vastgesteld dat persoonsgegevens die in het kader van die voorschriften zijn doorgegeven, alleen aan niet door die voorschriften gebonden verwerkers en verwerkingsverantwoordelijken buiten de EER mogen worden overgelegd 22 indien er aan de voorwaarden voor doorgifte uit hoofde van de artikelen 44 tot en met 46 AVG is voldaan, zodat het door de AVG gewaarborgde niveau van bescherming van natuurlijke personen niet in het gedrang komt. Bij gebrek aan een adequaatheidsbesluit of passende waarborgen kan in de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken een bepaling worden opgenomen uit hoofde waarvan verdere doorgifte bij wijze van uitzondering kan plaatsvinden als er een afwijking van toepassing is overeenkomstig artikel 49 AVG.
5.2 Rechten van betrokkenen	JA	NEE	Artikel 47, lid 2, punt e), alsook de artikelen 12 tot en met 19, 21 en 22 AVG	De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten voor betrokkenen voorzien in het recht op informatie, inzage, rectificatie, wissing en beperking, het recht op kennisgeving met betrekking tot rectificatie, wissing of beperking, het recht om bezwaar te maken tegen verwerking en het recht om niet te

				worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit, en wel op dezelfde wijze als is neergelegd in de artikelen 12 tot en met 19, 21 en 22 AVG. Het is niet verplicht omdebewoordingen uit de voornoemde AVG-bepalingen te kopiëren. Deze rechten moeten echter wel voldoende uitvoerig worden vastgelegd in overeenstemming met de inhoud van de AVG-bepalingen.
5.3 Verantwoordingsplicht en andere instrumenten	JA	NEE	Artikel 47, lid 2, punt d), alsook de artikelen 30, 35 en 36 AVG	Elk door de voorschriften gebonden lid dat optreedt als verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de bindende bedrijfsvoorschriften en moet die naleving kunnen aantonen (zie artikel 5, lid 2, en artikel 24 AVG). De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten een verbintenis bevatten om overeenkomsten te sluiten met alle interne en externe verwerkers, vergezeld van een nadere omschrijving van de inhoud van die overeenkomsten zoals bepaald in artikel 28, lid 3, AVG, met inbegrip van de verplichting om de instructies van de verwerkingsverantwoordelijke te volgen en passende technische en organisatorische maatregelen te treffen. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten

voorschrijven dat de door die voorschriften gebonden leden ter staving van de naleving een register bijhouden van alle categorieën verwerkingsactiviteiten die met betrekking tot in het kader van deze voorschriften doorgegeven persoonsgegevens worden uitgevoerd. De inhoud van het register moet in de voorschriften worden gespecificeerd overeenkomstig de vereisten van artikel 30, lid 1 (voor verwerkingsverantwoordelijken), en artikel 30, lid 2 (voor verwerkers) AVG. Het voornoemde register moet schriftelijk worden bijgehouden, onder meer in elektronische vorm, en moet op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit worden gesteld. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten een verbintenis bevatten tot de uitvoering van gegevensbeschermingseffectbeoordelingen voor de verwerking van in het kader van deze voorschriften doorgegeven persoonsgegevens die waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengen (zie artikel 35 AVG). Wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat verwerking een hoog risico zou opleveren en de verwerkingsverantwoordelijke geen maatregelen heeft genomen om dit risico te

				beperken, moet het als verwerkingsverantwoordelijke optredende lid voorafgaand aan de verwerking de bevoegde toezichthoudende autoriteit raadplegen (zie artikel 36 AVG). De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten voorzien in de toepassing van passende technische en organisatorische maatregelen omdegegevensbeschermingsbeginselen ten uitvoer te leggen en de naleving van de vereisten van die voorschriften in de praktijk te bevorderen (gegevensbescherming door ontwerp en door standaardinstellingen - zie artikel 25 AVG).
5.4.1 Lokale wetten en praktijken met gevolgen voor de naleving van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken 23	JA	NEE	Artikel 47, lid 2, punt m), AVG	In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet duidelijk worden vastgelegd dat de daardoor gebonden leden deze voorschriften alleen als instrument voor doorgifte zullen gebruiken als zij zich ervan hebben vergewist dat de wetten en praktijken die in het derde land van bestemming van toepassing zijn op de verwerking van persoonsgegevens door het als gegevensimporteur optredende lid, met inbegrip van vereisten voor het verstrekken van persoonsgegevens of maatregelen voor toegang door

overheidsinstanties, dit lid niet beletten om zijn verplichtingen uit hoofde van deze bindende bedrijfsvoorschriften na te komen. In de voorschriften moet voorts worden gespecificeerd dat deze verbintenis uitgaat van de veronderstelling dat wetten en praktijken die de essentie van de grondrechten en fundamentele vrijheden eerbiedigen en niet verder gaan dan wat in een democratische samenleving noodzakelijk en evenredig is 24 om één van de in artikel 23, lid 1, AVG vermelde doelstellingen te waarborgen, niet in strijd zijn met de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken. In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet ook worden bepaald dat de door die voorschriften gebonden leden bij de beoordeling van de wetten en praktijken van het derde land die van invloed kunnen zijn op de naleving van de in de voorschriften opgenomen verplichtingen, met name rekening hebben gehouden met de volgende elementen: i. de specifieke omstandigheden van de doorgifte of reeks doorgiften en eventuele geplande verdere doorgiften

binnen hetzelfde derde land of naar een ander derde land, met inbegrip van: - de doeleinden waarvoor de gegevens worden doorgegeven en verwerkt (bijv. marketing, personeelszaken, opslag, IT- ondersteuning, klinische proeven), - de soorten entiteiten die bij de verwerking betrokken zijn (de gegevensimporteur en elke andere ontvanger van verdere doorgiften), - de economische sector waarin de doorgifte of reeks doorgiften plaatsvindt, - de categorieën en het formaat van de doorgegeven persoonsgegevens, - de locatie van de verwerking, inclusief opslag, en - de gebruikte doorgiftekanalen; ii. de wetten en praktijken van het derde land van bestemming die van belang zijn in het kader van de omstandigheden van de doorgifte 25 , met inbegrip van wetten en praktijken die de openbaarmaking van gegevens aan overheidsinstanties voorschrijven of inzage door deze

instanties toestaan, evenals wetten en praktijken die voorzien in toegang tot deze gegevens bij doorvoer tussen het land van de gegevensexporteur en het land van de gegevensimporteur, alsmede de toepasselijke beperkingen en waarborgen 26 ; iii. alle relevante contractuele, technische of organisatorische waarborgen die zijn ingesteld in aanvulling op de waarborgen uit hoofde van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken, waaronder maatregelen die worden toegepast tijdens de toezending en op de verwerking van de persoonsgegevens in het land van bestemming. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten ook bepalen dat, wanneer er in aanvulling op de waarborgen in die voorschriften in bijkomende maatregelen moet worden

26 Met betrekking tot het effect van dergelijke wetten en praktijken op de naleving van de bindende bedrijfsvoorschriften, kunnen verschillende elementen in overweging worden genomen in het kader van een algemene beoordeling. Het kan hierbij gaan om relevante en gedocumenteerde praktijkervaring met eerdere gevallen van verzoeken om verstrekking van overheidsinstanties, of het ontbreken van dergelijke verzoeken, gedurende een voldoende representatief tijdsbestek. Dit heeft met name betrekking op interne registers of andere documenten die doorlopend en met de nodige zorgvuldigheid zijn opgesteld en op seniormanagementniveau zijn gecertificeerd, mits deze informatie rechtmatig met derde partijen kan worden gedeeld. Indien van deze praktijkervaring wordt uitgegaan om te concluderen dat de gegevensimporteur niet gehinderd zal worden om de bindende bedrijfsvoorschriften na te leven, moet die ervaring worden ondersteund door andere relevante objectieve elementen en dienen de partijen bij de bindende bedrijfsvoorschriften zorgvuldig na te gaan of deze elementen wat de betrouwbaarheid en representativiteit ervan betreft samen voldoende gewicht in de schaal leggen om deze conclusie te ondersteunen. De door de voorschriften gebonden leden moeten er met name rekening mee houden of hun praktijkervaring wordt bevestigd en niet wordt tegengesproken door openbaar beschikbare of anderszins toegankelijke betrouwbare informatie over het bestaan of het ontbreken van verzoeken binnen dezelfde sector en/of de toepassing van het recht in de praktijk, zoals jurisprudentie en verslagen van onafhankelijke toezichthoudende organen.

voorzien, de aansprakelijke leden en de relevante privacyfunctionaris of -functie daarvan in kennis zullen worden gesteld en bij de bijbehorende beoordeling zullen worden betrokken. De door de voorschriften gebonden leden moeten ook worden verplicht om die beoordeling, evenals de gekozen en uitgevoerde aanvullende maatregelen, naar behoren te documenteren en die documentatie op verzoek ter beschikking van de bevoegde toezichthoudende autoriteiten te stellen. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken dienen elk door die voorschriften gebonden lid dat als gegevensimporteur optreedt - zolang het partij is bij de bindende bedrijfsvoorschriften - te verplichten de gegevensexporteur onverwijld in kennis te stellen indien het bij gebruik van de voorschriften als instrument voor doorgifte redenen heeft om aan te nemen dat het onderhevig of onderworpen is aan wetten of praktijken die het voor dat lid onmogelijk maken om zijn verplichtingen uit hoofde van de voorschriften na te komen, onder meer na wijziging van de wetgeving in het derde land of na de uitvoering van een maatregel (zoals een verzoek tot openbaarmaking). Deze informatie moet

ook worden verstrekt aan de aansprakelijke leden. Na verificatie van deze kennisgeving dient het door de voorschriften gebonden lid dat optreedt als gegevensexporteur, samen met de aansprakelijke leden en de relevante privacyfunctionaris of -functie, zich ertoe te verbinden onmiddellijk aanvullende maatregelen vast te stellen (bijv. technische of organisatorische maatregelen ter waarborging van de veiligheid en vertrouwelijkheid) die moeten worden genomen door de door de voorschriften gebonden leden die optreden als gegevensexporteur en/of gegevensimporteur, zodat zij hun verplichtingen uit hoofde van de bindende bedrijfsvoorschriften kunnen nakomen. Hetzelfde geldt indien een door de voorschriften gebonden lid dat als gegevensexporteur optreedt redenen heeft om aan te nemen dat een lid dat gegevens importeert zijn verplichtingen uit hoofde van de voorschriften niet langer kan nakomen. Wanneer het door de voorschriften gebonden lid dat als gegevensexporteur optreedt, samen met de aansprakelijke leden en de relevante privacyfunctionaris of -functie, van oordeel is dat de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken - zelfs indien er aanvullende maatregelen worden

genomen - niet kunnen worden nageleefd bij een bepaalde doorgifte of reeks doorgiften, of indien de bevoegde toezichthoudende autoriteiten daartoe opdracht geven, verbindt het lid in kwestie zich ertoe de betrokken doorgifte of reeks doorgiften op te schorten, evenals alle doorgiften waarvoor dezelfde beoordeling en redenering tot een soortgelijke conclusie zouden leiden, totdat de naleving opnieuw gewaarborgd is of de doorgifte wordt beëindigd. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken dienen het door die voorschriften gebonden lid dat als gegevensexporteur optreedt te verplichten om na een dergelijke opschorting de doorgifte of reeks doorgiften te beëindigen als de voorschriften niet kunnen worden nageleefd en die naleving niet binnen één maand na de opschorting wordt hersteld. In dat geval moeten alle persoonsgegevens die voorafgaand aan de opschorting zijn doorgegeven, evenals eventuele kopieën daarvan, naar keuze van het door de voorschriften gebonden lid dat als gegevensexporteur optreedt ofwel aan dat lid worden teruggegeven ofwel volledig worden vernietigd. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten de aansprakelijke leden en de relevante

				privacyfunctionaris of -functie ertoe verplichten alle andere door de voorschriften gebonden leden op de hoogte te brengen van de uitgevoerde beoordeling en de resultaten ervan, zodat de vastgestelde aanvullende maatregelen ook worden toegepast bij hetzelfde soort overdrachten door een ander lid of, indien er geen doeltreffende aanvullende maatregelen konden worden genomen, de overdrachten in kwestie worden opgeschort of beëindigd. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten de verplichting voor gegevensexporteurs omvatten omdoorlopend en in voorkomend geval in samenwerking met de gegevensimporteurs de ontwikkelingen in de derde landen waaraan de gegevensimporteurs persoonsgegevens hebben doorgegeven te volgen die van invloed kunnen zijn op de aanvankelijke beoordeling van het beschermingsniveau en de dienovereenkomstig genomen besluiten inzake dergelijke doorgiften.
5.4.2 Verplichtingen van de gegevensimporteur in geval van verzoeken om toegang van de overheid	JA	NEE	Artikel 47, lid 2, punt m), AVG	Onverminderd de verplichting van het door de voorschriften gebonden lid dat optreedt als gegevensimporteur om de gegevensexporteur in kennis te stellen als het niet langer in staat is om zijn verplichtingen uit hoofde van de bindende bedrijfsvoorschriften na te komen (zie

punt 5.4.1 hierboven), moeten de voorschriften ook de volgende verbintenissen bevatten: i. Het door de voorschriften gebonden lid dat optreedt als gegevensimporteur brengt de gegevensexporteur en, waar mogelijk, de betrokkene onverwijld op de hoogte (indien nodig met de hulp van de gegevensexporteur) wanneer het: a) een wettelijk bindend verzoek ontvangt van een overheidsinstantie krachtens de wetgeving van het land van bestemming of een ander derde land tot openbaarmaking van persoonsgegevens die op grond van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken zijn doorgegeven; deze kennisgeving bevat informatie over de gevraagde persoonsgegevens, de verzoekende instantie, de rechtsgrondslag voor het verzoek en het gegeven antwoord; b) gewaar wordt dat een overheidsinstantie zich krachtens de wetgeving van het land van

bestemming rechtstreeks toegang heeft verschaft tot persoonsgegevens die op grond van de voorschriften zijn doorgegeven; deze kennisgeving bevat alle informatie waarover de gegevensimporteur beschikt. ii. In geval van een verbod op kennisgeving aan de gegevensexporteur en/of de betrokkene, stelt de gegevensimporteur alles in het werk om een opheffing van dit verbod te verkrijgen, zodat er zo snel mogelijk zo veel mogelijk informatie kan worden doorgegeven. De importeur documenteert de daartoe geleverde inspanningen zodat hiervan op verzoek van de gegevensexporteur bewijs kan worden geleverd. iii. De gegevensimporteur verstrekt het door de voorschriften gebonden lid dat optreedt als gegevensexporteur regelmatig zo veel mogelijk relevante informatie over ontvangen verzoeken (met name wat betreft het aantal verzoeken, het soort opgevraagde gegevens, de verzoekende autoriteit(en), de vraag of verzoeken zijn aangevochten en het resultaat daarvan enz.). Indien het de gegevensimporteur geheel of

gedeeltelijk is of wordt verboden om de voornoemde informatie aan de gegevensexporteur te verstrekken, stelt hij de gegevensexporteur daarvan onverwijld in kennis. iv. De gegevensimporteur bewaart de voornoemde informatie zolang de persoonsgegevens onderworpen zijn aan de in de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken opgenomen waarborgen, en stelt deze op verzoek ter beschikking van de bevoegde toezichthoudende autoriteiten. v. De gegevensimporteur toetst de wettigheid van het verzoek tot openbaarmaking, met name door na te gaan of het binnen de aan de verzoekende overheidsinstantie toegekende bevoegdheden blijft, en betwist het verzoek indien hij na een zorgvuldige beoordeling tot de conclusie komt dat er redelijke gronden zijn om aan te nemen dat het verzoek onwettig is krachtens de wetgeving van het land van bestemming, toepasselijke verplichtingen uit hoofde van het internationaal recht en beginselen van internationale courtoisie.

Onder dezelfde omstandigheden benut de gegevensimporteur de beroepsmogelijkheden. Bij het betwisten van een verzoek neemt de gegevensimporteur voorlopige maatregelen om de effecten van het verzoek op te schorten totdat de bevoegde rechterlijke instantie over de gegrondheid ervan heeft beslist. Hij verstrekt de gevraagde persoonsgegevens pas wanneer dat volgens de toepasselijke procedurevoorschriften moet gebeuren. vi. De gegevensimporteur tekent de juridische beoordeling en eventuele betwistingen van het verzoek om verstrekking op en stelt, voor zover dit is toegestaan krachtens de wetgeving van het land van bestemming, de documentatie ter beschikking van de gegevensexporteur. De importeur stelt die documentatie op verzoek ook ter beschikking van de bevoegde toezichthoudende autoriteiten. vii. De gegevensimporteur verstrekt de toegestane minimale hoeveelheid informatie bij het beantwoorden van een verzoek tot openbaarmaking, op

				basis van een redelijke interpretatie van het verzoek. In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet in ieder geval worden vermeld dat door de voorschriften gebonden leden geen persoonsgegevens aan een overheidsinstantie mogen doorgeven op een omvangrijke, onevenredige en willekeurige wijze die verder gaat dan wat in een democratische samenleving noodzakelijk is?7 (wat de gevolgen van dergelijke gevallen betreft, zie punt 5.4.1 hierboven).
16 - BEËINDIGING
6.1 Beëindiging	JA	INEE	Artikel 70, AVG	IIn de bindende bedrijfsvoorschriften voor lid 1, punti), verwerkingsverantwoordelijken moet worden vastgesteld dat een als gegevensimporteur optredend lid dat niet langer door de voorschriften gebonden is, de in het kader van de voorschriften ontvangen persoonsgegevens mag bewaren, terugzenden of wissen. Indien de gegevensexporteur en de gegevensimporteur het erover eens zijn dat de gegevens door de gegevensimporteur

				mogen worden bewaard, moet de bescherming van die gegevens overeenkomstig hoofdstuk V AVG worden gehandhaafd.
7 - NIET-NALEVING	7 - NIET-NALEVING	7 - NIET-NALEVING	7 - NIET-NALEVING	7 - NIET-NALEVING	7 - NIET-NALEVING
7.1. Niet-naleving	JA	NEE	Artikel 70, AVG	De bindende bedrijfsvoorschriften voor lid 1, punt i),	verwerkingsverantwoordelijken moeten verbintenissen bevatten met betrekking tot de volgende verplichtingen: i. ii. iii. Er worden enkel gegevens doorgegeven aan leden die daadwerkelijk door de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken gebonden zijn en de naleving daarvan kunnen waarborgen. De gegevensimporteur moet de gegevensexporteur onverwijld in kennis stellen indien hij om welke reden dan ook - met inbegrip van de situaties die nader zijn beschreven in punt 5.4.1 - niet in staat is om aan de voorschriften te voldoen. Als de gegevensimporteur de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken schendt of niet kan naleven, moet de gegevensexporteur de doorgifte opschorten.

iv. De gegevensimporteur moet de in het kader van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken doorgegeven persoonsgegevens naar keuze van de gegevensexporteur onmiddellijk volledig teruggeven of wissen indien: - de gegevensexporteur de doorgifte heeft opgeschort en de naleving van de bindende bedrijfsvoorschriften niet binnen een redelijke termijn - maar in elk geval binnen één maand na de opschorting - kan worden hersteld, of - de gegevensimporteur verregaand of voortdurend inbreuk maakt op de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken, of - de gegevensimporteur een bindend besluit van een bevoegde rechtbank of bevoegde toezichthoudende autoriteit ten aanzien van zijn verplichtingen uit hoofde van de bindende bedrijfsvoorschriften voor

verwerkingsverantwoordelijken niet naleeft. Alle kopieën van de bedoelde gegevens moeten onder dezelfde verbintenissen vallen. De gegevensimporteur moet de wissing van de gegevens ten aanzien van de gegevensexporteur aantonen. Totdat de gegevens zijn gewist of teruggezonden, blijft de gegevensimporteur ervoor zorgen dat aan de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken wordt voldaan. In geval van lokaal recht dat op de gegevensimporteur van toepassing is en op basis waarvan teruggave of wissing van de doorgegeven persoonsgegevens verboden is, dient de gegevensimporteur te garanderen dat hij de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken zal blijven naleven en de gegevens alleen zal verwerken voor zover en zolang dat naar dat lokaal recht is vereist. Wat situaties betreft waarin de toepasselijke lokale wetten en/of praktijken de naleving van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken beïnvloeden, zie paragraaf 5.4.1 hierboven.

8 - MECHANISMEN VOOR HET MELDEN EN REGISTREREN VAN WIJZIGINGEN	8 - MECHANISMEN VOOR HET MELDEN EN REGISTREREN VAN WIJZIGINGEN	8 - MECHANISMEN VOOR HET MELDEN EN REGISTREREN VAN WIJZIGINGEN	8 - MECHANISMEN VOOR HET MELDEN EN REGISTREREN VAN WIJZIGINGEN	8 - MECHANISMEN VOOR HET MELDEN EN REGISTREREN VAN WIJZIGINGEN	8 - MECHANISMEN VOOR HET MELDEN EN REGISTREREN VAN WIJZIGINGEN
8.1 Procedure voor het bijwerken	JA van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken	NEE	Artikel 47, lid 2, punt k), AVG	De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten worden bijgewerkt om rekening te houden met de actuele situatie (bijvoorbeeld bij wijzigingen van het regelgevingskader, de onderhavige aanbevelingen van het EDPB of veranderingen in het toepassingsgebied van de voorschriften). Bij de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet de verplichting worden opgelegd om wijzigingen - met inbegrip van veranderingen in de lijst van door de voorschriften gebonden leden - onverwijld te melden aan alle partijen bij de bindende bedrijfsvoorschriften. In de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moet een persoon of een team/afdeling worden aangewezen voor het bijhouden van de volledig bijgewerkte lijst van alle door de voorschriften gebonden leden, het vastleggen van alle bijwerkingen van de voorschriften en het verschaffen van de nodige informatie aan betrokkenen en, op verzoek, aan bevoegde toezichthoudende autoriteiten.

Wijzigingen van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken die nadelig zouden kunnen zijn voor het niveau van de door de voorschriften geboden bescherming of deze aanzienlijk zouden kunnen beïnvloeden (bijv. in geval van wijzigingen in het bindende karakter van de voorschriften of wisseling van de aansprakelijke leden), moeten vooraf via de leidende toezichthoudende autoriteit voor de bindende bedrijfsvoorschriften aan de toezichthoudende autoriteiten worden meegedeeld, met een korte toelichting van de redenen voor de bijwerking in kwestie. In dat geval zullen de toezichthoudende autoriteiten ook beoordelen of de aangebrachte wijzigingen een nieuwe goedkeuring vereisen. Eenmaal per jaar dienen de toezichthoudende autoriteiten via de leidende toezichthoudende autoriteit in kennis te worden gesteld van alle wijzigingen in de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken of in de lijst met de door die voorschriften gebonden leden, met een korte toelichting van de redenen voor die wijzigingen. Dit omvat alle wijzigingen die zijn aangebracht om de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken in overeenstemming te brengen met een

				eventuele bijgewerkte versie van deze EDPB- aanbevelingen. De toezichthoudende autoriteiten moeten zelfs eenmaal per jaar in kennis worden gesteld wanneer er geen wijzigingen zijn aangebracht. Bij de jaarlijkse bijwerking of kennisgeving moet ook de bevestiging met betrekking tot activa opnieuw worden bekrachtigd (zie punt 1.5 hierboven). Het blijft de verantwoordelijkheid van de houder van de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken om deze voorschriften actueel te houden en te voldoen aan artikel 47 AVG en deze
9 - DEFINITIES
9.1 Lijst van definities	JA	NEE	Artikel 70, lid 1, punt i),	De aanvrager moet een lijst met definities in de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken opnemen. Die lijst moet de meest relevante termen bevatten. Voor zover de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken termen bevatten die in de AVG zijn gedefinieerd, mogen de gegeven definities daarvan niet verschillen van de in de AVG opgenomen definities. Met het oog op een betere

leesbaarheid moeten deze definities in de lijst worden overgenomen. Indien de termen 'gegevensexporteur' en 'gegevensimporteur' worden gebruikt, moeten deze worden gedefinieerd. De aanvrager kan het nuttig achten om aanvullende termen en de bijbehorende definities toe te voegen. Indien de term 'bevoegde toezichthoudende autoriteit(en)' wordt gebruikt, moet deze worden gedefinieerd als een verwijzing naar de toezichthoudende autoriteit voor gegevensbescherming van de EER die bevoegd is voor de gegevensexporteur. Wanneer de term 'toepasselijk recht' wordt gebruikt, moet in elk geval worden verduidelijkt of deze verwijst naar het nationale/lokale recht van een derde land waaraan door de voorschriften gebonden leden onderworpen zijn. De door de bindende bedrijfsvoorschriften gebonden leden moeten in elk geval voldoen aan de hierboven in de punten 5.4.1 en 5.4.2 uiteengezette vereisten. Verwijzingen naar de bepalingen van de AVG moeten over het algemeen worden vermeden. Indien echter naar een bepaalde bepaling van de AVG moet worden verwezen, moet die bepaling volledig in de bindende bedrijfsvoorschriften voor

verwerkingsverantwoordelijken geciteerd.	worden

Voor het Europees Comité voor gegevensbescherming De voorzitter

(Anu Talus)

---

Footnotes

1. Alle verwijzingen in dit document naar ' lidstaten ' moeten worden gelezen als verwijzingen naar 'EER -lidstaten'.

2. Zie Groep gegevensbescherming artikel 29, WP 263 rev.01: Werkdocument betreffende een samenwerkingsprocedure voor goedkeuring van 'bindende bedrijfsvoorschriften' voor verwerkingsverantwoordelijken en verwerkers in het kader van de AGV, zoals goedgekeurd op 11 april 2018 en bekrachtigd door het EDPB. Beschikbaar op: https://edpb.europa.eu/our-work-tools/general-guidance/endorsed-wp29-guidelines en.

3. Ten minste één groepslid moet in de EER zijn gevestigd (zie hoofdstuk 3, punt 1.4, van deze aanbevelingen).

4. Zie hoofdstuk 3 van deze aanbevelingen, punt 5.4.1, en Aanbevelingen 01/2020 van het EDPB inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen (beschikbaar op https://edpb.europa.eu/our-work-tools/ourdocuments/recommendations/recommendations-012020-measures-supplement-transfer en).

5. Ten minste één groepslid moet in de EER zijn gevestigd (zie hoofdstuk 3, punt 1.4, van deze aanbevelingen).

6. Zie artikel 47, lid 2, punten a) en b), AVG.

7. Hier dient de aanvrager verwijzingen op te nemen naar de punten/afdelingen/onderdelen van de documenten van de bindende bedrijfsvoorschriften en, indien nodig, van eventuele aanvullende stukken waarin de betreffende vereisten aan bod komen. Alle verplichte informatie moet in de bindende bedrijfsvoorschriften zelf staan (d.w.z. in het kerndocument/de kerndocumenten of de bijlagen daarbij); "aanvullende stukken" (d.w.z. documenten die geen deel uitmaken van de voorschriften zelf) mogen alleen worden gebruikt om nadere uitleg te geven. U hoeft geen tekst uit de documenten te "kopiëren & plakken" - het volstaat om de relevante passages te vermelden. Voorbeelden: "afdeling 4.1 van het document met de bindende bedrijfsvoorschriften en punt 2.1 van bijlage | (groepsovereenkomst); deel 2, afdeling 4, van de aanvraag", "afdeling 2.1 van het document met de bindende bedrijfsvoorschriften en punt 3 van bijlage 2 (controleconcept)".

8. Als in deze nota naar de AVG wordt verwezen, houdt dat niet in dat de AVG rechtstreeks van toepassing is op de door de voorschriften gebonden leden die optreden als gegevensimporteurs. Deze verwijzingen moeten veeleer worden gelezen als de drempel voor de verbintenissen die in de voorschriften moeten worden aangegaan. Verwijzingen naar de AVG in de bindende bedrijfsvoorschriften kunnen bijvoorbeeld als volgt worden verwoord: "in overeenstemming met artikel XAVG", "I...] zoals vastgelegd in artikel XAVG".

9. De bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten niet alleen intern bindend zijn (d.w.z. ten aanzien van de daardoor gebonden groepsleden en de bijbehorende werknemers), maar ook extern. Dit betekent dat de voorschriften moeten voorzien in juridische afdwingbaarheid (van bepaalde delen) ten gunste van de betrokkenen door rechten van derden in de hoedanigheid van begunstigden in het leven te roepen. Zie punt 1.3 hieronder voor meer informatie over deze externe bindende werking.

10. Zie de richtsnoeren inzake transparantie in het kader van Verordening (EU) 2016/679, WP 260 rev.01, zoals bekrachtigd door het Europees Comité voor gegevensbescherming op 25 mei 2018.

11. Er moet volledige informatie over de doorgiften worden gegeven, in die zin dat elke doorgifte of reeks doorgiften moet worden beschreven. Dit betekent niet dat de informatie uitermate specifiek of gedetailleerd moet zijn. Als de aanvrager evenwel een te ruime, algemene of vage beschrijving verstrekt, moet daarbij worden uitgelegd waarom er niet nader in detail kan worden getreden. Indien en voor zover één van de elementen in de beschrijving van de doorgifte in de toekomst verandert, moet dit aan bod komen in de bijwerkingsprocedure, m.a.w. eventuele wijzigingen in de bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken moeten worden verstrekt in de jaarlijkse bijwerking die aan de leidende toezichthoudende autoriteit wordt meegedeeld (zie punt 8.1 hieronder).

12. Wat mogelijke conflicten met wettelijke verplichtingen van derde landen betreft, zie punt 5.4.1 hieronder.

13. Voor verdere doorgifte aan andere door de voorschriften gebonden leden buiten de EER, zie punt 2.2 hierboven.

14. Zie Aanbevelingen 01/2020 van het EDPB inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen voor nadere informatie (beschikbaar op https://edpb.europa.eu/our-work-tools/ourdocuments/recommendations/recommendations-012020-measures-supplement-transfer en).

15. Zie Aanbevelingen 02/2020 van het EDPB over de Europese essentiële garanties voor surveillancemaatregelen.

16. Wat betreft de beoordeling van de gevolgen van de wetten en praktijken van derde landen, zie Aanbevelingen 01/2020 van het EDPB inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen.

17. Zie Aanbevelingen 02/2020 van het EDPB over de Europese essentiële garanties voor surveillancemaatregelen.