Lokke Moerel, partner ICT bij advocatenkantoor De Brauw Blackstone Westbroek, is deze week aan Tilburg University gepromoveerd op het onderwerp Binding Corporate Rules, wereldwijde privacy codes voor bedrijven.
Multinationals voeren steeds vaker wereldwijde privacy codes in, zogeheten ‘Binding Corporate Rules’, om internationale doorgifte van persoonsgegevens te faciliteren. Dat doen ze omdat de nationale wetgeving van de Europese landen op dit punt tekortschiet. Moerel pleit voor internationale erkenning van deze nieuwe vorm van zelfregulering.
In een persbericht van De Brauw stelt Moerel: “In het huidige digitale tijdperk verwerken multinationals steeds meer persoonsgegevens van hun werknemers en klanten. Ik constateer in mijn proefschrift dat multinationals deze gegevens steeds vaker in centrale IT systemen verwerken, waartoe al hun vestigingen toegang hebben. Deze centrale systemen worden vervolgens beheerd door outsourcing leveranciers, die op hun beurt deze persoonsgegevens weer vanuit off shore locaties bijvoorbeeld in India verwerken. Gevolg hiervan is dat de gegevens van werknemers en klanten continue wereldwijd worden doorgegeven”.
Verder zijn data door cloud computing overal aanwezig, en kunnen ze niet meer aan een bepaalde locatie worden gekoppeld. Wetgeving is echter aan het grondgebied van staten gekoppeld. Gevolg hiervan is een wereldwijd woud van nationale privacy regels, die elkaar vergaand overlappen en soms zelfs conflicteren, waardoor het voor multinationals nagenoeg onmogelijk is om aan alle nationale regels te voldoen.
In plaats van te proberen om aan deze regels te voldoen, voeren multinationals zelf door middel van een “global privacy policy” wereldwijd uniforme regels in voor de verwerking van persoonsgegevens. Deze zogenaamde Binding Corporate Rules zijn inmiddels erkend door de toezichthouders op de privacy in de verschillende Europese lidstaten. Moerel onderzoekt wat er voor nodig is om deze vorm van wereldwijde zelfregulering ook geaccepteerd te krijgen in met name de US en andere APEC landen. Haar conclusie is dat Binding Corporate Rules een passende bescherming kunnen bieden en doet een aantal voorstellen tot verbetering aan de Europese wetgever om Binding Corporate Rules als internationaal instrument geaccepteerd te krijgen.