GROEP GEGEVENSBESCHERMING ARTIKEL 29

Transcriptie

1 GROEP GEGEVENSBESCHERMING ARTIKEL /13/NL WP 204 Toelichting op de bindende bedrijfsvoorschriften voor verwerkers Goedgekeurd op 19 april 2013 De Groep is ingesteld bij artikel 29 van Richtlijn 95/46/EG. Zij is een onafhankelijk Europees adviesorgaan op het gebied van gegevensbescherming en privacy. Haar taken worden omschreven in artikel 30 van Richtlijn 95/46/EG en artikel 15 van Richtlijn 2002/58/EG. Het secretariaat van de Groep wordt verzorgd door directoraat C (Grondrechten en burgerschap van de Unie) van directoraatgeneraal Justitie van de Europese Commissie, adres: MO-59 02/013, 1049 Brussel, België. Website:

2 INHOUD bladzijde 1. CONTEXT EU-regels voor de internationale doorgifte van gegevens Bindende bedrijfsvoorschriften voor partijen die voor de verwerking verantwoordelijk zijn Bindende bedrijfsvoorschriften voor verwerkers DEFINITIE EN JURIDISCHE ASPECTEN Toepassingsgebied van dit instrument en definities Doorgiften en verdere doorgiften Doorgiften binnen de groep van de verwerker Verdere doorgifte naar externe subverwerkers Overwegingen betreffende het bindende karakter van de BBV voor verwerkers Het bindende karakter van de bedrijfsvoorschriften voor verwerkers binnen de organisatie Het bindende karakter van de bedrijfsvoorschriften voor verwerkers ten aanzien van externe subverwerkers die de gegevens verwerken Wettelijke afdwingbaarheid van de bedrijfsvoorschriften Dwingende voorschriften van de nationale wetgeving die gelden voor leden van de organisatie WEZENLIJKE INHOUD VAN DE BINDENDE BEDRIJFSVOORSCHRIFTEN VOOR VERWERKERS Wezenlijke inhoud en mate van detail Bijwerking van de BBV GARANDEREN VAN NALEVING EN HANDHAVING Bepalingen die een goede mate van naleving garanderen Controles

3 4.3. Klachtenprocedure De plicht tot samenwerking met de voor de verwerking verantwoordelijke De plicht tot samenwerking met de gegevensbeschermingsautoriteiten Aansprakelijkheid Algemeen recht op herstel en waar toepasselijk op schadevergoeding Voorschriften over aansprakelijkheid Jurisdictie Transparantie CONCLUSIE

4 DE GROEP VOOR DE BESCHERMING VAN NATUURLIJKE PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS Ingesteld bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober , Gezien artikel 29 en artikel 30, lid 1, onder a) en lid 3 van de genoemde richtlijn, Gezien het reglement van orde van de Groep en met name artikel 12 en artikel 14 daarvan, Heeft het volgende werkdocument opgesteld: 1. CONTEXT 1.1. EU-regels voor de internationale doorgifte van gegevens De richtlijn schrijft voor dat de doorgifte van gegevens naar derde landen onder strikte voorwaarden plaatsvindt, om ervoor te zorgen dat betrokkenen ook kunnen rekenen op een passend beschermingsniveau wanneer hun gegevens naar landen buiten de Europese Unie (hierna: EU ) worden doorgegeven. Art. 26, lid 2, van de richtlijn bepaalt dat [ ] een lidstaat toestemming [kan] geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau ( ) biedt, indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van [ ] personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen. Wanneer het land dat de gegevens importeert geen passend beschermingsniveau waarborgt, moet de voor de verwerking verantwoordelijke derhalve voldoende waarborgen bieden voor de bescherming van de doorgegeven gegevens, bijvoorbeeld door contractuele bepalingen overeen te komen. Op grond hiervan en om de naleving van Richtlijn 95/46 ten aanzien van de doorgifte van gegevens naar derde landen te vergemakkelijken, heeft de Europese Commissie een reeks modelcontractbepalingen vastgesteld: bij Beschikking 2001/497/EG van 15 juni 2001 en Beschikking 2004/915/EG van 27 december 2004 om de doorgifte tussen voor de verwerking verantwoordelijken te regelen, en bij Besluit 2010/87/EU van 5 februari 2010 om doorgiften tussen voor de verwerking verantwoordelijken en verwerkers te regelen Bindende bedrijfsvoorschriften voor partijen die voor de verwerking verantwoordelijk zijn 1 Publicatieblad L 281 van 23/11/1995, blz. 31, beschikbaar op: 4

5 Rekening houdend met de behoefte van organisaties aan een wereldwijde aanpak van gegevensbescherming, heeft de Groep artikel 29 het nodig geacht dat organisaties toestemming wordt verleend om bindende interne voorschriften vast te stellen, zogeheten bindende bedrijfsvoorschriften (hierna: BBV), bedoeld om de doorgifte van gegevens te regelen die oorspronkelijk door de organisatie als voor de verwerking verantwoordelijke binnen de organisatie zijn verwerkt. De gegevensbeschermingsautoriteiten van de EU hebben een toolkit ontwikkeld die richtsnoeren biedt voor de invoering van BBV 2. Het is belangrijk om terzijde op te merken dat, hoewel modelcontractbepalingen een kant-enklare oplossing vormen, iedere BBV-regeling op maat moet worden toegesneden op de specifieke behoefte van ieder bedrijf. En hoewel modelcontractbepalingen doorgaans worden afgesproken zonder dat er speciale invoeringsmaatregelen nodig zijn, veronderstellen BBV dat de organisatie al beschikt over een voldoende bruikbaar en solide regeling voor gegevensbescherming binnen de groep of dat zij de nodige maatregelen heeft getroffen om ervoor te zorgen dat de interne systemen voldoen aan de BBV-vereisten. In de afgelopen jaren zijn BBV voor de voor de verwerking verantwoordelijken in toenemende mate succesvol gebleken. De duur van de vaststellingsprocedure is aanzienlijk verkort, niet alleen als gevolg van de toenemende ervaring van gegevensbeschermingsautoriteiten en organisaties, maar ook dankzij de wederzijdse erkenningsprocedure. Multinationale organisaties hebben bovendien voortdurend verzekerd dat BBV passen in de pragmatische aanpak die zij nastreven met betrekking tot de naleving van de voorschriften. De Commissie verleende bovendien haar steun aan BBV door deze op te nemen in de ontwerpverordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, die op 25 januari 2012 gepubliceerd werd Bindende bedrijfsvoorschriften voor verwerkers In 2010 stelde de Europese Commissie een nieuwe reeks modelcontractbepalingen vast betreffende de doorgifte van gegevens tussen voor de verwerking verantwoordelijken en verwerkers als reactie op de groei van verwerkingsactiviteiten en met name de opkomst van nieuwe bedrijfsmodellen voor de internationale verwerking van persoonsgegevens. De modelcontractbepalingen uit 2010 bevatten specifieke voorschriften die onder bepaalde voorwaarden de uitbesteding van verwerkingsactiviteiten aan subverwerkers toestaan, mits voldoende waarborgen worden geboden voor de bescherming van de doorgegeven persoonsgegevens. 2 3 Zie WP153, WP154 en WP155 Zie artikel 42 van de ontwerpverordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, 5

6 Het waarborgen van een voortdurend toereikend niveau van bescherming met behulp van de beschikbare instrumenten voor de regulering van de internationale doorgifte van gegevens, zoals hierboven beschreven, blijkt lastig te zijn. Dit is voornamelijk het gevolg van de toenemende omvang en complexiteit van de internationale gegevensoverdrachten (onder meer ten gevolge van cloud computing, globalisering, datacentra, sociale netwerken, enz.). Hoewel modelcontractbepalingen een doelmatige methode lijken te zijn voor het reguleren van niet-massale doorgiften van een gegevensexporteur binnen de EU naar een gegevensimporteur buiten de EU, heeft de outsourcingsector constant aangedrongen op een nieuw wettelijk instrument dat een wereldwijde aanpak van de gegevensbescherming in de outsourcingsector mogelijk maakt en officiële erkenning biedt voor de interne voorschriften die organisaties al hebben ingevoerd. Dit nieuwe wettelijke instrument zou geschikt moeten zijn om de massale doorgifte van gegevens te reguleren door een verwerker aan subverwerkers binnen dezelfde organisatie die handelen namens en in opdracht van een voor de verwerking verantwoordelijke. Gezien de toenemende belangstelling van het bedrijfsleven voor een dergelijk instrument, heeft de Groep in de loop van 2012 een werkdocument opgesteld met een tabel die de elementen en beginselen bevat die in BBV voor verwerkers moeten worden opgenomen, 4 alsook een aanvraagformulier voor het indienen van bindende bedrijfsvoorschriften voor verwerkers 5. De invoering van bindende bedrijfsvoorschriften voor verwerkers werd op 5 december 2012 door de Groep bevestigd DEFINITIE EN JURIDISCHE ASPECTEN 2.1. Toepassingsgebied van dit instrument en definities De BBV voor verwerkers beogen een hulpmiddel te zijn voor de regulering van de internationale doorgifte van persoonsgegevens die oorspronkelijk door een verwerker namens en in opdracht van een voor de verwerking verantwoordelijke in de EU worden verwerkt 7, en die verder worden verwerkt door subverwerkers binnen de organisatie van de verwerker. De BBV voor verwerkers dienen daarom als bijlage te worden gehecht aan de verwerkingsovereenkomst (in deze toelichting aangeduid als de dienstverleningsovereenkomst), die verplicht is op grond van artikel 17 van EU-Richtlijn 95/46/EG en met name de instructies van de voor de verwerking verantwoordelijke bevat, en gesloten wordt door de externe voor de verwerking verantwoordelijke en de verwerker. De BBV voor verwerkers moeten worden aangemerkt als de voldoende waarborgen die de Zie WP195, goedgekeurd op 6 juni 2012, 29/documentation/opinion-recommendation/files/2012/wp195_en.pdf Zie het aanvraagformulier voor goedkeuring van bindende bedrijfsvoorschriften betreffende de doorgifte van persoonsgegevens voor verwerkingsdoeleinden, goedgekeurd op 17 september 2012, Zie het persbericht van 21 december 2012, Een derde voor de verwerking verantwoordelijke schakelt een outsourcingbedrijf in dat overgaat tot de internationale doorgifte van de gegevens aan onderdelen van de groep die als subverwerkers zullen optreden. 6

7 verwerker biedt aan de voor de verwerking verantwoordelijke (artikel 26, lid 2, van EU- Richtlijn 95/46/EG) en die deze laatste de mogelijkheid bieden om te voldoen aan de geldende EU-wetgeving inzake gegevensbescherming. De entiteiten die tot de verwerkersgroep behoren, dienen zich ertoe te verbinden de in de BBV voor verwerkers opgenomen beginselen in acht te nemen en kunnen door de voor de verwerking verantwoordelijke aansprakelijk worden gesteld voor eventuele schending van de BBV voor verwerkers. Het is echter belangrijk er op te wijzen dat hoewel de gegevensbeschermingsautoriteiten van de EU de inhoud beoordelen van de BBV voor verwerkers die door een verwerkersgroep worden toegepast, om te controleren of die BBV aan alle vereisten van WP195 voldoen, de voor de verwerking verantwoordelijke ervoor aansprakelijk blijft dat voldoende waarborgen worden geboden voor de bescherming van de gegevens die namens hem en in zijn opdracht worden doorgegeven en verwerkt door de entiteiten van de verwerkersgroep. De Groep merkt nogmaals op dat de BBV voor verwerkers niet bedoeld zijn om de verplichtingen van de voor de verwerking verantwoordelijke af te schuiven op de verwerkers. De respectieve verplichtingen van verwerkers en voor de verwerking verantwoordelijken in het kader van de internationale doorgifte van gegevens blijven ongewijzigd (net als in het geval van de modelcontractbepalingen uit Besluit 2010/87/EU), maar een aantal instrumenten zullen moeten worden aangepast aan de bijzondere kenmerken van overdrachten binnen dezelfde bedrijvengroep (één wereldwijde overeenkomst in plaats van diverse overeenkomsten) en aan de bijzondere kenmerken van BBV (verantwoordingshulpmiddelen als controles, opleidingsprogramma s, gegevensbeschermingsfunctionarissen, enz.). Daarnaast versterken de BBV voor verwerkers de rechten van betrokkenen door uitdrukkelijk te bepalen dat verwerkers zich ertoe verbinden de voor de verwerking verantwoordelijke de informatie te verstrekken die deze nodig heeft om zijn verplichtingen jegens betrokkenen te vervullen. BBV voor verwerkers kunnen worden aangemerkt als een extra garantie dat verwerkers zich ertoe verplichten de relevante informatie aan de voor de verwerking verantwoordelijke te verschaffen. Ten slotte, terwijl verwerkers een aanvraag moeten doen voor erkenning door de EU van hun BBV voor verwerkers als voldoende waarborg ten aanzien van internationale gegevensoverdrachten overeenkomstig de wederzijdse erkennings- en samenwerkingsprocedures voorzien in WP107 8, moeten de voor de verwerking verantwoordelijken nog altijd nationale vergunningen aanvragen bij de bevoegde gegevensbeschermingsautoriteiten om gegevens te mogen doorgeven aan de verschillende onderdelen van hun dienstverleners (verwerkers, subverwerkers, datacentra ), ervan uitgaande dat de BBV voor verwerkers deel uitmaken van de door de verantwoordelijken geboden waarborgen Doorgiften en verdere doorgiften 8 Zie WP107, goedgekeurd op 14 april 2005, 7

8 Doorgiften binnen de groep van de verwerker Overwegende dat volgens WP195 gegevens verder verwerkt kunnen worden door andere onderdelen van de groep van de verwerker, met als enige voorwaarde dat de voor de verwerking verantwoordelijke hierover van tevoren wordt geïnformeerd 9 en om toestemming wordt gevraagd, bieden de BBV voor verwerkers transparantie aan de voor de verwerking verantwoordelijke en geven zij hem controle over de gegevens die namens hem en in zijn opdracht worden verwerkt door de verwerkersgroep. De partijen bij de dienstverleningsovereenkomst kunnen zelf beslissen, afhankelijk van hun specifieke behoeften, of algemene toestemming gegeven door de voor de verwerking verantwoordelijke aan het begin van de dienstverlening voldoende is of dat deze voor iedere verdere verwerking afzonderlijke toestemming moet geven. In geval er algemene toestemming wordt verleend, moet de voor de verwerking verantwoordelijke tijdig worden geïnformeerd over de toevoeging of vervanging van subverwerkers, zodat hij de mogelijkheid heeft tegen deze verandering bezwaar te maken of het contract te beëindigen voordat de gegevens aan de nieuwe subverwerker worden doorgegeven. Een verwerkende organisatie die de BBV voor verwerkers heeft ingevoerd, hoeft geen afzonderlijke contracten voor de regulering van de doorgifte van gegevens aan te gaan met subverwerkers binnen de organisatie, aangezien de BBV waarborgen bieden voor de gegevens die namens en in opdracht van de voor de verwerking verantwoordelijke worden doorgegeven en verwerkt Verdere doorgifte naar externe subverwerkers Naast de hierboven genoemde voorschriften voor doorgifte binnen een verwerkersgroep (transparantie, toestemming van de voor de verwerking verantwoordelijke) kan een maatschappij van de verwerkersgroep haar verplichtingen onder de dienstverleningsovereenkomst (art. 17 van de richtlijn) alleen uitbesteden aan een externe subverwerker (buiten de groep) door middel van een schriftelijke overeenkomst die voldoende waarborgen voor bescherming van de gegevens biedt overeenkomstig de artikelen 16 en 17 van Richtlijn 95/46/EG en die garandeert dat de externe subverwerker aan dezelfde verplichtingen voldoet als de maatschappij van de verwerkersgroep op grond van de dienstverleningsovereenkomst en punt 1.3, 1.4, 3 en 6 van WP Bovendien moeten, voor zover de BBV voor verwerkers niet gelden voor de doorgifte aan externe subverwerkers (buiten de groep), voldoende waarborgen voor bescherming van de doorgegeven gegevens worden geboden overeenkomstig artikel 25 en 26 van Richtlijn 95/46/EG Overwegingen betreffende het bindende karakter van de BBV voor verwerkers 9 10 Informatie betreffende de voornaamste aspecten (partijen, landen, veiligheid, garanties in geval van internationale doorgifte, mogelijkheid om een kopie van de gebruikte contracten te krijgen). Gedetailleerde informatie, bijvoorbeeld over de naam van de subverwerkers, zou beschikbaar kunnen worden gesteld door middel van een openbaar digitaal register. Op. cit. noot 6. 8

9 Verwerkers bepalen hun behoeften op het gebied van gegevensverwerking op grond van verschillende wettelijke en culturele achtergronden en verschillende bedrijfsfilosofieën en -praktijken. Uit de ervaringen met BBV voor verwerkers blijkt dat bijna elke multinationale organisatie dit thema verschillend benadert. Er is echter, onder andere, één belangrijk element dat in alle systemen aanwezig moet zijn als er waarborgen moeten worden geboden voor de bescherming van gegevens die voor verwerking naar derde landen worden doorgegeven: het bindende karakter van de bedrijfsvoorschriften voor verwerkers, zowel intern als ten opzichte van externe partijen (wettelijke afdwingbaarheid van de voorschriften) Het bindende karakter van de bedrijfsvoorschriften voor verwerkers binnen de organisatie 11 Er kan een onderscheid worden gemaakt tussen het probleem van de naleving van de voorschriften en hun wettelijke afdwingbaarheid. De beoordeling van het bindende karakter van dit soort bedrijfsvoorschriften voor verwerkers vergt dan ook een gelijktijdige beoordeling van hun extern en intern bindende karakter. Het intern bindende karakter van de voorschriften betekent in dit verband dat de onderdelen van de verwerkende organisatie, evenals iedere individuele medewerker, verplicht zijn om zich aan deze interne voorschriften te houden. Belangrijke aspecten hierbij zijn onder andere het bestaan van tuchtmaatregelen in geval van overtreding van de voorschriften, persoonlijke en doeltreffende voorlichting aan medewerkers, het opzetten van speciale opleidingsprogramma s voor medewerkers en onderaannemers, enz. Al deze aspecten, die ook onder punt 4 worden geanalyseerd, kunnen ertoe bijdragen dat personen binnen de verwerkende organisatie zich verplicht voelen om zich aan deze voorschriften te houden. Met betrekking tot de maatschappijen van de verwerkersgroep is het niet aan de Groep artikel 29 om voor te schrijven op welke wijze organisaties moeten garanderen dat alle bedrijfsonderdelen daadwerkelijk aan de voorschriften gebonden zijn, of zich althans gebonden voelen, hoewel er genoeg bekende voorbeelden zijn, zoals interne gedragscodes die worden ondersteund door interne groepsafspraken 12. Organisaties moeten echter wel beseffen dat wanneer zij verzoeken om goedkeuring van de BBV voor gegevensverwerkers als voldoende waarborgen die de verwerker biedt aan de voor de verwerking verantwoordelijke (art. 26, lid 2, van EU-Richtlijn 95/46/EG), zij aan de gegevensbeschermingsautoriteiten zullen moeten aantonen dat deze BBV werkelijk bindend zijn voor de hele groep. 11 De invoering van een gedragscode is een stap die bedrijven niet zo makkelijk nemen, omdat de invoering aanzienlijke risico s met zich meebrengt en zelfs juridische gevolgen kan hebben voor organisaties die hun eigen code schenden. 12 Opgemerkt moet worden dat in sommige lidstaten alleen contracten als bindend worden beschouwd. Een organisatie die van plan is gebruik te maken van andere rechtsinstrumenten dan contracten, dient daarom ter plaatse juridisch advies in te winnen. 9

10 Het intern bindende karakter van de voorschriften moet duidelijk en sterk genoeg zijn om te garanderen dat de voorschriften ook buiten de EU worden nageleefd, iets wat doorgaans de verantwoordelijkheid is van het hoofdkantoor in de EU, een groepsmaatschappij in de EU met gedelegeerde verantwoordelijkheid voor gegevensbescherming of de gegevensexporteur in de EU, die de noodzakelijke maatregelen moeten treffen om te garanderen dat alle onderdelen van de groep hun verdere verwerkingsactiviteiten afstemmen op de verplichtingen van de BBV 13. In de meeste gevallen is er overigens een in de EU gevestigd onderdeel van de organisatie dat voldoende waarborgen biedt en de aanvraag voor goedkeuring van de BBV voor verwerkers indient bij de voornaamste gegevensbeschermingsautoriteit. Als het hoofdkantoor van de organisatie buiten de EU is gevestigd, zou het hoofdkantoor deze verantwoordelijkheden moeten delegeren aan een dochtermaatschappij in de EU, voor zover aanwezig. Het is logisch dat het bedrijf dat feitelijk de waarborgen biedt, ook verantwoordelijk is voor de effectieve naleving van de voorschriften en de handhaving daarvan kan garanderen. Er kan echter ook een ander mechanisme worden gebruikt, namelijk toewijzing van de aansprakelijkheid aan de exporteur-verwerker in de EU. Zie in dit verband punt 4.6 en 4.7 over aansprakelijkheid en jurisdictie Het bindende karakter van de bedrijfsvoorschriften voor verwerkers ten aanzien van externe subverwerkers die de gegevens verwerken Wanneer de verwerker zijn verplichtingen op grond van de dienstverleningsovereenkomst uitbesteed (art. 17 van de richtlijn) aan een externe subverwerker met toestemming van de voor de verwerking verantwoordelijke, kan dit alleen gebeuren door middel van een schriftelijke overeenkomst met de subverwerker. Zie in dit verband punt over verdere doorgiften Wettelijke afdwingbaarheid van de bedrijfsvoorschriften Wettelijke afdwingbaarheid van de bedrijfsvoorschriften door de betrokkenen (rechten ten behoeve van derden) Betrokkenen die binnen de werkingssfeer van de BBV voor verwerkers vallen, moeten als derde-begunstigden worden aangemerkt door de opname van een derdenbeding in de BBV dat bindende werking moet worden verleend door middel van een eenzijdige verbintenis (waar mogelijk op grond van nationaal recht) of door middel van contractuele afspraken tussen de onderdelen van de verwerkersgroep. De betrokkenen hebben hoe dan ook het recht om naleving van de voorschriften bij de voor de verwerking verantwoordelijke af te dwingen door een klacht in te dienen bij de 13 Op grond van het internationale vennootschapsrecht kunnen dochterondernemingen mogelijk onderling de tenuitvoerlegging van gedragscodes afdwingen aan de hand van vorderingen wegens inbreuk op quasicontractuele verbintenissen, misleiding en nalatigheid. 10

11 gegevensbeschermingsautoriteit of de rechtbank met bevoegdheid ten aanzien van de voor de verwerking verantwoordelijke in de EU, zoals uitgelegd onder punt 4.6. Indien de betrokkenen echter niet in staat zijn een vordering tegen de voor de verwerking verantwoordelijke in te stellen 14, kunnen zij ook een klacht tegen de verwerker indienen bij de gegevensbeschermingsautoriteit of de rechtbank met rechtsbevoegdheid betreffende i) het Europese hoofdkantoor van de verwerker, ii) het Europese onderdeel van de verwerkersgroep waaraan de verantwoordelijkheid voor gegevensbescherming is gedelegeerd, of iii) de exporteur-verwerker in de EU. Indien deze optie niet uitvoerbaar is (bijvoorbeeld omdat er geen vestiging van de verwerker in de EU bestaat), hebben betrokkenen het recht om een klacht in te dienen bij de rechtbank in hun woonplaats. Als er echter gunstiger bepalingen voor betrokkenen gelden op grond van toepasselijk nationaal recht (bijvoorbeeld consumentenrecht of arbeidsrecht), dan kan hier een beroep op worden gedaan. Hoewel in sommige gevallen de afdwingbaarheid van een derdenbeding in eenzijdige verklaringen geen problemen oplevert, is de situatie in sommige lidstaten niet zo duidelijk en zijn eenzijdige verklaringen als zodanig niet afdoende. Wanneer eenzijdige verklaringen niet kunnen worden beschouwd als grond voor wettelijk afdwingbare rechten voor derdebegunstigden, dienen organisaties de noodzakelijke contractuele regelingen te treffen die dit mogelijk maken. Contractuele regelingen zijn privaatrechtelijk uitvoerbaar in alle lidstaten 15. De volgende beginselen uit de BBV dienen uitvoerbaar te worden gemaakt door middel van derdenbedingen: - de verplichting voor de verwerker om zich aan de BBV te houden, alsook aan de instructies van de voor de verwerking verantwoordelijke betreffende de gegevensverwerking en de afspraken over beveiliging en vertrouwelijkheid in de dienstverleningsovereenkomst (WP195, punt 1.1). - de toekenning van rechten ten behoeve van derden aan betrokkenen (WP195, punt 1.3); - de aansprakelijkheid van de verwerker om schadevergoeding te betalen en inbreuken op de BBV te verhelpen (WP195, punt 1.5); - de bewijslast rust op de verwerker, niet op de betrokkenen (WP195, punt 1.7); - betrokkenen moeten de BBV gemakkelijk kunnen raadplegen (WP195, punt 1.8); 14 Dit kan gebeuren wanneer de verwerker feitelijk is verdwenen, niet langer als rechtspersoon bestaat of failliet is gegaan, tenzij een rechtsopvolger de volledige juridische verplichtingen van de verwerker heeft overgenomen krachtens overeenkomst of de wet, in welk geval de betrokkenen hun rechten kunnen uitoefenen jegens deze organisatie. 15 Tegenwoordig is het in alle lidstaten mogelijk om derde begunstigden bij contract rechten te verlenen. Met betrekking tot dit aspect, zie de eerdere ervaringen met modelcontractbepalingen en derde-begunstigden. 11

12 - de beschikbaarheid van een klachtenprocedure betreffende de BBV (WP195, punt 2.2); - de verplichting om samen te werken met de gegevensbeschermingsautoriteiten (WP195, punt 3.1) en de verwerker (WP195, punt 3.2); - privacybeginselen (WP195, punt 6.1); - lijst met onderdelen van de verwerker die aan de BBV gebonden zijn (WP195, punt 6.2); - transparantie in het geval dat de verwerker als gevolg van de nationale wetgeving niet aan de BBV kan voldoen (WP195, punt 6.3); Contractuele regelingen hoeven niet ingewikkeld of lang te zijn. Het zijn slechts instrumenten om een beroep op rechten ten behoeve van derden mogelijk te maken voor personen in landen waar onduidelijk is of eenzijdige verklaringen hiervoor een toereikende grondslag vormen. In sommige gevallen kan dit al worden bereikt door toevoeging van een eenvoudig beding aan andere, al bestaande overeenkomsten tussen de onderdelen van de verwerkersgroep Wettelijke afdwingbaarheid van de bedrijfsvoorschriften door de voor de verwerking verantwoordelijke De BBV voor verwerkers vormen een waarborg voor de internationale doorgifte van gegevens door een verwerker ten behoeve van een klant (de voor de verwerking verantwoordelijke); het is de voor de verwerking verantwoordelijke die primair aansprakelijk is jegens gegevensbeschermingsautoriteiten en betrokkenen voor de bescherming van persoonsgegevens die worden doorgegeven naar derde landen. De BBV voor verwerkers dienen derhalve bindend te worden gemaakt voor de voor de verwerking verantwoordelijke door een specifieke bepaling in de dienstverleningsovereenkomst. Hiernaast is het belangrijk, onder meer om de BBV voor verwerkers op ondubbelzinnige wijze te koppelen aan de dienstverleningsovereenkomst die met iedere klant (voor de verwerking verantwoordelijke) wordt aangegaan, ervoor zorg te dragen dat in de dienstverleningsovereenkomst: - de voor de verwerking verantwoordelijke zich ertoe verbindt bij de doorgifte van speciale categorieën gegevens de betrokkenen van tevoren te informeren als hun gegevens zullen worden doorgegeven aan een derde land dat mogelijk niet voldoende bescherming biedt; - de voor de verwerking verantwoordelijke zich er verder toe verbindt betrokkenen op de hoogte te stellen van het bestaan van verwerkers buiten de EU en van de BBV voor verwerkers; de voor de verwerking verantwoordelijke op verzoek aan betrokkenen een kopie van de BBV voor verwerkers en de dienstverleningsovereenkomst beschikbaar stelt (voor zover deze geen gevoelige of vertrouwelijke commerciële informatie bevat); 12

13 - de vertrouwelijkheids- en beveiligingsmaatregelen duidelijk worden beschreven of ernaar wordt verwezen door middel van een elektronische link; - er een duidelijke beschrijving wordt gegeven van de instructies en de gegevensverwerking; - wordt gespecificeerd of gegevens mogelijk binnen of buiten de verwerkersgroep verder zullen worden verwerkt, alsook of de door de voor de verwerking verantwoordelijke verleende voorafgaande toestemming algemeen van aard is of voor iedere verdere verwerking opnieuw moet worden verleend. De gegevensbeschermingsautoriteiten die de BBV evalueren, mogen niet om een kopie van de dienstverleningsovereenkomst vragen, maar in alle gevallen dient een samenvatting bestaande uit fragmenten van deze overeenkomst in het aanvraagformulier te worden opgenomen om duidelijk te maken hoe de BBV voor verwerkers door de voor de verwerking verantwoordelijke uitvoerbaar zijn gemaakt. Daarnaast wordt in de BBV een derdenbeding opgenomen ten behoeve van de voor de verwerking verantwoordelijke om te garanderen dat deze het recht heeft om de BBV af te dwingen ten opzichte van alle entiteiten van de verwerkersgroep, met inbegrip van de rechtsmiddelen en het recht op schadevergoeding Wettelijke afdwingbaarheid van de bedrijfsvoorschriften door de gegevensbeschermingsautoriteiten Wanneer een verwerker een aanvraag indient voor erkenning door de EU van de BBV voor verwerkers als voldoende waarborgen die de verwerker aan de voor de verwerking verantwoordelijke biedt (artikel 26, lid 2, van EU-Richtlijn 95/46/EG), is duidelijk dat de verwerkersgroep zich hiermee verbindt ten opzichte van de gegevensbeschermingsautoriteiten van de EU met betrekking tot de geboden waarborgen (in dit geval de BBV voor verwerkers). Desondanks is het de taak van de voor de verwerking verantwoordelijke om te verzoeken om de vereiste nationale toestemming voor de internationale doorgifte van gegevens, die duidelijk moet worden onderscheiden van de erkenning van de BBV als voldoende waarborg voor de doorgifte van gegevens. BBV voor verwerkers die op EU-niveau al zijn goedgekeurd (niet erkend ), zullen door de voor de verwerking verantwoordelijke worden aangeduid als voorgestelde gepaste waarborgen voor internationale gegevensoverdracht. Wanneer overeenkomstig artikel 28 van EU-Richtlijn 95/46/EG de lidstaat bepaalt dat gegevensbeschermingsautoriteiten [ ] worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen, betekent dit dat zij onder meer toezicht moeten houden op de gegevensoverdrachten en de waarborgen voor de doorgifte van gegevens naar derde landen moeten beoordelen. Teneinde deze taken te kunnen uitvoeren, worden aan de gegevensbeschermingsautoriteiten onderzoeksbevoegdheden en doeltreffende handelingsbevoegdheden op hun eigen grondgebied toegekend, alsook de bevoegdheid om gerechtelijke procedures aan te spannen. 13

14 Deze bevoegdheden kunnen worden aangewend tegen een verwerker die zich niet houdt aan de BBV. Bovendien kan een inbreuk op de BBV voor verwerkers door een lid van de verwerkersgroep (of door de hele groep) leiden tot intrekking van de toestemming voor de betreffende gegevensoverdracht die aan de voor de verwerking verantwoordelijke is verleend op basis van de BBV voor verwerkers. Een dergelijke intrekking zou geen terugwerkende kracht hebben. 14

15 Dwingende voorschriften van de nationale wetgeving die gelden voor leden van de organisatie De BBV dienen een duidelijke bepaling te bevatten waarin wordt aangegeven dat als een lid van de verwerkersgroep reden heeft om aan te nemen dat hij mogelijk niet kan voldoen aan de instructies van de voor de verwerking verantwoordelijke of aan zijn verplichtingen op grond van de BBV of de dienstverleningsovereenkomst als gevolg van de bestaande of toekomstige wetgeving die op hem van toepassing is, hij hiervan onverwijld kennisgeving zal doen aan: - de voor de verwerking verantwoordelijke, die het recht heeft om de gegevensoverdracht op te schorten en/of de dienstverleningsovereenkomst te beëindigen; en - het Europese hoofdkantoor in de EU, het in de EU gevestigde lid van de groep waaraan de verantwoordelijkheid voor gegevensbescherming is gedelegeerd of de functionaris/afdeling bij de verwerker die verantwoordelijk is voor privacybescherming; en - de gegevensbeschermingsautoriteit met bevoegdheid ten aanzien van de voor de verwerking verantwoordelijke. Bovendien moet de verwerker alle wettelijk bindende verzoeken om bekendmaking van persoonsgegevens door een rechtshandhavingsautoriteit melden aan de voor de verwerking verantwoordelijke, mits dit niet op andere gronden verboden is, bijvoorbeeld een strafrechtelijk voorschrift betreffende de vertrouwelijkheid van het gerechtelijk vooronderzoek. De behandeling van het verzoek om bekendmaking moet in ieder geval worden opgeschort en de gegevensbeschermingsautoriteit met bevoegdheid ten aanzien van de voor de verwerking verantwoordelijke en de gegevensbeschermingsautoriteit met de primaire bevoegdheid betreffende de BBV voor verwerkers moeten hierover duidelijk worden geïnformeerd. Het is ook noodzakelijk om vast te stellen dat de doorgifte van gegevens aan een rechtshandhavingsautoriteit is gebaseerd op toepasselijke wettelijke gronden, aangezien de voorwaarden betreffende de BBV voor verwerkers vastgesteld in punt 6.3 van WP195 alleen een informatieproces creëren (zie boven) dat gegevensoverdrachten niet noodzakelijkerwijs rechtvaardigt. In geval van wetsconflicten moet besloten worden op grond van de toepasselijke internationale verdragen en overeenkomsten. 3. WEZENLIJKE INHOUD VAN DE BINDENDE BEDRIJFSVOORSCHRIFTEN VOOR VERWERKERS 3.1. Wezenlijke inhoud en mate van detail De in de richtlijn opgenomen beginselen betreffende gegevensbescherming moeten in de BBV voor verwerkers verder worden uitgewerkt en gedetailleerd, zodat zij op praktische en realistische wijze aansluiten bij de verwerkingsactiviteiten die de organisatie in derde landen 15

16 uitvoert en kunnen worden begrepen en doeltreffend toegepast door degenen binnen de organisatie die verantwoordelijk zijn voor gegevensbescherming. Punt 6 van WP195 geeft een verdere toelichting op de betreffende inhoud. De beschrijving van de overdrachten in de BBV kan slechts algemeen zijn, maar in het kader van de nationale toestemmingsprocedure bij de bevoegde gegevensbeschermingsautoriteiten zal meer nauwkeurige informatie moeten worden verstrekt over de specifieke overdrachten door een specifieke voor de verwerking verantwoordelijke. De mate van detail in de BBV moet voldoende zijn om de gegevensbeschermingsautoriteiten de mogelijkheid te bieden te beoordelen of de geboden waarborgen voor (verdere) gegevensverwerking in derde landen door een lid van de verwerkersgroep toereikend zijn. 16

17 3.2. Bijwerking van de BBV De Groep artikel 29 erkent dat organisaties veranderende entiteiten zijn waarvan de onderdelen en werkwijzen regelmatig worden gewijzigd, zodat de overdrachten die namens en in opdracht van voor de verwerking verantwoordelijken, en vanzelfsprekend ook de voorschriften vervat in de BBV, niet voortdurend overeen zullen stemmen met de situatie ten tijde van de erkenning daarvan als passende bescherming. De BBV voor verwerkers kunnen bijgevolg worden gewijzigd (bijvoorbeeld naar aanleiding van wijzigingen in de wetgeving of de organisatiestructuur), maar dit gaat gepaard met de verplichting om wijzigingen te melden aan alle leden van de groep, de gegevensbeschermingsautoriteiten en de voor de verwerking verantwoordelijke. Wanneer een verandering gevolgen heeft voor de verwerkingsomstandigheden, moet de voor de verwerking verantwoordelijke hierover tijdig worden geïnformeerd, zodat hij de mogelijkheid heeft hiertegen bezwaar te maken of het contract te beëindigen voordat de betreffende wijziging wordt doorgevoerd (bijvoorbeeld, over alle voorgenomen veranderingen die betrekking hebben op de toevoeging of vervanging van onderaannemers voordat de gegevens worden doorgegeven aan de nieuwe subverwerkers). Bijwerking van de BBV voor verwerkers of van de lijst van groepsleden waarvoor deze gelden, is mogelijk zonder opnieuw een aanvraag te hoeven doen bij de gegevensbeschermingsautoriteiten, mits: i) een duidelijk geïdentificeerde persoon een geheel actuele lijst bijhoudt van de groepsonderdelen en de subverwerkers die betrokken zijn bij de gegevensverwerking ten behoeve van de voor de verwerking verantwoordelijke, die beschikbaar dient te worden gesteld aan de voor de verwerking verantwoordelijke, de betrokkenen en de gegevensbeschermingsautoriteiten. ii) deze persoon alle bijwerkingen van de voorschriften bijhoudt en vastlegt, en systematisch de noodzakelijke informatie verstrekt aan de voor de verwerking verantwoordelijke en desgevraagd aan de gegevensbeschermingsautoriteiten. iii) er geen gegevens worden overgedragen aan een nieuwe groepsmaatschappij totdat deze daadwerkelijk gebonden is door de BBV voor verwerkers en naleving kan garanderen. iv) alle wezenlijke veranderingen in de BBV voor verwerkers of de lijst van groepsleden één keer per jaar worden doorgegeven aan de gegevensbeschermingsautoriteiten die toestemming voor overdracht geven aan de voor de verwerking verantwoordelijke, met een korte toelichting van de redenen voor de bijwerking. Bijwerking van de voorschriften moet worden gezien in het licht van veranderende werkprocedures; de voorschriften moeten worden aangepast aan deze veranderende omstandigheden. 17

18 4. GARANDEREN VAN NALEVING EN HANDHAVING Naast de wezenlijke beginselen van gegevensbescherming moeten bindende bedrijfsvoorschriften voor verwerkers ook het volgende omvatten: 4.1. Bepalingen die een goede mate van naleving garanderen De voorschriften worden geacht een systeem te creëren dat een goede kennis en toepassing van de voorschriften zowel in als buiten de Europese Unie garandeert. Het opstellen van een intern privacybeleid door het hoofdkantoor moet slechts beschouwd worden als een eerste stap in het bieden van voldoende waarborgen in de zin van artikel 26, lid 2, van de richtlijn. De aanvragende organisatie moet ook in staat zijn aan te tonen dat dit beleid in de hele groep bekend is, begrepen wordt en doeltreffend wordt toegepast door werknemers die hiervoor passende opleidingen hebben gekregen en te allen tijde kunnen beschikken over de benodigde informatie (inclusief de BBV), bijvoorbeeld via het intranet. De organisatie dient gekwalificeerd personeel aan te stellen, gesteund door het topmanagement, om de naleving te controleren en te garanderen Controles De voorschriften moeten voorzien in regelmatige controles op de gegevensbescherming en/of toezicht door erkende interne of externe controleurs die direct rapporteren aan de privacyfunctionaris/afdeling en de hoogste directie van de groep. De verslagen hiervan moeten op verzoek ter beschikking worden gesteld aan de voor de verwerking verantwoordelijke 16. De BBV voor verwerkers moeten ook aangeven dat de gegevensbeschermingsautoriteiten met bevoegdheid ten aanzien van de voor de verwerking verantwoordelijke op verzoek inzage kunnen krijgen in deze controleverslagen; ook dienen zij hun de bevoegdheid te geven om zelf een controle op de gegevensbescherming uit te voeren indien dit vereist is en wettelijk toegestaan. Deze situatie is het meest waarschijnlijk wanneer de hierboven beschreven controleverslagen om bepaalde redenen niet beschikbaar zijn, wanneer deze niet de juiste informatie bevatten voor de noodzakelijke verdere beoordeling na goedkeuring door de gegevensbeschermingsautoriteiten of wanneer het spoedeisende karakter van de situatie de directe betrokkenheid van de gegevensbeschermingsautoriteit met bevoegdheid ten aanzien van de voor de verwerking verantwoordelijke raadzaam maakt. Deze controles vinden plaats overeenkomstig de toepasselijke wet- en regelgeving betreffende de onderzoeksbevoegdheden van de gegevensbeschermingsautoriteiten, onverminderd de inspectiebevoegdheden van iedere afzonderlijke gegevensbeschermingsautoriteit. Zij worden 16 Deze controles moeten volledig zijn en in ieder geval aandacht besteden aan een aantal aspecten dat al eerder in dit werkdocument is besproken, zoals het bestaan van verdere doorgiften op basis van modelcontractbepalingen (zie punt ) of de beslissingen die zijn genomen met betrekking tot dwingende voorschriften uit de nationale wetgeving die tot conflicten kunnen leiden met bindende bedrijfsvoorschriften (zie punt ). 18

19 in elk geval uitgevoerd onder volledige eerbiediging van de vertrouwelijkheid en handelsgeheimen en beperken zich strikt tot de controle op de naleving van de bindende bedrijfsvoorschriften. In de BBV voor verwerkers moet verder worden bepaald dat iedere verwerker of subverwerker die gegevens verwerkt voor een voor de verwerking verantwoordelijke, op verzoek van laatstgenoemde moet toestaan dat de voor de verwerking gebruikte voorzieningen worden geïnspecteerd met betrekking tot de specifiek voor die verantwoordelijke verrichte verwerkingsactiviteiten. Een dergelijke controle wordt uitgevoerd door de voor de verwerking verantwoordelijke of door een inspectieteam bestaande uit onafhankelijke leden, die beschikken over de vereiste beroepskwalificaties en gebonden zijn door een geheimhoudingsplicht. Dit team wordt geselecteerd door de voor de verwerking verantwoordelijke, waar toepasselijk in overleg met de bevoegde gegevensbeschermingsautoriteit. Op het aanvraagformulier dient een beschrijving van het controlesysteem te worden gegeven. Bijvoorbeeld: - welk onderdeel (afdeling binnen de groep) beslist over het controleplan/programma; - welk onderdeel de controle uitvoert; - de frequentie van de controle (regelmatig of op verzoek van de bevoegde privacyafdeling); - de inhoud van de controle (bijvoorbeeld applicaties, IT-systemen, databanken waarmee persoonsgegevens worden verwerkt, beslissingen met betrekking tot dwingende voorschriften van het nationale recht die leiden tot conflicten met de BBV voor verwerkers, controle van de contractbepalingen betreffende de overdracht naar organisaties buiten de verwerkersgroep (voor de verwerking verantwoordelijken of verwerkers), corrigerende maatregelen, enz.); - aan welke entiteit de resultaten van de controles worden gepresenteerd Klachtenprocedure De BBV voor verwerkers dienen een bepaling te bevatten op grond waarvan de verwerkersgroep zich ertoe verbindt een specifiek aanspreekpunt voor betrokkenen te creëren. Alle groepsleden die de BBV voor verwerkers toepassen, zijn alleen verplicht de vordering of het verzoek onverwijld door te geven aan de voor de verwerking verantwoordelijke; zij hebben niet de verplichting deze te behandelen (tenzij anders overeengekomen met de voor de verwerking verantwoordelijke). Alleen wanneer de voor de verwerking verantwoordelijke feitelijk of juridisch niet meer bestaat of failliet is, zal de verwerker de vordering of het verzoek in behandeling moeten nemen. 19

20 In het geval dat de verwerker klachten afhandelt (wanneer dit is afgesproken met de voor de verwerking verantwoordelijke of deze niet langer bestaat), dient dit te gebeuren door een duidelijk geïdentificeerde afdeling of persoon met een gepaste mate van onafhankelijkheid bij de uitoefening van zijn/haar taken. In deze gevallen wordt de betrokkene geïnformeerd over: - waar de klacht ingediend kan worden; - in welke vorm; - de termijn waarbinnen op de klacht moet worden gereageerd; - de gevolgen wanneer de klacht wordt afgewezen; - de gevolgen wanneer de klacht gegrond wordt verklaard; - de gevolgen wanneer de betrokkene niet akkoord gaat met de reactie (recht om een vordering in te stellen bij de rechtbank/gegevensbeschermingsautoriteiten) De plicht tot samenwerking met de voor de verwerking verantwoordelijke De BBV voor verwerkers dienen uitdrukkelijk aan te geven dat alle leden van de groep en alle werknemers zich zullen houden aan de instructies van de voor de verwerking verantwoordelijke betreffende de gegevensverwerking en de beveiligings- en vertrouwelijkheidsvoorschriften van de dienstverleningsovereenkomst (artikel 17 van de richtlijn). De voorschriften dienen ook een duidelijke verplichting voor verwerkers en subverwerkers te bevatten om met de voor de verwerking verantwoordelijke samen te werken en deze bij te staan bij de naleving van de wetgeving betreffende gegevensbescherming (bijvoorbeeld door inachtneming van de rechten van betrokkenen en afhandeling van hun klachten, of door mee te werken aan onderzoeken of informatieverzoeken van gegevensbeschermingsautoriteiten). Dit dient te gebeuren binnen redelijke termijnen en voor zover dit redelijkerwijs mogelijk is. 20

21 4.5. De plicht tot samenwerking met de gegevensbeschermingsautoriteiten Zoals aangegeven in WP12, is een van de belangrijkste aspecten bij de beoordeling van de toereikendheid van een zelfregulerend systeem de mate van ondersteuning en hulp die wordt geboden aan individuele betrokkenen: Een basisvoorwaarde voor een passend en doeltreffend gegevensbeschermingssysteem is dat een betrokkene die een probleem heeft in verband met zijn persoonsgegevens, niet aan zijn lot wordt overgelaten, maar op een of andere vorm van geïnstitutionaliseerde ondersteuning kan rekenen.. Dit is inderdaad een belangrijk element van de BBV voor verwerkers: de voorschriften dienen een duidelijke verplichting te bevatten voor alle leden van de verwerkersgroep om samen te werken met de gegevensbeschermingsautoriteiten die bevoegd zijn ten aanzien van de voor de verwerking verantwoordelijke, zodat individuele personen kunnen rekenen op de geïnstitutionaliseerde ondersteuning vermeld in WP 12. Ook moet uitdrukkelijk de verbintenis worden opgenomen dat de organisatie als geheel en alle afzonderlijke onderdelen daarvan gevolg zullen geven aan de adviezen van de bevoegde gegevensbeschermingsautoriteit betreffende de interpretatie en toepassing van de BBV voor verwerkers. Alvorens advies uit te brengen, kan de bevoegde gegevensbeschermingsautoriteit de organisatie, de betrokkenen, de voor de verwerking verantwoordelijke en de gegevensbeschermingsautoriteiten die bij de zaak betrokken zijn op grond van de in het werkdocument vermelde samenwerkingsprocedure naar hun standpunt vragen 17. Het advies van de autoriteit kan openbaar worden gemaakt. Afgezien van eventuele toepasselijke bepalingen van nationaal recht kan de stellige en/of aanhoudende weigering van de organisatie om medewerking te verlenen aan de bevoegde gegevensbeschermingsautoriteit of haar advies uit te voeren, leiden tot opschorting of intrekking van de toestemming voor gegevensoverdracht die aan de betreffende voor de verwerking verantwoordelijke(n) is verleend, hetzij door de gegevensbeschermingsautoriteit zelf, hetzij door een autoriteit met bevoegdheid op grond van nationaal recht. Een rechtstreeks gevolg van een dergelijke opschorting of intrekking is dat de betreffende voor de verwerking verantwoordelijke een andere manier moet vinden om passende bescherming te bieden voor de overgedragen gegevens, bijvoorbeeld door akkoord te gaan met de modelcontractbepalingen uit Besluit 2010/87/EU en een nieuwe aanvraag in te dienen voor deze overdrachten bij de bevoegde gegevensbeschermingsautoriteiten overeenkomstig de toepasselijke nationale wetgeving Aansprakelijkheid Algemeen recht op herstel en waar toepasselijk op schadevergoeding In de voorschriften moet worden aangegeven dat de rechten toegekend aan betrokkenen als derde-begunstigden en het recht op verhaal van de voor de verwerking verantwoordelijke ook 17 Zie hoofdstuk 5. 21

22 de rechtsmiddelen en het recht op vergoeding van de eventuele schade dient te omvatten (in het geval van betrokkenen dient deze de materiële schade te dekken, maar ook eventueel psychisch leed). In aanvulling op dit algemene recht moeten de voorschriften ook bepalingen bevatten over aansprakelijkheid en jurisdictie die de praktische uitoefening van deze rechten moet vergemakkelijken Voorschriften over aansprakelijkheid Aansprakelijkheidsvoorschriften ten behoeve van betrokkenen Als derde-begunstigden hebben betrokkenen het recht om de BBV af te dwingen jegens onderdelen van de verwerkersgroep die de BBV hebben geschonden. De BBV voor verwerkers dienen bovendien vast te stellen welk lid van de groep: i) het hoofdkantoor in de EU, ii) het onderdeel van de verwerkersgroep waaraan de verantwoordelijkheid voor gegevensbescherming is gedelegeerd, of iii) de exporteurverwerker in de EU (bijvoorbeeld de partij in de EU die een contract heeft afgesloten met de voor de verwerking verantwoordelijke), de verantwoordelijkheid aanvaardt en ermee instemt om de noodzakelijke maatregelen te treffen om de gevolgen te verhelpen van handelingen van leden van de organisatie die buiten de EU zijn gevestigd (wanneer zij de BBV of de dienstverleningsovereenkomst hebben geschonden) of van inbreuken op de schriftelijke overeenkomst (vermeld onder punt ) die zijn veroorzaakt door externe subverwerkers die buiten de EU gevestigd zijn, inclusief waar toepasselijk vergoeding van de veroorzaakte schade. Wanneer de organisatie kiest voor de derde optie (exporteur-verwerker in de EU), dient zij aan de eerstverantwoordelijke gegevensbeschermingsautoriteit toe te lichten waarom er geen entiteit kon worden aangewezen die aansprakelijk is voor de hele groep. Als een buiten de EU gevestigd onderdeel van de groep of een buiten de EU gevestigde externe subverwerker inbreuk maakt op de BBV, zal het aangewezen onderdeel van de groep hiervoor aansprakelijkheid aanvaarden alsof hij de inbreuk zelf had gepleegd in de lidstaat waar hij is gevestigd. Het betreffende onderdeel mag inbreuken op de verplichtingen door een (interne of externe) subverwerker niet gebruiken om zijn eigen aansprakelijkheid te vermijden. In het geval dat geen enkel onderdeel van de organisatie in de EU is gevestigd, zal het buiten de EU gevestigde hoofdkantoor van de groep deze aansprakelijkheid op zich nemen Aansprakelijkheidsvoorschriften ten behoeve van de voor de verwerking verantwoordelijke De BBV voor verwerkers dienen te bepalen dat alle voor de verwerking verantwoordelijken het recht hebben de BBV voor verwerkers af te dwingen jegens ieder onderdeel van de verwerkersgroep in geval van door hen gepleegde inbreuken. De voor de verwerking verantwoordelijke moet ook bevoegd zijn de schriftelijke overeenkomst (vermeld onder punt 22