Gegevensbescherming - Binding Corporate Rules programma 

EY heeft een Binding Corporate Rules[1] (BCR’s) programma opgesteld om te voldoen aan de Europese wet- en regelgeving voor gegevensbescherming. Dit BCR programma ziet in het bijzonder op het doorgeven van persoonsgegevens binnen het EY-netwerk en bestaat uit zowel een BCR Verwerkingsverantwoordelijke Beleid (BCR Controller Policy) als een BCR Verwerker Beleid (BCR Processor Policy).

In het BCR programma verwijst “EY” naar de wereldwijde organisatie van onafhankelijke aangesloten lidfirma’s (“EY Member Firm” of “EY lidfirma”) en andere entiteiten in de EY-organisatie (“EY Network entity” of “EY netwerk entiteiten”) die verplicht zijn te voldoen aan de vereisten van Ernst & Young Global Limited (”EYG”). EYG is de centrale governance entiteit van de EY organisatie en coördineert de EY netwerk entiteiten en de onderlinge samenwerking tussen deze entiteiten.

Wat is de wet- en regelgeving voor gegevensbescherming?

De wet- en regelgeving voor gegevensbescherming in Europa geeft mensen het recht om te controleren hoe hun persoonsgegevens1 worden gebruikt. Wanneer EY persoonsgegevens verzamelt en gebruikt van haar huidige, voormalige en toekomstige partners en werknemers, klanten, leveranciers, onderaannemers en andere derden, valt dit onder de wet- en regelgeving voor gegevensbescherming.

Hoe beïnvloedt de wetgeving voor gegevensbescherming EY op internationaal gebied?

De wet- en regelgeving voor gegevensbescherming staat niet toe dat persoonsgegevens worden doorgegeven naar landen buiten Europa 3 zonder dat een adequaat niveau van gegevensbescherming wordt gewaarborgd. Sommige landen waar EY actief is, worden door Europese gegevensbeschermingsautoriteiten niet beschouwd als landen die een adequaat niveau van gegevensbescherming aan individuen bieden.

Wat doet EY hieraan?

EY dient gepaste maatregelen te nemen om ervoor te zorgen dat het gebruik van persoonsgegevens op een internationale basis veilig en rechtmatig is. Het doel van het BCR programma is dan ook om een raamwerk te ontwikkelen om te voldoen aan de normen van de Europese wet- en regelgeving voor gegevensbescherming en, om als gevolg daarvan, een adequaat niveau van gegevensbescherming te bieden voor alle persoonsgegevens die van EY netwerk entiteiten binnen Europa worden doorgegeven naar het EY netwerk entiteiten buiten Europa.

EY past het BCR programma wereldwijd toe in alle gevallen waarin EY persoonsgegevens zowel handmatig als automatisch verwerkt, ongeacht of de persoonsgegevens betrekking hebben op EY haar huidige, voormalige en toekomstige partners en werknemers, klanten, leveranciers, onderaannemers en andere derden3.

In het BCR programma staan een aantal hoofdregels centraal die gebaseerd zijn op en geïnterpreteerd worden in overeenstemming met de relevante Europese normen voor gegevensbescherming. Deze regels moeten door elke partner, werknemer of aannemer worden nageleefd wanneer zij omgaan met persoonsgegevens.

Alle EY lidfirma’s moeten het BCR programma naleven wanneer zij zich aansluiten bij EYG door het ondertekenen van een toetredingsovereenkomst. Door de toetredingsovereenkomst te ondertekenen, zijn de EY lidfirma’s onderworpen aan alle gemeenschappelijke normen, methoden en beleidslijnen van EY die zijn vastgelegd in de EYG voorschriften. Het BCR programma is onderdeel van één van de gemeenschappelijke standaarden die specifiek worden genoemd in de EYG voorschriften. EY lidfirma’s zijn ervoor verantwoordelijk dat de entiteiten die onder hun toezicht vallen ook voldoen aan de EYG voorschriften.

Uw persoonsgegevens beheren

 Als u toegang wilt tot uw persoonsgegevens die door EY worden verwerkt of als u uw persoonsgegevens wilt laten corrigeren, verwijderen, de verwerking van uw persoonsgegevens wilt beperken of als u een gemakkelijke (over)draagbaar kopie van uw persoonsgegevens wilt ontvangen, neem dan  contact met ons op.

Aanvullende informatie

Klik hier voor de volledige tekst van EY haar BCR Controller Policy  (pdf).

Klik hier Voor de volledige tekst van EY haar BCR Processor Policy (pdf).

Lees onze "BCR: a global data-sharing solution (pdf)" brochure voor meer informatie over ons BCR programma.

Als u vragen heeft over de bepalingen in het BCR programma, uw rechten in het kader van dit BCR programma of andere gegevensbescherming gerelateerde zaken, dan kunt u contact opnemen met de EY Global Privacy Leader die de zaak zal behandelen of doorsturen naar de juiste persoon of afdeling binnen EY. De EY Global Privacy Leader is te bereiken via:

Andrew Heaton
Global Privacy Leader

Voetnoten

1 In het Nederlands worden dit de bindende bedrijfsvoorschriften genoemd. Omdat in veel documentatie de afkorting BCR wordt gebruikt, is in het kader van uniformiteit ervoor gekozen om de Engelse term ook hier te hanteren.

2 Persoonsgegevens betreft alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon zoals beschreven in de Europese Algemene verordening gegevensbescherming (AVG), of in het Engels, de General Data Protection Regulation (GDPR).

3 In het kader van de BCR wordt met een verwijzing naar Europa de EER en Zwitserland bedoeld.

4 In de Europese wetgeving voor gegevensbescherming betekent 'verwerking' elke (reeks) bewerkingen die, al dan niet automatisch, op persoonsgegevens worden uitgevoerd. Dit wordt breed geïnterpreteerd, en omvat het verzamelen, opslaan, ordenen, vernietigen, wijzigen, raadplegen en openbaar maken van de persoonsgegevens.