Binding Corporate Rules

Een passend en uniform niveau van gegevensbescherming

Fresenius moet zich wereldwijd aan veel wetten houden die de bescherming van persoonsgegevens regelen. De bindende bedrijfsvoorschriften (oftewel Binding Corporate Rules, hierna BCR genoemd) stellen een uniform en passend niveau van gegevensbescherming vast. Dit maakt de interne gegevensuitwisseling tussen de entiteiten van Fresenius mogelijk.

Over de gehele wereld van toepassing

De BCR zijn van toepassing op de volgende entiteiten van Fresenius:

• Fresenius Kabi AG inclusief alle dochter- en gelieerde ondernemingen
• Fresenius Digital Technology (FDT)
• Fresenius SE & CO. KGaA

Op bepaalde activiteiten van toepassing

De BCR zijn van toepassing op de volgende activiteiten waarbij persoonsgegevens worden verwerkt:
- Alle activiteiten door Europese entiteiten
- Activiteiten door niet-Europese entieiten:

• Als zij persoonsgegevens verzamelen voor of namens een Europese entiteit van Fresenius
• Als zij samenwerken met een Europese entiteit van Fresenius
• Als zij persoonsgegevens ontvangen van een Europese entiteit
• Als zij persoonsgegevens verzamelen van personen die zich in Europa bevinden die gebruikt worden voor het aanbieden van goederen of diesnten of voor het observeren van gedrag

De BCR zijn van toepassing op papieren en elektronische verwerkingen.

De BCR zijn van toepassing op elke verwerking die gestructureerd naar persoonsgegevens doorzocht kan worden.

De BCR bepalen het minimumniveau

Als lokale wetegeving inzake de bescherming van persoonsgegevens strengere of aanvullende regels geeft dienen deze tevens in acht te worden genomen.

Als lokale wetgeving in tegenspraak is met de BCR, moet de functionaris gegevensbescherming hierover worden geïnformeerd. De functionaris gegevensbescherming beoordeelt het effect hiervan en lost de tegenstrijdigeheid op.

Als een entiteit een instructie van een instantie krijgt om persoonsgegevens over te dragen terwijl dit niet overeenkomst met de BCR-beginselen, moet de functionaris gegevensbescherming hierover geïnformeerd worden. De functionaris gegevensbescherming informeert de toezichthoudende autoriteit in Duitsland hierover.

De BCR zijn bindend voor de organisatie en onze medewerkers

De BCR moeten verplicht worden gsteld en zijn bindend voor:

- alle entiteiten; zij sluiten hiervoor een overeenkomst
- alle medewerkers; op basis van hun arbeidsovereenkomst hebben zij de verplichting het bedrijfsbeleid na te leven

Organisaties en personen kunnen rechten aan deze verplichtingen ontlenen (zie paragraaf 6, 9 en 10).

Handhavong van de BCR en eventuele sancties wegens schending daarvan zijn hetzelfde als bij elke andere schending van het bedrijfsbeleid.

De Fresenius Groep heeft een interne organisatie voor gegevensbescherming opgericht en de volgende taken enverantwoordelijkheden toegewezen:

• De functionaris voor gegevensbescherming (DPO) houdt toezicht, d.w.z. controleert en overziet of de BCR, lokale wetten, regels en processen worden nageleefd. De DPO kan audits, reviews, evaluaties en onderzoeken uitvoeren. De DPO is ook het contactpunt voor de gegevensbeschermingsautoriteiten in Europa.
  De contactgegevens zijn:
  
  Data Protection Officer
  Else-Kröner-Str. 1
  61352 Bad Homburg v.d.H.
  Duitsland
  E-mail:
  Voor Fresenius SE en Netcare: dataprotectionofficer@fresenius.com
  Voor Fresenius Kabi entiteiten: dataprotectionofficer@fresenius-kabi.com

• De Local Data Protection Advisor (LDPA) helpt en adviseert lokale medewerkers en proceseigenaren binnen een land of locatie bij alle vragen of problemen in verband met gegevensbescherming. Waar nodig ondersteunt de LDPA de DPA en de DPO, bijv. op verzoek in zijn toezichthoudende functie en in contacten met de toezichthoudende autoriteiten, bijvoorbeeld vanwege taalproblemen.
• De Data Protection Advisor (DPA) verricht ondersteunende en adviserende taken voor de LDPAs en is verantwoordelijk voor het gegevensbeschermingsbeheersysteem. Waar nodig ondersteunt de DPA de DPO op verzoek bij zijn toezichthoudende functie en het contact met de toezichthoudende autoriteiten, bijvoorbeeld vanwege taalproblemen.

Bij de verwerking van persoonsgegevens volgen wij verschillende beginselen om de fundamentele rechten en vrijheden van personen te beschermen overeenkomstig de BCR. Elke entiteit moet bij de verwerking van persoonsgegevens de volgende beginselen in acht nemen:

Beginsel 1: Rechtmatigheid

Beschikken over een gedocumenteerde rechtsgrondslag voor het verzamelen, gebruiken en verwerken van persoonsgegevens. Deze rechtsgrondslagen zijn limitatief opgesomd. Voorbeelden zijn:

- De verwerking is noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene, zoals personeels- en verkoopovereenkomsten
- De betrokkene heeft toestemming gegeven
- De gerechtvaardigde belangen van Fresenius zijn groter dan de negatieve gevolgen voor de betrokkenen.
- De noodzaak om te voldoen aan andere wettelijke verplichtingen, zoals belastingwetten, vigilantie-eisen of  GxP-vereisten.

Voor speciale gegevenscategorieën, zoals gezondheidsgegevens, zijn aanvullende rechtsgronden nodig.
Indien lokale wetgeving aanvullende of afwijkende bepalingen vereist, moeten deze ook worden gevolgd (dit kan bijvoorbeeld relevant zijn voor werknemersgegevens).

Beginsel 2: Transparantie en billijkheid

Persoonsgegevens op een eerlijke en transparante wijze verwerken. Betrokkenen voor of bij het verzamelen engebruiken van persoonsgegevens informeren over:

- Wie er verantwoordelijk is en hoe men contact met ons kan opnemen
- Welke gegevens worden verzameld
- Hoe de gegevens worden verzameld
- Waarom we de gegevens nodig hebben (doel)
- Met welke organisaties de gegevens worden gedeeld
- Of de informatie wordt gedeeld met andere landen
- Hoe lang de gegevens worden bewaard
- De rechtsgrondslag voor het verzamelen en gebruiken van gegevens en een toelichting daarop (beginsel 1)
- Indien de personen worden geprofileerdOf we geautomatiseerde beslissingen nemen
- Of de gegevens moeten worden verstrekt en wat er gebeurt als dat niet wordt gedaan
- De contactgegevens van de functionaris voor gegevensbescherming en de autoriteit
- De rechten die de betrokkenen hebben.
- Al deze informatie moet volledig en in een gemakkelijk toegankelijke vorm worden verstrekt, in duidelijke en eenvoudige taal.

Beginsel 3: Doelbinding

Persoonsgegevens uitsluitend gebruiken voor specifieke, uitdrukkelijk omschreven en legitieme doeleinden waarvoor ze zijn verzameld. Verder gebruik is niet toegestaan, tenzij dit verdere gebruik in overeenstemming is met het oorspronkelijke doel en/of aanvullende maatregelen zijn genomen.
Doeleinden voor verdere verwerking die over het algemeen in overeenstemming met het oorspronkelijke doel worden geacht, zijn:

- Archivering
- Interne controle
- Onderzoeken.

De (L)DPA kan advies verstrekken of een wijziging van het doel kan worden toegestaan. In het geval van een toegestane wijziging van het doel, moeten personen op de hoogte worden gebracht van dergelijke wijzigingen.

Beginsel 4: Minimale gegevensverwerking

Enkel persoonsgegevens die noodzakelijk zijn voor het vastgestelde doel dat aan de betrokkene is meegedeeld, verzamelen en gebruiken. Dat betekent dat de persoonsgegevens relevant moeten zijn en niet buitensporig in het kader van het doel.

Beginsel 5: Juistheid

Persoonsgegevens accuraat en actueel houden. Er moeten procedures worden opgesteld om ervoor te zorgen dat onjuiste gegevens onverwijld worden gewist, gecorrigeerd of bijgewerkt.

Beginsel 6: Opslagbeperking

Bewaar persoonsgegevens niet langer dan nodig is voor het doel waarvoor ze zijn verzameld, tenzij dit wettelijk verplicht is. In dat geval moet de toegang ertoe worden beperkt. Verwijder of anonimiseer persoonsgegevens als er geen wettelijke reden of doel meer is.

Beginsel 7: Veiligheid, integriteit en vertrouwelijkheid

Passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, openbaarmaking of toegang tot persoonsgegevens (bijvoorbeeld door middel van een passend concept van rollen en rechten, back-up en herstel of door gebruik te maken van versleuteling).
Bij de uitvoering van dergelijke maatregelen moet rekening worden gehouden met de risico's voor de betrokkene. De beveiliging van IT-systemen moet in het licht van deze risico's worden beoordeeld bij het installeren en onderhouden van IT-systemen.
Elke inbreuk op de beveiliging die waarschijnlijk een risico voor de betrokken personen inhoudt, moet worden gedocumenteerd en aan de gegevensbeschermingsorganisatie worden gemeld. Afhankelijk van de situatie moeten dergelijke inbreuken ook worden gemeld aan de toezichthoudende autoriteit, de betrokken personen of andere organisaties.

Beginsel 8: Verantwoordingsplicht

Kunnen aantonen dat de BCR wordt nageleefd. Dit gebeurt door het opstellen en bijhouden van passende documentatie zoals:

- Registers van verwerkingsactiviteiten
- De technische en organisatorische maatregelen die zijn genomen om aan de beginselen inzake gegevensbescherming te voldoen en de risico's aan te pakken
- Risico- en controlebeoordelingen inzake gegevensbescherming

Inschakeling van verwerkers

Alleen verwerkers inschakelen die voldoende garanties bieden om passende technische en organisatorische maatregelen te nemen zodat de verwerking voldoet aan de vereisten van de BCR en de lokale wetgeving inzake gegevensbescherming. Dit moet worden gewaarborgd door een gegevensbeschermingsovereenkomst tussen de betrokken entiteit en de verwerker.

(Verdere) Doorgifte van persoonsgegevens

Maatregelen implementeren om de doorgifte van persoonsgegevens aan andere organisaties buiten de EEA afdoende te beveiligen met inachtneming van de BCR. Dit kan gebeuren door met de andere organisatie standaardcontractbepalingen overeen te komen zoals die door de Europese Commissie zijn vastgesteld.

Risicobeoordeling inzake gegevensbescherming

Voor elke gegevensverwerkingsactiviteit moet een risicobeoordeling inzake gegevensbescherming worden verricht. Deze beoordeling is een formeel proces ter beoordeling van de gevolgen van de activiteit voor de rechten en vrijheden van de betrokkenen.

De vastgestelde controletekorten en de potentiële risico's moeten worden gerapporteerd en gedocumenteerd. Mitigerende technische en organisatorische maatregelen moeten worden uitgevoerd voordat de gegevensverwerkingsactiviteit van start gaat.
 

Impactbeoordeling gegevensbescherming

Indien het resultaat van de gegevensbeschermingsrisicobeoordeling een hoog risico is, moet een Data Protection Impact Assessment (DPIA) worden uitgevoerd. Het advies van de functionaris voor gegevensbescherming zal worden ingewonnen.

Wanneer uit een DPIA blijkt dat een specifieke gegevensverwerkingsactiviteit een hoog risico inhoudt, moet vóór de aanvang van de verwerkingsactiviteit passende maatregelen worden genomen om die risico's te beperken. Indien de DPIA na de uitvoering van de maatregelen nog steeds wijst op een hoog risico, moet de betrokken toezichthoudende autoriteit worden geraadpleegd voordat de gegevens worden verwerkt.

Personen moeten hun rechten kunnen uitoefenen (rechten van de betrokkenen):

• Recht op inzage in persoonsgegevens: De betrokkene kan toegang vragen tot/informatie krijgen over individuele persoonsgegevens die door Fresenius worden verwerkt (bv. het doel van de verwerking, de betrokken categorieën persoonsgegevens, de ontvangers, de bewaartermijnen, het eventuele bestaan van geautomatiseerde besluitvorming).
• Recht op correctie van persoonsgegevens: De betrokkene kan vragen onjuiste of onvolledige persoonsgegevens te corrigeren.
• Recht om persoonsgegevens te wissen: De betrokkene kan vragen zijn/haar persoonsgegevens te wissen, tenzij ze moeten worden bewaard, bv. wegens wettelijke bewaarplicht.
• Recht op beperking van de verwerking van persoonsgegevens: De betrokkene kan vragen de verwerking van zijn/haar persoonsgegevens te beperken indien de juistheid van de persoonsgegevens wordt betwist, of indien de verwerking onwettig is (niet langer vereist voor de nagestreefde doeleinden).
• Recht om persoonsgegevens in een overdraagbaar formaat te ontvangen: De betrokkene kan vragen zijn persoonsgegevens te ontvangen in een algemeen gebruikt en machinaal leesbaar formaat, indien aan de volgende voorwaarden is voldaan:
  • De persoonsgegevens zijn door de betrokkene verstrekt
  • De verwerking is gebaseerd op toestemming van de betrokkene of op een overeenkomst met de betrokkene.
  • De verwerking geschiedt langs geautomatiseerde weg.
• Recht om bezwaar te maken tegen de verwerking van persoonsgegevens: De betrokkene kan vanwege zijn persoonlijke situatie bezwaar maken tegen de verwerking van zijn persoonsgegevens op basis van een gerechtvaardigd of algemeen belang. Een dergelijk verzoek moet worden beoordeeld. Voorts kan de betrokkene bezwaar maken tegen direct marketing en profilering. De verwerking moet dan stoppen.
• Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming: De betrokkene heeft het recht niet te worden onderworpen aan geautomatiseerde besluitvorming (incl. profilering) die kan leiden tot juridische of soortgelijke significante gevolgen voor de betrokkene, tenzij:
  • Het noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst tussen de persoon en de respectieve entiteit
  • Het is gebaseerd op de uitdrukkelijke toestemming van de betrokkene.

Toegang tot de BCR

De BCR moet op passende wijze beschikbaar zijn. De BCR wordt gepubliceerd op internet en intranet.
Personen kunnen ook toegang krijgen tot de BCR door contact op te nemen met de betrokken functionaris voor gegevensbescherming of een lid van de gegevensbeschermingsorganisatie.

BCR klachtenbehandeling

Elke betrokkene heeft het recht om:

- Melding te maken van schending van de BCR, lokale wetgeving inzake gegevensbescherming, bevelen van toezichthoudende autoriteiten, het interne beleid en interne guidelines met betrekking tot gegevensbescherming
- Zijn individuele rechten uitoefenen
- Enig ander recht van de BCR af te dwingen

Dergelijke klachten kunnen bijvoorbeeld mondeling, telefonisch, per e-mail of per brief worden ingediend door de betrokken DPO, de betrokken (L)DPA of door de compliance hotline te benaderen.
Indien de klacht gerechtvaardigd wordt geacht, zal de entiteit passende maatregelen nemen om de klacht aan te pakken en de betrokkene binnen een maand op de hoogte brengen.

Aansprakelijkheid en handhaving

Personen die schade hebben geleden als gevolg van de verwerking van hun persoonsgegevens, kunnen hun rechten afdwingen en in voorkomend geval een schadevergoeding ontvangen via een bevoegde rechtbank.
In geval van bewezen schendingen door partijen die buiten de EU/EFA zijn gevestigd, aanvaardt FSE de verantwoordelijkheid en aansprakelijkheid voor eventuele schade richting de personen. De entiteit die de schade heeft veroorzaakt, moet FSE redelijke bijstand verlenen om tijdig op dergelijke klachten of verzoeken te reageren.

Samenwerking met toezichthoudende autoriteiten

Elke entiteit moet met de toezichthoudende autoriteiten samenwerken, advies over de interpretatie van de BCR opvolgen en aanvaarden dat zij door de betrokken toezichthoudende autoriteiten wordt gecontroleerd.

Training

Elke entiteit zal haar werknemers inschrijven en verplichten om deel te nemen aan een opleiding over de BCR en gegevensbescherming en deze opleiding regelmatig herhalen. De algemene opleiding moet ten minste jaarlijks worden verstrekt aan alle betrokken werknemers. Voorts worden er functie-specifieke opleidingen (bv. voor HR- of inkoopafdelingen) verstrekt, gelet op de specifieke behoeften van bepaalde functies/personen.

Audits

Alle partijen verbinden zich ertoe regelmatig te worden gecontroleerd (via geplande of ad-hoc audits) om de naleving van de BCR te evalueren en passende en afdoende maatregelen te nemen om niet-naleving van de BCR door een entiteit te verhelpen. De gegevensbeschermingsorganisatie zorgt voor de follow-up van elke uitgevoerde audit om te beoordelen of de voorgestelde corrigerende maatregelen naar behoren zijn uitgevoerd en documenteert alle resultaten in het auditverslag. Elke entiteit stelt auditverslagen ter beschikking op verzoek van de toezichthoudende autoriteiten.

Update van de BCR

Partijen zullen de lokale wetgeving inzake gegevensbescherming evalueren en aangeven of wijzigingen in de BCR nodig zijn. Fresenius kan de BCR zo nodig wijzigen. Alle belangrijke wijzigingen in de BCR worden onmiddellijk gemeld aan elke entiteit en aan de toezichthoudende autoriteit. Alle andere niet-substantiële wijzigingen in de BCR zullen zo spoedig mogelijk aan de partijen worden gemeld.