Binding Corporate Rules

Een passend en uniform niveau van gegevensbescherming

Fresenius moet wereldwijd veel wetten inzake gegevensbescherming naleven. De Binding Corporate Rules (BCR) stellen een uniform en adequaat niveau van gegevensbescherming vast. Dit maakt de interne uitwisseling van persoonsgegevens tussen de Fresenius-entiteiten in het toepassingsgebied mogelijk.

Bindend in de hele wereld

De BCR zijn van toepassing op de volgende Fresenius-entiteiten:

• Fresenius Kabi AG including all subsidiaries / affiliates 
• Fresenius Digital Technology GmbH
• Fresenius SE & Co. KGaA

Van toepassing op bepaalde activiteiten

De BCR zijn van toepassing op de volgende verwerkingen van persoonsgegevens:: 

• Alle activiteiten van Europese entiteiten.
• Alle activiteiten van niet-Europese entiteiten:
  • Wanneer zij persoonsgegevens verzamelen namens een Europese Fresenius-entiteit of
  • Wanneer zij samenwerken met een Europese Fresenius-entiteit
  • Wanneer zij persoonsgegevens ontvangen van Europese entiteiten
  • Wanneer zij persoonsgegevens verzamelen van personen die zich in Europa bevinden voor het aanbieden van goederen en diensten of in verband met het monitoren van gedrag.

De BCR zijn van toepassing op zowel papieren als IT gebaseerde processen.
De BCR gelden voor alle processen waarbij op gestructureerde wijze naar persoonsgegevens kan worden gezocht.

BCR bepaalt het minimumniveau

Indien plaatselijke wetten inzake gegevensbescherming strengere of aanvullende regels voor de verwerking van persoonsgegevens voorschrijven, moeten deze aanvullend worden nageleefd.

Indien een lokale wet in strijd is met de BCR, moet de functionaris voor gegevensbescherming (DPO) worden ingelicht. De DPO beoordeelt de impact en lost het conflict op.

Indien een entiteit een bevel van een autoriteit ontvangt om persoonsgegevens bekend te maken die niet in overeenstemming zijn met de vereisten van de BCR, moet de DPO daarvan in kennis worden gesteld. De DPO zal de toezichthoudende autoriteit in Duitsland informeren.

BCR is bindend voor de organisatie en onze medewerkers

BCR zijn opgelegd en bindend voor:

• Alle entiteiten: zij ondertekenen een contract
• Alle werknemers: zij zijn verplicht het bedrijfsbeleid te volgen op basis van hun arbeidsovereenkomst.

Organisaties en personen hebben ook rechten binnen deze verplichtingen.
De handhaving van de BCR en mogelijke sancties wegens overtredingen zijn dezelfde als bij elke andere beleidsovertreding.

De Fresenius Groep heeft een interne organisatie voor gegevensbescherming opgericht en de volgende taken en verantwoordelijkheden toegewezen:

• De functionaris voor gegevensbescherming (DPO) houdt toezicht, d.w.z. controleert en overziet of de BCR, lokale wetten, regels en processen worden nageleefd. De DPO kan audits, reviews en onderzoeken uitvoeren. De DPO is ook het contactpunt voor de gegevensbeschermingsautoriteiten in Europa. De contactgegevens zijn:
  Data Protection Officer:
  Else-Kröner-Str. 1
  61352 Bad Homburg v.d.H.
  Germany
  Or per mail:
  For Fresenius SE and Netcare: dataprotectionofficer@fresenius.com
  For Fresenius Kabi entities: dataprotectionofficer@fresenius-kabi.com
  
• De Local Data Protection Advisor (LDPA) helpt en adviseert lokale medewerkers en proceseigenaren bij vragen of problemen in verband met gegevensbescherming. Waar nodig ondersteunt de LDPA de DPA en de DPO, bijv. op verzoek in zijn toezichthoudende functie en in contacten met de toezichthoudende autoriteiten, bijvoorbeeld vanwege taalproblemen.
• De Data Protection Advisor (DPA) verricht ondersteunende en adviserende taken voor de LDPAs en is verantwoordelijk voor het gegevensbeschermingsbeheersysteem. Waar nodig ondersteunt de DPA de DPO op verzoek bij zijn toezichthoudende functie en het contact met de toezichthoudende autoriteiten, bijvoorbeeld vanwege taalproblemen.

Bij de verwerking van persoonsgegevens volgen wij verschillende beginselen om de fundamentele rechten en vrijheden van personen te beschermen overeenkomstig de BCR. Elke entiteit moet bij de verwerking van persoonsgegevens de volgende beginselen in acht nemen:

Principe 1: Rechtmatigheid

Beschikken over een gedocumenteerde rechtsgrondslag voor het verzamelen, gebruiken en verwerken van persoonsgegevens. Deze rechtsgrondslagen zijn limitatief opgesomd. Voorbeelden zijn:

• De verwerking is noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene, zoals personeels- en verkoopovereenkomsten
• De betrokkene heeft toestemming gegeven
• De legitieme belangen van Fresenius zijn groter dan de negatieve gevolgen voor de individuen
• De noodzaak om te voldoen aan andere wettelijke verplichtingen, zoals belastingwetten, vigilantie-eisen of GxP-vereisten

Voor speciale gegevenscategorieën, zoals gezondheidsgegevens, zijn aanvullende rechtsgronden nodig.
Indien lokale wetgeving aanvullende of afwijkende bepalingen vereist, moeten deze ook worden gevolgd (dit kan bijvoorbeeld relevant zijn voor werknemersgegevens).

Principe 2: Transparantie en bilijkheid

Persoonsgegevens eerlijk en transparant behandelen. Betrokkenen voor of bij het verzamelen en gebruiken van persoonsgegevens informeren over:

• Wie is verantwoordelijk en hoe kunnen we gecontacteerd worden
• Welke gegevens worden verzameld
• Hoe de gegevens worden verzameld
• Waarom we de gegevens nodig hebben (doel)
• Met welke organisaties de gegevens worden gedeeld
• Het delen met andere landen
• Hoe lang de gegevens worden opgeslagen
• De rechtsgrondslag voor het verzamelen en gebruiken van gegevens en een toelichting daarop (principe 1)
• Indien de personen worden geprofileerd
• Als we geautomatiseerde beslissingen nemen
• Als de gegevens moeten worden verstrekt en wat er gebeurt als dat niet gebeurt
• De contactgegevens van de functionaris voor gegevensbescherming en de autoriteit
• De rechten die de betrokkenen hebben.

Al deze informatie moet volledig en in een gemakkelijk toegankelijke vorm worden verstrekt, in duidelijke en heldere taal.

Principe 3: Doelbinding

Persoonsgegevens uitsluitend gebruiken voor specifieke, expliciete en legitieme doeleinden waarvoor ze zijn verzameld. Verder gebruik is niet toegestaan, tenzij dit verdere gebruik in overeenstemming is met het oorspronkelijke doel en/of aanvullende maatregelen worden genomen.
Doeleinden voor verdere verwerking die over het algemeen in overeenstemming met het oorspronkelijke doel worden geacht, zijn:

• Archivering
• Interne audits
• Onderzoeken.

De (L)DPA kan advies verstrekken of een wijziging van het doel kan worden toegestaan. In het geval van een toegestane wijziging van het doel, moeten personen op de hoogte worden gebracht van dergelijke wijzigingen.

Principe 4: Gegevensminimalisatie

Enkel persoonsgegevens die noodzakelijk zijn voor het vastgestelde doel dat aan de betrokkene is meegedeeld, verzamelen en gebruiken. Dat betekent dat de persoonsgegevens relevant moeten zijn en niet buitensporig in het kader van het doel.

Principe 5: Nauwkeurigheid

Persoonsgegevens accuraat en actueel houden. Er moeten procedures worden toegepast om ervoor te zorgen dat onjuiste gegevens onverwijld worden gewist, gecorrigeerd of bijgewerkt.

Principe 6: Opslagberking

Bewaar persoonsgegevens niet langer dan nodig is voor het doel waarvoor ze zijn verzameld, tenzij dit wettelijk verplicht is. In dat geval moet de toegang ertoe worden beperkt. Persoonsgegevens verwijderen of anonimiseren als er geen wettelijke reden of doel meer is.

Principe 7: Veiligheid, integriteit en vertrouwelijkheid

Passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, openbaarmaking of toegang tot persoonsgegevens (bijvoorbeeld door middel van een passend concept van rollen en rechten, back-up en herstel of door gebruik te maken van versleuteling).
Bij de uitvoering van dergelijke maatregelen moet rekening worden gehouden met de risico's voor de betrokkene. De beveiliging van IT-systemen moet in het licht van deze risico's worden beoordeeld bij het installeren en onderhouden van IT-systemen.
Elke inbreuk op de beveiliging die waarschijnlijk een risico voor de betrokken personen inhoudt, moet worden gedocumenteerd en aan de gegevensbeschermingsorganisatie worden gemeld. Afhankelijk van de situatie moeten dergelijke inbreuken ook worden gemeld aan de toezichthoudende autoriteit, de betrokken personen of andere organisaties.

Principe 8: Verantwoordingsplicht

Kunnen aantonen dat de BCR wordt nageleefd. Dit gebeurt door het opstellen en bijhouden van passende documentatie zoals:: 

• registers van verwerkingsactiviteiten
• de technische en organisatorische maatregelen die zijn genomen om aan de beginselen inzake gegevensbescherming te voldoen en de risico's aan te pakken.
• risico- en controlebeoordelingen inzake gegevensbescherming

Engagement van verwerkers

Alleen verwerkers inschakelen die voldoende garanties bieden om passende technische en organisatorische maatregelen te nemen zodat de verwerking voldoet aan de vereisten van de BCR en de lokale wetgeving inzake gegevensbescherming. Dit moet worden gewaarborgd door een gegevensbeschermingsovereenkomst tussen de betrokken entiteit en de verwerker.

(Verdere) Transfer van persoonsgegens

Maatregelen implementeren om de doorgifte van persoonsgegevens aan andere organisaties buiten de EEA afdoende te beveiligen met inachtneming van de BCR. Dit kan gebeuren door met de andere organisatie standaardcontractbepalingen overeen te komen zoals die door de Europese Commissie zijn vastgesteld.

Data protection risk assessment

Voor elke gegevensverwerkingsactiviteit moet een risicobeoordeling inzake gegevensbescherming worden verricht. Deze beoordeling is een formeel proces ter beoordeling van de gevolgen van de activiteit voor de rechten en vrijheden van de betrokkenen.

De vastgestelde controletekorten en de potentiële risico's moeten worden gerapporteerd en gedocumenteerd. Mitigerende technische en organisatorische maatregelen moeten worden uitgevoerd voordat de gegevensverwerkingsactiviteit van start gaat.

Data protection impact assessments

Indien het resultaat van de gegevensbeschermingsrisicobeoordeling een hoog risico is, moet een Data Protection Impact Assessment (DPIA) worden uitgevoerd. Het advies van de functionaris voor gegevensbescherming zal worden ingewonnen.

Wanneer uit een DPIA blijkt dat een specifieke gegevensverwerkingsactiviteit een hoog risico inhoudt, moeten vóór de aanvang van de verwerkingsactiviteit passende maatregelen worden genomen om die risico's te beperken. Indien de DPIA na de uitvoering van de maatregelen nog steeds wijst op een hoog risico, moet de betrokken toezichthoudende autoriteit worden geraadpleegd voordat de gegevens worden verwerkt.

Personen moeten hun rechten kunnen uitoefenen (rechten van de betrokkenen):

• Recht op toegang tot persoonsgegevens: De betrokkene kan toegang vragen tot/informatie krijgen over individuele persoonsgegevens die door Fresenius worden verwerkt (bv. het doel van de verwerking, de betrokken categorieën persoonsgegevens, de ontvangers, de bewaartermijnen, het eventuele bestaan van geautomatiseerde besluitvorming).
• Recht op correctie van persoonsgegevens: De betrokkene kan vragen onjuiste of onvolledige persoonsgegevens te corrigeren.
• Recht om persoonsgegevens te wissen: De betrokkene kan vragen zijn/haar persoonsgegevens te wissen, tenzij ze moeten worden bewaard, bv. wegens wettelijke bewaarplicht.
• Recht op beperking van de verwerking van persoonsgegevens: De betrokkene kan vragen de verwerking van zijn/haar persoonsgegevens te beperken indien de juistheid van de persoonsgegevens wordt betwist, of indien de verwerking onwettig is (niet langer vereist voor de nagestreefde doeleinden).
• Recht om persoonsgegevens in een overdraagbaar formaat te ontvangen: TDe betrokkene kan vragen zijn persoonsgegevens te ontvangen in een algemeen gebruikt en machinaal leesbaar formaat, indien aan de volgende voorwaarden is voldaan:
  • De persoonsgegevens zijn door de betrokkene verstrekt
  • De verwerking is gebaseerd op toestemming van de betrokkene of op een overeenkomst met de betrokkene.
  • De verwerking geschiedt langs geautomatiseerde weg.
• Recht om bezwaar te maken tegen de verwerking van persoonsgegevens: De betrokkene kan vanwege zijn persoonlijke situatie bezwaar maken tegen de verwerking van zijn persoonsgegevens op basis van een gerechtvaardigd of algemeen belang. Een dergelijk verzoek moet worden beoordeeld. Voorts kan de betrokkene bezwaar maken tegen direct marketing en profilering. De verwerking moet dan stoppen.
• Recht om niet te worden ontworpen aan geautomatiseerde besluitvorming: De betrokkene heeft het recht niet te worden onderworpen aan geautomatiseerde besluitvorming (incl. profilering) die kan leiden tot juridische of soortgelijke significante gevolgen voor de betrokkene, tenzij:
  • Het noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst tussen de persoon en de respectieve entiteit
  • Het is gebaseerd op de uitdrukkelijke toestemming van de betrokkene.

Toegant tot de BCR

De BCR moet voor particulieren op passende wijze beschikbaar zijn. De BCR wordt gepubliceerd op internet en intranet.
Personen kunnen ook toegang krijgen tot de BCR door contact op te nemen met de betrokken functionaris voor gegevensbescherming of een lid van de gegevensbeschermingsorganisatie.

BCR complaint handling

Elke betrokkene heeft recht:

• Melding te maken van schending van de BCR, lokale wetgeving inzake gegevensbescherming, bevelen van toezichthoudende autoriteiten, het interne beleid en interne guidelines met betrekking tot gegevensbescherming.
• Zijn individuele rechten uitoefenen
• Handhaving van elk ander recht van de BCR.

Dergelijke klachten kunnen bijvoorbeeld mondeling, telefonisch, per e-mail of per brief worden ingediend door de betrokken DPO, de betrokken (L)DPA of de compliance hotline te benaderen.

Indien de klacht gerechtvaardigd wordt geacht, zal de entiteit passende maatregelen nemen om de klacht aan te pakken en de betrokkene binnen een maand op de hoogte brengen.

Aansprakelijkheid en handhaving

Personen die schade hebben geleden als gevolg van de verwerking van hun respectieve persoonsgegevens, kunnen hun rechten afdwingen en in voorkomend geval schadevergoeding ontvangen via een bevoegde rechtbank. In geval van bewezen schendingen door partijen die buiten de EU/EFA zijn gevestigd, aanvaardt FSE de verantwoordelijkheid en aansprakelijkheid voor eventuele schade richting de personen. De entiteit die de schade heeft veroorzaakt, moet FSE redelijke bijstand verlenen om tijdig op dergelijke klachten of verzoeken te reageren.

Samenwerking met toezichthoudende autoriteiten

Elke entiteit moet met de toezichthoudende autoriteiten samenwerken, advies over de interpretatie van de BCR opvolgen en aanvaarden dat zij door de betrokken toezichthoudende autoriteiten wordt gecontroleerd.

Training

Elke entiteit zal haar werknemers inschrijven en verplichten deel te nemen aan een opleiding over de BCR en gegevensbescherming en deze opleiding regelmatig herhalen. De algemene opleiding moet ten minste twee keer per jaar worden verstrekt aan alle betrokken werknemers. Voorts worden er functie-specifieke opleidingen (bv. voor HR- of inkoopafdelingen) verstrekt, gelet op de specifieke behoeften van bepaalde functies/personen.

Audit

Alle partijen verbinden zich ertoe regelmatig te worden gecontroleerd (via geplande of ad-hoc audits) om de naleving van de BCR te evalueren, de naleving te toetsen en adequate en toereikende mechanismen in te voeren om niet-naleving van de BCR door een entiteit te verhelpen. De gegevensbeschermingsorganisatie zorgt voor de follow-up van elke uitgevoerde audit om te beoordelen of de voorgestelde corrigerende maatregelen naar behoren zijn uitgevoerd en documenteert alle resultaten in het auditverslag. Elke entiteit stelt auditverslagen op verzoek ter beschikking van de toezichthoudende autoriteiten.

Update van de BCR

Partijen zullen de lokale wetgeving inzake gegevensbescherming evalueren en aangeven of wijzigingen in de BCR nodig zijn. Fresenius kan de BCR zo nodig wijzigen. Alle belangrijke wijzigingen in de BCR worden onmiddellijk gemeld aan elke entiteit en aan de toezichthoudende autoriteit. Alle andere niet-substantiële wijzigingen in de BCR zullen zo spoedig mogelijk aan de partijen worden gemeld.