Maandagmiddag 19 september promoveerde Lokke Moerel, partner ICT bij advocatenkantoor De Brauw Blackstone Westbroek in Amsterdam op ‘Binding corporate rules. Fixing the regulatory patchwork of data protection’. Multinationals voeren steeds vaker wereldwijde privacy codes in, zogeheten ‘Binding Corporate Rules’ om internationale doorgifte van persoonsgegevens te faciliteren omdat de nationale wetgeving van de Europese landen op dit punt tekortschiet. Moerel pleit voor internationale erkenning van deze nieuwe vorm van zelfregulering.
Moerel licht toe: ‘In het huidige digitale tijdperk verwerken multinationals steeds meer persoonsgegevens van hun werknemers en klanten. Ik constateer in mijn proefschrift dat multinationals deze gegevens steeds vaker in centrale IT systemen verwerken, waartoe al hun vestigingen toegang hebben. Deze centrale systemen worden vervolgens beheerd door outsourcing leveranciers, die op hun beurt deze persoonsgegevens weer vanuit off shore locaties bijvoorbeeld in India verwerken. Gevolg hiervan is dat de gegevens van werknemers en klanten continue wereldwijd worden doorgegeven’.
Lokke Moerel stelt in haar proefschrift dat met de toepassing van cloud computing deze persoonsgegevens zelfs overal aanwezig zijn, en niet meer aan een bepaalde locatie kunnen worden gekoppeld. Wetgeving is echter aan het grondgebied van staten verbonden. Gevolg hiervan is een wereldwijd woud van nationale privacyregels, die elkaar vergaand overlappen en soms zelfs conflicteren, waardoor het voor multinationals bijna onmogelijk is om aan alle nationale regels te voldoen. In plaats daarvan, voeren multinationals zelf door middel van een ‘global privacy policy’ wereldwijd uniforme regels in voor de verwerking van persoonsgegevens.
Deze Binding Corporate Rules zijn inmiddels erkend door de privacy toezichthouders in de verschillende Europese lidstaten. Moerel onderzocht wat er voor nodig is om deze vorm van wereldwijde zelfregulering ook geaccepteerd te krijgen in met name de US. Haar conclusie is dat Binding Corporate Rules een passende bescherming kunnen bieden en doet een aantal voorstellen tot verbetering aan de Europese wetgever om Binding Corporate Rules als internationaal instrument geaccepteerd te krijgen.
Het is een zeer belangrijk en interessant thema, omdat de nieuwste technologie nationale grenzen doorbreekt en daardoor allerlei problemen ontstaan, waarvan privacy een van de belangrijkste is. Met het strikt handhaven van keiharde nationale wetgeving zal de praktijk van outsourcing en cloud computing steeds verder af komen te staan van de theoretische wettelijke kaders van de verschillende staten. Vandaar dat ‘Binding Corporate Rules’ een uitstekend middel kunnen zijn om deze problematiek te doorbreken. Uiteraard dient een toetsingsinstrument te worden ontwikkeld, waarmee het mogelijk wordt te constateren of deze Binding Corporate Rules ook werkelijk in de prakrijk worden toegepast en dat ze als een leidraad dienen bij het verwerken van gegevens.
Het proefschrift is verkrijgbaar via De Brauw Blackstone Westbroek.