Vragen van het lid Schouw (D66) aan de minister van Veiligheid en Justitie over het artikel «Amerika graait in Europese clouddata» (ingezonden 5 juli 2011).

Antwoord van minister Opstelten (Veiligheid en Justitie) (ontvangen 5 september 2011) Zie ook Aanhangsel Handelingen, vergaderjaar 2010–2011, nr. 3178 

Vraag 1

Bent u bekend met het artikel «Amerika graait in Europese clouddata»?1

Antwoord 1

Ja.

Vraag 2

Bent u op de hoogte van het feit dat de autoriteiten van de VS zich met beroep op de Patriot Act toegang verschaffen tot persoonsgegevens opgeslagen op EU-grondgebied, door bedrijven met hoofdzetel in de VS?2 3

Antwoord 2

Het kan niet worden uitgesloten dat de relevante Amerikaanse wetgeving (zoals bijvoorbeeld 18 U.S.C. § 2703) een zodanige werking heeft dat bedrijven die een (hoofd)vestiging in de Verenigde Staten hebben verplicht kunnen worden tot het verstrekken van gegevens die door hen worden verwerkt, of waarover zij anderszins de beschikking hebben, ongeacht waar die gegevens zich bevinden. De desbetreffende wetgeving bevat geen bepalingen met betrekking tot de territoriale reikwijdte. Bovendien is het bekend dat Amerikaanse wetgeving niet zelden uitgaat van een ruime opvatting over de bescherming van Amerikaanse belangen en Amerikaanse staatsburgers. Vorderingen om toegang te krijgen tot persoonsgegevens worden doorgaans uitgevaardigd in de vorm van een rechterlijk bevel, soms na toetsing door een Grand Jury. Daarbij kan ter bescherming van onderzoeksbelangen degene tot wie het bevel zich richt worden verboden daarover enige mededeling aan derden te doen. Het niet naleven van die verplichting is met straf bedreigd. Mede om die reden is mij niet bekend of en hoe vaak de Amerikaanse autoriteiten dergelijke vorderingen hebben gedaan ten aanzien van binnen de EU opgeslagen gegevens, buiten de gebieden waarvoor een specifieke regeling bestaat, zoals passagiersgegevens en gegevens over het betalingsverkeer.

Vraag 3

Bent u bekend met de verklaring van de Europese Commissie dat binnen de EU opgeslagen persoonsgegevens vallen onder de EU Richtlijn Bescherming Persoonsgegevens 95/46 en dat bij de Europese Commissie niet bekend is dat de VS desalniettemin bij de in VS jurisdictie gevestigde hoofdzetels van bedrijven in de EU opgeslagen persoonsgegevens opvragen, als verwoord in punt 5?4

Antwoord 3

Ik ben bekend met deze antwoorden d.d. 27 juli 2007 van de Europese Commissie op schriftelijke vragen van Europarlementslid In ’t Veld.

Vraag 4

Kunt u toelichten waarom deze praktijk niet bekend was en waarom dit bij het genoemde onderzoek in 2007 niet aan het licht is gekomen? Zijn er op dit moment bij u gevallen bekend waarbij bedrijven, gevestigd in Nederland maar met een hoofdkantoor in de VS, verzoeken krijgen van Amerikaanse autoriteiten tot het inzien van persoonsgegevens? Zo ja, welke? Zo nee, bent u van plan om het College Bescherming Persoonsgegevens in te schakelen om uit te zoeken of en zo ja welke bedrijven zulke verzoeken krijgen van Amerikaanse autoriteiten?

Antwoord 4

Het Ministerie van Veiligheid en Justitie is niet betrokken geweest bij het genoemde onderzoek in 2007. Bij het Ministerie van Veiligheid en Justitie zijn ook thans geen gevallen bekend van bedrijven met een hoofdkantoor in de Verenigde Staten die door de Amerikaanse autoriteiten zijn verplicht gegevens te verstrekken die door die bedrijven in Nederland worden verwerkt. Het CBP is een onafhankelijke toezichthouder die zijn eigen onderzoeksagenda vaststelt. Het is daarom niet aan mij te bepalen of zij hier onderzoek naar (zullen) doen.

Vraag 5

Bent u van mening dat op deze wijze feitelijk de EU wetgeving betreffende de bescherming van persoonsgegevens wordt uitgeschakeld door extraterritoriale werking van de wetgeving van een derde land?

Antwoord 5

Feit is dat de extraterritoriale werking van de wetgeving van een derde land ertoe kan leiden dat bedrijven in de EU op bepaalde aspecten geconfronteerd worden met een conflict van plichten. Dat is mogelijk ook hier aan de hand. Het gaat echter te ver om te stellen dat het hele Europese stelsel voor de bescherming van persoonsgegevens hierdoor wordt uitgeschakeld.

Vraag 6

Welke stappen gaat u ondernemen om deze situatie te corrigeren en om juridische duidelijkheid te scheppen voor bedrijven en burgers over de bescherming van persoonsgegevens opgeslagen binnen de EU?

Antwoord 6

Het conflict van plichten dat kan ontstaan ten gevolge van de toepassing van Amerikaanse wetgeving is niet beperkt tot Nederland, maar treft alle lidstaten van de EU op vergelijkbare wijze. Het ligt daarom op de weg van de Europese Commissie om hiervoor een oplossing te vinden in overleg met de Amerikaanse autoriteiten. De Europese Commissie is van deze problematiek op de hoogte.

X Noot
1

http://webwereld.nl/nieuws/107156/amerika-graait-in-europese-clouddata.html?utm_source=feedburner&utm_ medium=twitter&utm_campaign=Feed%3A+Webwereld+%28Webwereld%29

X Noot
2

http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/11225

X Noot
3

http://www.europarl.europa.eu/sides/getAllAnswers.do?reference=P-2007-3213&language=EN

X Noot
4

Punt 5: «De Commissie heeft in samenwerking met de gegevensbeschermingsautoriteiten van de lidstaten onderzocht of commerciële organisaties met operaties of activiteiten in de Verenigde Staten, in het bijzonder dienstverlenende ondernemingen in de financiële sector, het voorwerp zijn geweest van dwingende verzoeken van de Amerikaanse autoriteiten om in de EU opgeslagen persoonsgegevens aan hen door te geven. Gebleken is dat de gegevensbeschermingsautoriteiten van de lidstaten geen weet hebben van dergelijke maatregelen, alhoewel door de gegevensbeschermingsautoriteiten van één lidstaat is gemeld dat ondernemingen met zetel op het grondgebied van die staat een dergelijk verzoek hebben gekregen, buiten het kader om van de bestaande instrumenten voor internationale wederzijdse rechtshulp.»

Naar boven