Vragen van het lid Van Raak (SP) aan de ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Veiligheid en Justitie over de bescherming van privacygevoelige gegevens van Nederlandse burgers tegenover de overheid van de Verenigde Staten (ingezonden 3 februari 2012).

Antwoord van staatssecretaris Teeven (Veiligheid en Justitie) (ontvangen 21 maart 2012) Zie ook Aanhangsel Handelingen, vergaderjaar 2011–2012, nr. 1638.

Vraag 1

Is het waar dat privacygevoelige informatie van Nederlandse burgers, waar u beiden van vindt dat die niet terecht zou mogen komen bij andere overheden, als gevolg van de Amerikaanse Patriot Act nog steeds in handen kan komen van de overheid van de Verenigde Staten?1

Antwoord 1

Zoals ik eerder heb geantwoord op vragen van het lid Schouw (Aanhangsel Handelingen, vergaderjaar 2010–2011, nr. 3514) kan niet worden uitgesloten dat Amerikaanse wetgeving een zodanige werking heeft dat bedrijven die een (hoofd)vestiging in de Verenigde Staten hebben door de rechter verplicht kunnen worden tot het verstrekken van gegevens die door hen worden verwerkt, of waarover zij anderszins de beschikking hebben, ongeacht waar die gegevens zich bevinden. Dat kan dus ook persoonsgegevens van Nederlandse burgers betreffen.

Vraag 2

Is het waar dat aanbieders van clouddiensten, als gevolg van de nieuwe Data Protection Regulation, juridisch kunnen worden aangepakt door de Europese Commissie als zij privacygevoelige informatie van Nederlandse burgers doorspelen aan de Amerikaanse overheid, maar ook sancties kunnen verwachten van diezelfde Amerikaanse overheid als zij dat niet doen?

Antwoord 2

De Europese Commissie heeft op 25 januari 2012 een voorstel gedaan voor een Verordening op het gebied van de bescherming van persoonsgegevens, die de huidige Richtlijn moet vervangen. De besprekingen over deze ontwerpverordening in de Raad van Ministers en het Europees Parlement moeten nog aanvangen. Het voorstel houdt, blijkens een van de overwegingen, inderdaad rekening met de omstandigheid dat verplichtingen van buitenlands recht, in de vorm van wetgeving of rechterlijke beslissingen, kunnen leiden tot de verplichting om gegevens naar de overheid van een derde land door te geven. Het is echter nog niet geheel duidelijk welke rechtsgevolgen aan die situatie door de ontwerpverordening worden verbonden. Daarover zal in de onderhandelingen meer duidelijkheid moeten worden verschaft. Los van dit specifieke probleem, blijft het ook in de nieuwe verordening verboden gegevens zonder adequate rechtsgrondslag naar een derde land door te geven, waar geen passend niveau van gegevensbescherming bestaat. Bij overtreding van dat voorschrift is het niet de Europese Commissie maar het College bescherming persoonsgegevens dat handhavend kan optreden. Wie in de Verenigde Staten een rechterlijk bevel niet uitvoert of de wet niet naleeft, moet rekening houden met het opleggen van sancties.

Vraag 3 en 4

Deelt u de opvatting dat aanbieders van clouddiensten, zoals Google, Microsoft en Oracle, hierdoor in een onmogelijke positie komen? Welke overwegingen spelen daarbij voor u een rol?

Wat is uw opvatting over de opmerking van de woordvoerder van Eurocommissaris Reding, dat het aan de bedrijven zelf is om de «juridische situatie te analyseren» en te besluiten hoe te reageren op een dergelijk Amerikaans verzoek?

Antwoord 3 en 4

Het kan, onder omstandigheden, voorkomen dat een bedrijf gevestigd in een derde land krachtens de wet of krachtens een rechterlijke uitspraak verplicht wordt informatie, waaronder begrepen persoonsgegevens, waarover het de beschikking heeft aan de autoriteiten te verstrekken, ook als die gegevens zich in de Europese Unie bevinden, en dat bedrijf de beschikking over die gegevens heeft. Het betrokken bedrijf zal zich dan moeten afvragen of voor de doorgifte van de gegevens uit de Europese Unie een rechtsgrondslag valt aan te wijzen in de richtlijn 95/46/EG en de toepasselijke nationale wettelijke voorschriften. Het is niet per definitie zo dat een bedrijf in een onmogelijke positie komt te verkeren. Van geval tot geval zal moeten worden bezien welke rechtsgrondslag in het derde land wordt ingeroepen voor de vordering van de gegevens en welke rechtsgrondslag in het Europese en nationale recht kan worden ingeroepen om de doorgifte te rechtvaardigen. Het is dus inderdaad raadzaam dat een bedrijf goed analyseert of die rechtsgrondslag aanwezig is. Dat geldt overigens in zijn algemeenheid bij alle andere vormen van doorgifte van gegevens uit de Europese Unie naar een derde land.

Overigens ben ik van mening dat het probleem dat voor burgers en bedrijven voortvloeit uit conflicterende jurisdicties beter door middel van algemene regelingen kan worden opgelost dan met maatwerk in ieder afzonderlijk geval. Ik verwijs in dit verband ook naar het antwoord op vragen 6 en 7.

Vraag 5

Waarom laat u de bescherming van privacygevoelige informatie van Nederlandse burgers over aan commerciële aanbieders van clouddiensten, die binnen de huidige verhoudingen niet kunnen voldoen aan de eisen van zowel de Verenigde Staten als die van de Europese Unie?

Antwoord 5

Aanbieders van clouddiensten die gegevens verwerken in de Europese Unie zijn gebonden aan de voorschriften van richtlijn 95/46/EG en de ter uitvoering daarvan vastgestelde nationale wettelijke regelingen. Die regelingen bieden een behoorlijk niveau van gegevensbescherming, ook waar het gaat om de doorgifte van gegevens aan derde landen.

Vraag 6 en 7

Deelt u de mening dat u uiteindelijk verantwoordelijk bent voor de bescherming van privacygevoelige informatie van Nederlandse burgers?

Hoe gaat u ervoor zorgen dat privacygevoelige informatie van Nederlandse burgers in handen van aanbieders van clouddiensten niet wordt doorgegeven aan andere overheden?

Antwoord 6 en 7

Zoals ik heb gemeld in antwoord op eerdere vragen van het lid Schouw (Aanhangsel Handelingen, vergaderjaar 2010–2011, nr. 3514) ligt het in de eerste plaats op de weg van de Europese Commissie om hier in overleg met de Amerikaanse autoriteiten een oplossing voor te vinden. De Europese Commissie heeft daartoe nu ook een voorstel gedaan. Ik zie uit naar de discussie daarover in de Raad en met de Commissie en het Europees Parlement.

Specifiek over de vraag welke consequenties de wetgeving van de Verenigde Staten heeft voor persoonsgegevens die aan de Staat toebehoren zal de minister van Binnenlandse Zaken en Koninkrijksrelaties uw Kamer over circa zes weken per brief nader informeren.

X Noot
1

webwereld.nl/nieuws/109370/cloudconflict-tussen-eu-en-vs-op-scherp-gezet.html.

Naar boven