Vragen van de leden Verhoeven en Schouw (beiden D66) aan de ministers van Veiligheid en Justitie en van Economische Zaken over het bericht dat de Verenigde Staten nog meer mogelijkheden heeft om in clouddata graaien (ingezonden 31 januari 2013).

Antwoord van staatssecretaris Teeven (Veiligheid en Justitie) (ontvangen 19 maart 2013). Zie Aanhangsel Handelingen, vergaderjaar 2012–2013, nr. 1387.

Vraag 1

Bent u bekend met het bericht «US free to grab EU data on American clouds»?1

Antwoord 1

Ja.

Vraag 2

Bent u bekend met de genoemde Foreign Intelligence Amendments Act (FISAA) op basis waarvan de Amerikaanse overheid data kan opvragen van bijvoorbeeld Nederlanders die zij in de cloud hebben opgeslagen, zoals bijvoorbeeld Dropbox of Google?

Antwoord 2

Ik ben bekend met de desbetreffende wet. Deze wet, die door President Obama op 30 december 2012 is ondertekend, verleent geen nieuwe bevoegdheden, maar verlengt de termijn waarbinnen bestaande bevoegdheden op grond van de Foreign Intelligence and Surveillance Amendment Act van 2008 kunnen worden uitgeoefend. Indien gegevens van om het even welke persoon zich bevinden in de Verenigde Staten kunnen de Amerikaanse autoriteiten met toepassing van hun bevoegdheden die gegevens vorderen.

Vraag 3

Bent u op de hoogte van het feit dat de Amerikaanse autoriteiten zich met beroep op de FISAA toegang verschaffen tot persoonsgegevens opgeslagen in de Europese Unie (EU) door bedrijven met hoofdzetel in de Verenigde Staten?

Antwoord 3

In algemene zin is het zo dat het Amerikaanse recht diverse mogelijkheden biedt tot het vorderen van gegevens die zich buiten het grondgebied van de Verenigde Staten bevinden en waarbij sprake is van een zodanig aanknopingspunt met het Amerikaanse rechtsstelsel dat een vordering tot het verstrekken van die gegevens naar Amerikaans recht rechtmatig is. Er zijn mij evenwel geen concrete gevallen bekend van vorderingen van de Amerikaanse autoriteiten gebaseerd op de in antwoord 2 genoemde wetgeving waarin de desbetreffende gegevens zich in de Europese Unie bevinden. De Amerikaanse autoriteiten hebben mij desgevraagd laten weten dat het opvragen van gegevens bij dergelijke banken en providers altijd middels een rechtshulpverzoek geschiedt.

Vraag 4

Bent u van mening dat op deze wijze feitelijk de EU-wetgeving betreffende bescherming persoonsgegevens wordt uitgeschakeld door extraterritoriale werking van de wetgeving van een derde land?

Antwoord 4

Het gehoor geven aan een vordering als bedoeld in antwoord 3 door in de Europese Unie gevestigde belanghebbenden moet plaatsvinden in overeenstemming met het geldende recht, de EU-privacyrichtlijn en het desbetreffende nationale recht. Dat recht biedt daarvoor enige grondslagen. Het is afhankelijk van de omstandigheden van het concrete geval welke grondslag daarvoor kan worden ingeroepen.

Vraag 5

Wat zijn volgens u de exacte consequenties voor clouddiensten? Bent u bereid hierover met aanbieders van clouddiensten in gesprek te gaan?

Antwoord 5

Aanbieders van clouddiensten die gevestigd zijn in de Verenigde Staten hebben in feite weinig andere keuze dan gehoor geven aan vorderingen tot het verstrekken van gegevens, wanneer deze vorderingen rechtmatig worden gedaan. Ik verwacht niet dat het recht in de Verenigde Staten in dit opzicht zal veranderen en verwacht daarom geen concrete resultaten van het organiseren van gesprekken daarover. Ik merk nog op dat het College bescherming persoonsgegevens in zijn zienswijze over cloudcomputing van 10 september 2012 het uitgangspunt hanteert dat Nederlandse bedrijven of organisaties die clouddiensten afnemen bij een Amerikaanse aanbieder, zelf eindverantwoordelijk zijn voor de naleving van de Wet bescherming persoonsgegevens.

Vraag 6

Welke stappen gaat u verder ondernemen om deze situatie te corrigeren en om juridische duidelijkheid te scheppen voor bedrijven en burgers over de bescherming van persoonsgegevens opgeslagen binnen de EU?

Antwoord 6

Er wordt in Brussel onderhandeld over een Algemene verordening gegevensbescherming. Die verordening zal een nieuw kader bevatten voor grensoverschrijdende doorgifte van persoonsgegevens. Daarbij wordt ook aandacht geschonken aan doorgiftes op grond van eenzijdige verplichtingen op grond van buitenlands recht van derde staten. De Europese Commissie gaat ervan uit dat een redelijk evenwicht is te bieden tussen de dilemma's waarin bedrijven zich soms kunnen bevinden en de bescherming van persoonsgegevens.

Naar boven