Vragen van de leden Gesthuizen en Van Bommel (beiden SP) aan de ministers van Veiligheid en Justitie en van Buitenlandse Zaken over de toegang van de VS tot data in de cloud (ingezonden 15 oktober 2012).

Antwoord van staatssecretaris Teeven (Veiligheid en Justitie) mede namens de minister van Buitenlandse Zaken  (ontvangen 9 november 2012) Zie ook Aanhangsel Handelingen, vergaderjaar 2012–2013, nr. 492)

Vraag 1

Was u reeds voor het gepubliceerde onderzoek naar de toegang van de Verenigde Staten (VS)  tot gegevens van gebruikers wereldwijd die in de cloud worden bewaard op de hoogte van (een deel van) de uit het onderzoek gebleken feiten?1 Zo ja, welke rol hebt u in Nederland en de Europese Unie (EU) gespeeld om deze situatie te voorkomen of ongedaan te maken dan wel burgers, overheden en bedrijven in ons land van deze situatie op de hoogte te stellen? Zo nee, wat is uw reactie op deze feiten?

Antwoord 1

Het onderzoek «Cloud diensten in hoger onderwijs en onderzoek en de USA Patriot Act» van de Universiteit van Amsterdam bevat een analyse van de Amerikaanse wetgeving die de mogelijkheid biedt om gegevens te vorderen en het niveau van gegevensbescherming in de Verenigde Staten, alsook enkele conclusies die de onderzoekers trekken ten aanzien van het beschermingsniveau van gegevens die door de universiteit in het kader van onderwijs en onderzoek worden verzameld en met behulp van clouddiensten worden verwerkt. Deze analyse bevat geen wezenlijk nieuwe inzichten. Ik verwijs bijvoorbeeld naar de antwoorden op eerdere Kamervragen over Amerikaanse wetgeving in relatie tot Europese persoonsgegevens (Aanhangsel Handelingen, vergaderjaar 2011–2012, nrs. 2318 en 2710, en Aanhangsel Handelingen, vergaderjaar 2010–2011, nr. 3514). In deze eerdere antwoorden is onderkend dat niet kan worden uitgesloten dat de Amerikaanse autoriteiten onder omstandigheden de beschikking kunnen krijgen over persoonsgegevens die worden verwerkt door bedrijven, indien het Amerikaanse recht aanknopingspunten biedt voor de toepassing van, bijvoorbeeld, strafvorderlijke bevoegdheden. Het onderzoek van de UvA beoogt de gevolgen hiervan voor de eigen organisatie in kaart te brengen. Ik acht het primair een zaak van eigen verantwoordelijkheid van degene die gegevens (doet) verwerken bij een bedrijf dat (ook) in de Verenigde Staten actief is om zich op de hoogte te stellen van de consequenties daarvan. Daarbij kan de «zienswijze» over cloud computing, die het College bescherming persoonsgegevens in september 2012 op haar website heeft gepubliceerd, behulpzaam zijn.

Vraag 2 en 5

Zijn ook gegevens die van rechtswege beschermd of geheim zijn (bijvoorbeeld zaken welke geoctrooieerd zijn, medische gegevens, gegevens waarmee de veiligheid van ons land is gemoeid zoals informatie van overheden of overheidsdiensten) op deze wijze toegankelijk voor de VS?

Indien de situatie niet binnen afzienbare tijd verandert, meent u dat de Nederlandse overheid het gebruik van de cloud moet gaan ontraden aan personen, overheden en bedrijven welke niet willen dat informatie bekend wordt bij de VS of wilt u mogelijk zelfs nog verder gaan door het gebruik van clouddiensten geheel af te raden?

Antwoord 2 en 5

Zoals in het antwoord op vraag 1 is aangegeven is het bekend dat de Amerikaanse overheid op grond van de nationale wetgeving over bevoegdheden beschikt die onder omstandigheden kunnen worden gebruikt om gegevens te vorderen, ook wanneer die gegevens worden verwerkt met behulp van clouddiensten. Een ieder die voor de verwerking van gegevens gebruik maakt van cloudddiensten bij aanbieders die (ook) in de Verenigde Staten actief zijn moet zich bewust zijn van de juridische consequenties daarvan. Dat geldt zeker ook wanneer die gegevens een bepaald beschermingsniveau genieten. Artikel 76 van de Wet bescherming persoonsgegevens (Wbp) legt de verantwoordelijkheid voor het beoordelen van de omstandigheden waaronder gegevens naar een derde land kunnen worden doorgegeven in de eerste plaaats bij de voor de verwerking verantwoordelijke. Ik ga ervan uit dat die instanties met het voorgaande bekend zijn, en zie geen aanleiding om hier ontradend op te treden.

Vraag 3

Leidt deze situatie tot een overschrijding van de Nederlandse wet? Hebt u een idee van de mate waarin gegevens van Nederlandse burgers, overheden en bedrijven reeds in bezit zijn gekomen van de VS? Zo ja, kunt u de Kamer hierover informeren?

Antwoord 3

Bedrijven die persoonsgegevens verwerken via clouddiensten van aanbieders die (ook) in de Verenigde Staten actief zijn, dienen erop bedacht te zijn dat in geval van vordering van gegeven, verstrekking daarvan dient te voldoen aan de eisen die de Wbp stelt aan de verstrekking van gegevens aan derde landen waar naar Europees recht geen passend niveau van gegevensbescherming bestaat. De Wbp biedt voor de verstrekking van persoonsgegevens aan dergelijke landen een aantal mogelijke rechtvaardigingsgronden. Mij is uit berichten in de media bekend dat er een gering aantal gevallen is geweest waarin bedrijven zijn geconfronteerd met vorderingen van de Amerikaanse autoriteiten tot verstrekking van gegevens.

Vraag 4 en 6

Acht u de situatie in algemene zin onwenselijk? Zo ja, welke mogelijkheden ziet u om een einde te maken aan deze situatie?

Bent u al in overleg getreden met uw Amerikaanse en Brusselse collega's over deze zaak? Zo nee, bent u bereid dit alsnog te doen? Bent u bereid de Kamer over de uitkomsten van dit onderhoud nauwgezet te informeren?

Antwoord 4 en 6

De kern van de onderhavige problematiek is dat bedrijven als gevolg van de extraterritoriale werking van de wetgeving van een vreemd land geconfronteerd kunnen worden met conflicterende verplichtingen met betrekking tot het verstrekken van persoonsgegevens. Ik acht dit een onwenselijke situatie. Dit probleem is bij de Europese Unie bekend, en het voorstel voor een Algemene verordening gegevensbescherming poogt daarvoor een oplossing aan te reiken. Dit voorstel is thans voorwerp van onderhandeling in Brussel. Ik heb uw Kamer in een Algemeen Overleg op 7 maart 2012 toegezegd haar uitgebreid te informeren over de stand van de onderhandelingen. Dat zal ook gebeuren ten aanzien van dit onderwerp. Ik heb mijn zorgen bovendien onder de aandacht gebracht van de Europese Commissie. De Commissie heeft mij daarbij opnieuw bevestigd dat dit punt haar aandacht heeft.

Vraag 7

Kunt u het Nationaal Cyber Security Centrum verzoeken te rapporteren over de juridische zaken, privacy- en veiligheidskwesties waarbij, bij het gebruik van clouddiensten in het algemeen en buitenlandse in het bijzonder, problemen kunnen ontstaan?

Antwoord 7

Ik acht dit geen taak voor het Nationaal Cyber Security Centrum.

Naar boven