Vragen van de leden Hijink en Van Raak (beiden SP) aan de Ministers van Economische Zaken en van Binnenlandse Zaken en Koninkrijksrelaties over het bericht dat Google gebruikersgegevens in buitenlandse datacentra moet overhandigen aan de VS (ingezonden 10 mei 2017).

Antwoord van Minister Plasterk (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen 21 juni 2017) Zie ook Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 1994

Vraag 1

Heeft u kennisgenomen van het bericht dat Google gebruikersgegevens in buitenlandse datacentra moet overhandigen aan de VS?1

Antwoord 1

Ja.

Vraag 2

Bent u inmiddels op de hoogte van waar alle Nederlandse overheidsdata zich bevinden? Zo nee, wat gaat u hierop ondernemen?2

Antwoord 2

Het is niet aan de orde dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties moet beschikken over een actueel overzicht van de locatie waar de data van alle ministeries, provincies, gemeenten en de semipublieke instellingen zijn opgeslagen.

Het beleid voor de rijksoverheid is dat per geval de verantwoordelijke overheidsorganisatie, binnen de kaders van wet- en regelgeving zoals de Baseline informatiebeveiliging Rijk (BIR) een afweging maakt tussen dienstverleners. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor open data.

Ook decentrale overheden maken binnen de kaders van vigerende wet- en regelgeving hun eigen afwegingen over outsourcing van hun ICT. In het kader van de Baseline Informatiebeveiliging Nederlandse Gemeenten heeft de Informatiebeveiligingsdienst voor gemeenten een leidraad opgesteld die handvatten biedt om rekening mee te houden.

Vraag 3

Kunt u garanderen dat Nederlandse overheidsdata niet op servers van Amerikaanse bedrijven zijn opgeslagen? Zo nee, maakt het UWV (Uitvoeringsorgaan werknemersverzekeringen) nog steeds gebruik van het IBM-datacenter in Brussel?

Antwoord 3

Zoals ik in het antwoord op vraag 2 aangaf, is het aan de verantwoordelijke overheidorganisatie om per geval, binnen de kaders van wet- en regelgeving, een afweging te maken ten aangezien van de dienstverlener. Vestigingslocatie kan daarbij een rol spelen. Vanwege de diversiteit aan data kan ik niet garanderen dat Nederlandse overheidsdata niet op servers van Amerikaanse bedrijven zijn opgeslagen.

Het UWV heeft de datacenterdienstverlening uitbesteed aan de markt; op dit moment is dat IBM. Momenteel loopt een aanbestedingstraject om deze dienst opnieuw te verwerven. UWV heeft, op basis van een uitgebreide analyse, waarbij onder meer gebruik is gemaakt van beschikbare rijksbrede kaders, besloten tot het beleggen van de datacenterdiensten binnen de Europese Economische Ruimte. Hierbij kan worden geacht dat een passend beschermingsniveau geboden wordt.

Vraag 4

Vindt u dat Nederlandse inwoners voldoende beschermd worden tegen het eventueel meekijken van buitenlandse diensten en overheden op dit moment? Zo ja, kunt u garanderen dat er geen buitenlandse mogendheden zijn die op grote schaal data verzamelen over Nederlandse inwoners? Zo nee, wat gaat u hierop ondernemen?

Antwoord 4

Het kabinet spant zich maximaal in om de Nederlandse bewoners te beschermen tegen het eventueel meekijken van buitenlandse diensten en/of mogendheden. Er kan echter niet uitgesloten worden dat er op dit moment buitenlandse diensten en/of mogendheden zijn die data verzamelen over Nederlandse inwoners. Indien er geconstateerd wordt dat dit wel het geval is neemt het kabinet maatregelen.

Vraag 5

Wat gaat u doen om te voorkomen dat data van de overheid en uitvoeringsinstanties op servers van Amerikaanse bedrijven worden opgeslagen?

Antwoord 5

Ik wil dit niet voor alle soorten data voorkomen. Het vraagstuk waar data kunnen en mogen worden opgeslagen hangt immers af van de aard van de data, zoals ik aangaf in het antwoord op vragen 2 en 3.

Vraag 6

Vindt u in het algemeen dat Nederlandse overheidsinformatie goed beveiligd is, ook als u meeneemt dat het Nederlandse Fox-IT is overgenomen door een Engels bedrijf?3

Antwoord 6

In het algemeen vind ik dat. Aandacht voor dit onderwerp is uiteraard blijvend noodzakelijk. De Algemene Rekenkamer constateert ook in het Verantwoordingsonderzoek 2016 dat er ruimte voor verbetering is.

In antwoord op vragen van het lid Verhoeven aan de ministers van Economische Zaken, van Veiligheid en Justitie en van Binnenlandse Zaken en Koninkrijksrelaties over de overname4 heb ik geantwoord dat het risico dat door die overname Nederlandse staatsgeheimen in handen van niet-bevoegden vallen is ondervangen.

Vraag 7

Vallen Nederlandse overheidsdata, die op servers van Amerikaanse bedrijven staan, onder de Freedom Act?

Antwoord 7

Ik kan niet uitsluiten dat Nederlandse overheidsdata die worden verwerkt door dienstverleners uit de Verenigde Staten onder de reikwijdte van een bepaalde vorderingsbevoegdheid vallen. In heel algemene zin geldt dat de Amerikaanse overheden over een ruim aantal bevoegdheden beschikken op grond van verschillende wetten om gegevens te vorderen van bedrijven die over die gegevens beschikken. De reikwijdte van de Amerikaanse wetgeving ter zake beperkt zich niet tot bedrijven of andere belanghebbenden, of vestigingen van die bedrijven of belanghebbenden die zich op Amerikaans grondgebied bevinden, en ook niet tot gegevens van Amerikaanse burgers of bedrijven. De rechterlijke uitspraak waarnaar in vraag 1 wordt verwezen illustreert dat voor het bijzondere geval waarop die uitspraak betrekking heeft.

Vraag 8

Wat heeft deze Amerikaanse rechterlijke uitspraak voor gevolgen voor Nederland en zijn inwoners? In welke gevallen kunnen gegevens van Nederlandse burgers opgevraagd worden door de Amerikaanse overheid? Kunnen deze burgers hiertegen beroep aantekenen?

Antwoord 8

De rechterlijke uitspraak waarnaar in vraag 1 wordt verwezen heeft slechts betekenis voor de uitleg van één specifieke vorderingsbevoegdheid en lijkt alleen van belang voor andere gevallen waarin de omstandigheden van het verwerken van persoonsgegevens door Google of vergelijkbare aanbieders gelijk zijn aan die in het geval dat onderwerp is van de uitspraak. Uit het antwoord op vraag 7 volgt dat ik niet kan uitsluiten dat toepassing van vorderingsbevoegdheden naar Amerikaans recht zich mede uitstrekt tot gegevens van de Nederlandse overheid of van Nederlandse burgers die door dienstverleners uit de Verenigde Staten worden verwerkt.

Afhankelijk van de aard van de toegepaste vorderingsbevoegdheid kunnen Europese, en dus ook Nederlandse burgers de mogelijkheden op inzage en correctie krachtens de Judicial Redress Act of 2015 beproeven. Die wet is daar speciaal voor in het leven geroepen. Verder wijs ik erop dat de doorgifte van de gegevens uit de Europese Unie naar de Verenigde Staten moet berusten op één van de grondslagen bedoeld in de artikelen 25 of 26 van richtlijn 95/46/EG, de EU-privacyrichtlijn. De bijlagen van het op 21 augustus 2016 in werking getreden EU – US Privacy Shield 5, dat op bedoelde artikelen van de EU-privacyrichtlijn is gebaseerd bevatten een uitgebreide opsomming van beschikbare rechtsgangen krachtens Amerikaans recht.

Naar boven