Vragen van het lid Lodders (VVD) aan de Staatssecretaris van Financiën – Fiscaliteit en Belastingdienst en de Minister van Financiën over het bericht «EU-hof: Amerikaanse privacybescherming onvoldoende» (ingezonden 11 augustus 2020).

Antwoord van Minister Dekker (Rechtsbescherming), mede namens de Staatssecretaris van Financiën – Fiscaliteit en Belastingdienst en de Minister van Financiën (ontvangen 12 oktober 2020). Zie ook Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 4059.

Vraag 1

Bent u bekend met het bericht «EU-hof: Amerikaanse privacybescherming onvoldoende»?1

Antwoord 1

Ja.

Vraag 2

Klopt het dat organisaties in de EU reeds per 20 juli 2020 geen persoonsgegevens meer kunnen doorgeven aan de VS op grond van het privacy shield?2 Zo nee, waarom niet? Zo ja, kunt u dit toelichten en geldt dit ook voor financiële instellingen?

Antwoord 2

Het Hof van Justitie heeft in de zaak C-311/18 («Schrems II») het besluit van de Europese Commissie om op basis van het zogeheten Privacy Shield persoonsgegevens aan de VS te kunnen doorgeven, ongeldig verklaard. Dit heeft gevolgen voor de mogelijkheden van organisaties, waaronder financiële instellingen, om persoonsgegevens aan de VS te kunnen doorgeven. Ik verwijs verder naar mijn antwoord op vraag 8.

Vraag 3

Wat is het verschil tussen overeenkomsten volgens het privacy shield en modelcontractbepalingen? Klopt het dat modelcontractbepalingen wel AVG-proof zijn in tegenstelling tot een overeenkomst rond het privacy shield?3

Antwoord 3

Op grond van de Algemene Verordening Gegevensbescherming (AVG) is gegevensverkeer met derde landen zoals de VS alleen onder bepaalde voorwaarden toegestaan. Daarbij is van belang dat de verwerking van gegevens in het derde land EU-burgers vergelijkbare waarborgen biedt als zij in de EU zouden hebben. De Europese Commissie kan besluiten dat een land of een sector in een land een passend beschermingsniveau waarborgt, zoals zij met betrekking tot de VS in het Privacy Shield, een adequaatheidsbesluit ten aanzien van het gegevensbeschermingsniveau in de VS in de zin van artikel 45 AVG, had gedaan.

Als er ten aanzien van een derde land geen adequaatheidsbesluit is, zijn er ook andere mogelijkheden om gegevens uit te wisselen. Bij een doorgifte op grond van modelcontractbepalingen, worden tussen de gegevensexporteur en importeur bepaalde standaard contractuele waarborgen opgenomen. Het verschil is dus dat in het ene geval besloten wordt dat een land of sector waarborgen biedt, en in het andere geval waarborgen contractueel zijn vastgelegd.

Het Hof heeft zich uitgesproken over het Privacy Shield, dat naar zijn oordeel onvoldoende waarborgen kent en om die reden ongeldig is verklaard. De modelcontractbepalingen van de Europese Commissie kunnen volgens het Hof nog steeds «AVG-proof» zijn, doch daarvoor zal wel vereist zijn dat de contractbepalingen een beschermingsniveau waarborgen dat in grote lijnen overeenkomt met het niveau dat binnen de EU wordt gewaarborgd en dat nationale regelingen de naleving van die contractbepalingen niet opzij kunnen zetten. Zo nodig dienen de gegevensexporteur en de ontvanger van de gegevens aanvullende waarborgen te treffen. De gezamenlijke Europese privacy toezichthouders werken samen aan handvatten om bedrijven en organisaties te helpen welke aanvullende maatregelen zij zouden kunnen treffen om een passend beschermingsniveau te waarborgen. Deze richtsnoeren worden in oktober verwacht. Voor meer informatie, verwijs ik naar mijn brief van 1 oktober 2020, in reactie op de brief van NL-digital over de gevolgen van Schrems II.

Vraag 4

Kan de VS een met de EU, gelijkwaardig beschermingsniveau van persoonsgegevens op alle niveaus in de praktijk waarborgen? Zo ja, op welke manier? Zo nee, waarom niet?

Antwoord 4

Het Hof heeft zijn oordeel dat het Privacy Shield onvoldoende waarborgen bevat voor EU- burgers, onderbouwd met een verwijzing naar de rol die opsporings- en inlichtingendiensten in de VS kunnen spelen nadat doorgifte had plaats gevonden, en de verplichtingen die deze diensten kunnen opleggen aan organisaties die in de VS persoonsgegevens van EU-burgers verwerken. Ook zijn er naar het oordeel van het Hof onvoldoende rechtsmiddelen beschikbaar voor EU-burgers om zich tegen overheidsoptreden in de VS te verzetten. Met andere woorden; de rechtsbescherming in de VS is niet adequaat omdat men er o.a. niet, zoals in Nederland, naar de rechter kan stappen. Hoewel er wel een ombudsman is aangesteld in de VS, is dit naar het oordeel van het Hof onvoldoende en geen alternatief.

Het arrest van het Hof heeft tot gevolg dat thans niet kan worden uitgegaan van de beschermingswaarborgen voor persoonsgegevens die voor generieke verstrekking vereist zijn. Wel is de Europese Commissie op dit moment in gesprek met de VS met het oog op het nemen van een nieuw adequaatheidsbesluit ter reparatie van de door het Hof geconstateerde gebreken in het Privacy Shield.

Het is ingewikkeld om een snelle oplossing voor het ongeldig verklaarde Privacy Shield te bieden. Sinds Schrems II kan niet langer gezegd worden dat persoonsgegevens in de VS voldoende beschermd worden en veilig zijn. Verwerkingsverantwoordelijken dienen betrokkenen hierover duidelijk te informeren.

Vraag 5

Welke (praktische) gevolgen heeft het nietig verklaren van de Privacy Shield-overeenkomst door het Europese Hof voor het doorgeven van persoonsgegevens van «accidental Americans» door Nederlandse banken aan de Amerikaanse Belastingdienst (IRS) met betrekking tot de wet naleving belastingplicht buitenlandse rekeningen (FATCA)?

Antwoord 5

De uitwisseling van persoonsgegevens van US Persons (waaronder «Accidental Americans») met de VS ten behoeve van belastingheffing vindt plaats op grond van Artikel 30 van het bilaterale belastingverdrag tussen Nederland en de Verenigde Staten, en specifiek op grond van het Verdrag tussen Nederland en de VS tot verbetering van de internationale naleving van de belastingplicht en de tenuitvoerlegging van de FATCA (NL IGA). Financiële instellingen verstrekken geen gegevens rechtstreeks aan de IRS, de uitwisseling van informatie vindt plaats op overheidsniveau. Gegevens worden verstrekt onder de voorwaarde van een geheimhoudingsplicht voor de ontvanger. Het Global Forum on Transparancy and Exchange of Information for Tax Purposes (GF) beoordeelt periodiek of landen voldoen aan de eisen van gegevensbescherming en geheimhouding. De VS heeft op dat gebied in onafhankelijke peer reviews (2011 en 2018) van het GF optimaal gescoord. Dit geeft de Minister van Financiën geen aanleiding om te veronderstellen dat de VS geen adequate gegevensbescherming biedt als het gaat om het uitwisselen van persoonsgegevens op basis van de NL IGA.

Vraag 6, 7

Klopt het dat informatie van organisaties, instellingen en politieke partijen, zonder verdere (handels)relaties met de VS, gedeeld wordt met de VS alleen omdat de tekeningsbevoegdheid ligt bij een Nederlands persoon met ook een Amerikaanse nationaliteit (US person)? Zo ja, vindt u dit wenselijk? Wat gaat u eraan doen om dit te voorkomen? Zo nee, kunt u dit toelichten?

Op welke manier wordt een US person die tekeningsbevoegd is voor een Europese/Nederlandse organisatie, instelling of politieke partij beschermd door Europese en/of Nederlandse regelgeving?

Antwoord 6, 7

Het oordeel van het Hof ziet op alle gevallen waarin dataverkeer tussen de Europese Unie en de Verenigde Staten persoonsgegevens bevat. Wanneer organisaties, om welke reden ook, dergelijke data met de VS willen delen, dan zal voldaan moeten worden aan de voorwaarden van de AVG. Binnen de EU gevestigde personen die mede de Amerikaanse nationaliteit houden, vallen bij hun werkzaamheden onder de werking van de AVG.

Vraag 8

Zijn in de EU juridisch gevestigde bedrijven, organisaties, instellingen of politieke partijen, waarbij een US person tekeningsbevoegd is, voldoende beschermd voor het doorgeven van rekeninggegevens of privacygevoelige informatie aan de VS? Zo ja, kunt u uitgebreid toelichten welke informatie wel en welke niet met de VS kan worden gedeeld alleen omdat de tekeningsbevoegdheid ligt bij een US person? Zo nee, waarom niet?

Antwoord 8

De waarborgen die de AVG biedt, gelden voor alle in de vraag genoemde entiteiten, ongeacht de nationaliteit van de aan hen verbonden personen. Welke precieze informatie op dit moment wel en niet kan worden gedeeld, zal afhangen van de aard van de gegevens en de omstandigheden rondom de verstrekking.

Vraag 9

Hoe gaat u ervoor zorgen dat organisaties, instellingen en politieke partijen erop gewezen worden dat indien een US person tekeningsbevoegd is, deze informatie gedeeld wordt met de VS?

Antwoord 9

Als persoonsgegevens gedeeld worden met de VS, moeten organisaties dit kenbaar maken aan betrokkenen. Indien sprake is van onrechtmatige verstrekking van gegevens aan de VS, dan is een melding of klacht bij de AP de geëigende weg om een onderzoek in gang te zetten. Het Hof heeft geoordeeld dat de toezichthoudende autoriteit verplicht is om onrechtmatige doorgifte op te schorten of te verbieden als blijkt dat de bescherming van de gegevens niet kan worden gewaarborgd. Bij aangelegenheden die ook andere lidstaten raken, zal afstemming plaatsvinden met de toezichthoudende autoriteiten van andere Europese landen, die samenkomen in de European Data Protection Board (EDPB). De AP beschikt over een eigen repertoire aan bevoegdheden, daaronder begrepen het opleggen van een bestuurlijke boete, wanneer strijdig met de AVG wordt gehandeld. Als de AP tot een dergelijke conclusie komt, dan laat ik mij daarover graag door de AP informeren. Aan de hand daarvan zal ik vervolgens bezien in hoeverre Nederland op Europees niveau kan bijdragen aan een oplossing.

Naar boven