De vaste commissie voor Immigratie & Asiel / JBZ-Raad2 heeft in haar vergaderingen van 2 februari 2016 en 1 maart 2016 de brief van de Minister van Veiligheid en Justitie van 27 januari 2016 besproken met een reactie op vragen over de kabinetsappreciatie van het Schrems-arrest.3 Naar aanleiding hiervan is op 7 maart 2016 een brief gestuurd aan de Minister.

De Minister heeft op 1 april 2016 gereageerd.

De commissie brengt bijgaand verslag uit van het gevoerde schriftelijk overleg.

De griffier van de vaste commissie voor Immigratie & Asiel / JBZ-Raad, Van Dooren

BRIEF VAN DE VOORZITTER VAN DE VASTE COMMISSIE VOOR IMMIGRATIE EN ASIEL / JBZ-RAAD

Aan de Minister van Veiligheid en Justitie

Den Haag, 7 maart 2016

De vaste commissie voor Immigratie & Asiel / JBZ-Raad heeft in haar vergaderingen van 2 februari 2016 en 1 maart 2016 uw brief van 27 januari 2016 besproken met een reactie op vragen over de kabinetsappreciatie van het Schrems-arrest.4 De leden van de SP-fractie danken u voor de beantwoording van de vragen. In reactie op de brief wensen deze leden nog de volgende vragen te stellen.

1. In de beantwoording schrijft u over het voorstel voor een algemene verordening gegevensbescherming5 dat «in artikel 41, tweede lid, van het voorstel is opgenomen dat de beoordeling van hetgeen als passend kan worden aangemerkt aanzienlijk strikter wordt.»6

De leden van de SP-fractie vinden het opvallend dat in uw reactie niets wordt geconcludeerd over de rechtmatigheid van doorgifte van gegevens aan de Verenigde Staten (hierna: VS). Immers, het voorstel voor een algemene verordening gegevensbescherming wordt volgens u alleen maar strenger terwijl over de stand van zaken in de VS nu net een heel kritisch arrest is geweest. De SP-fractie had hier een bepaalde conclusie omtrent de toekomst met betrekking tot gegevensuitwisselingen met de VS verwacht, maar die ontbreekt. De SP fractie verneemt graag van u hoe u concludeert over de rechtmatigheid van doorgifte van gegevens aan de VS?

2. In uw reactie stelt u verder dat «het Hof van Justitie van de EU niet in de gelegenheid is om nationale bevoegdheden ter bescherming van de nationale veiligheid van de lidstaten te toetsen aan de bepalingen uit de richtlijn. Daarin zit een zeker incongruentie die mij is opgevallen (...)».7

Zou u kunnen toelichten wat u hiermee bedoelt? Naar de mening van de SP-fractie is er namelijk geen sprake van een incongruentie omdat richtlijn 95/46/EG (hierna: richtlijn) niet van toepassing is op inlichtingen- en veiligheidsdiensten. De kwestie die nu voorlag ging niet over het gedrag van inlichtingen- en veiligheidsdiensten van de EU-lidstaten.

3. Verderop in uw beantwoording schrijft u dat het «gebruik van deze bevoegdheid denkbaar zou zijn geweest, aangezien de Safe Harbour-beschikking al veertien jaar gold en veel burgers en bedrijven hebben vertrouwd op de rechtsgeldigheid van de beschikking.»8

U lijkt verrast door het oordeel van het Hof van Justitie van de Europese Unie (hierna: HvJEU). Bent u ermee bekend dat er al langer signalen waren dat de Safe Harbour-beschikking in ieder geval volgens de toezichthouders niet functioneerde?9

4. U stelt in uw reactie verder dat rechtsoverweging 52 van het Schrems-arrest «echter zwijgt over de consequenties van een oordeel van het HvJEU houdende vernietiging of ongeldigheidverklaring.»10

Naar de mening van de SP-fractie is dit niet juist. Het HvJEU verwijst immers naar eerdere rechtspraak over de gevolgen van ongeldigverklaring. Die eerdere rechtspraak lijkt, behoudens uitzonderingsgevallen, uit te gaan van ongeldigheid ex nunc. Graag vernemen deze leden uw reactie.

5. In beantwoording op vragen over de standaardcontractvoorwaarden schrijft u: «bovendien is toevoeging van een voorwaarde aan een contract zoals het invoegen van toepasselijke standaardcontractsvoorwaarden, per definitie een wijziging van het desbetreffende contract. Dat vergt heronderhandeling met de wederpartij. Als er wordt heronderhandeld over een contract kunnen, uiteraard afhankelijk van de feiten, ook andere zaken dan de grondslag voor de doorgifte van persoonsgegevens aan de orde komen. Een grote onderneming die standaardcontracten hanteert en vanuit een zeker overwicht op de wederpartij in staat is die contractsvoorwaarden eenzijdig aan te passen heeft het in dit opzicht gemakkelijker dan een kleinere onderneming die het misschien meer van maatwerk moet hebben.»11

De modelcontracten en de overige voorwaarden voor de dienstverlening lijken hier op één hoop te worden gegooid, alsdus de SP-fractie. De modelcontracten mogen niet gewijzigd worden. Deze zijn (dus) ook niet aan onderhandeling onderhevig. Ze kunnen als zodanig bijvoorbeeld een bijlage bij de overeenkomst vormen (en zijn daarmee ook heel praktisch hanteerbaar). De overige contractvoorwaarden zijn vervolgens wel onderhandelbaar. Dat is net zo als bij ieder ander contract, ongeacht of er nu met een Amerikaanse of Europese leverancier moet worden onderhandeld.

Het zijn naar de mening van de SP-fractie niet de modelcontracten die maken dat er onderhandeld moet worden. Onderhandeld moet er hoe dan ook worden. De vraag zal veeleer zijn of de leverancier de verplichtingen uit de modelcontracten kan nakomen of niet. Die verplichtingen gaan immers verder dan de verplichtingen uit de Safe Harbour-beschikking. Daar zit in de praktijk de pijn bij de onderhandelingen.

Als u bedoelt te zeggen dat dit pijnpunt een negatief gevolg is van het arrest, dan is dit toch opvallend. Dit pijnpunt laat immers juist zien dat niet alle leveranciers privacy zo goed op orde hebben, dat ze kunnen voldoen aan de Europese maatstaven. Dat een leverancier die voorheen op de Safe Harbour List stond, bij onderhandelingen aangeeft niet aan de modelcontracten te kunnen voldoen, roept op zijn minst vragen op over de kracht/waarde van die Safe Harbour List (en de ongeldigverklaring van het Hof zou dus in zoverre best wel eens terecht kunnen zijn). Nederlandse afnemers zullen echter moeten borgen dat wel aan die Europese maatstaven wordt voldaan (om de privacy van klanten/personeelsleden/etc. te borgen). Graag vernemen deze leden uw reactie.

6. Verderop schrijft u dat de «noodzaak om persoonsgegevens naar de VS door te geven afhankelijk is van de aard van de onderneming en de daarin verrichte activiteiten. Bij ondernemingen die zich richten op het produceren van goederen en de verkoop daarvan in de VS zullen doorgaans niet veel meer verwerkingen van persoonsgegevens gemoeid zijn dan die van klachtcontactpersonen en werknemer. Bij ondernemingen die zich richten op dienstverlening van allerlei aard is dit doorgaans anders. Te denken valt aan reisbureaus of luchtvaartmaatschappijen, waarbij juist grote hoeveelheden persoonsgegevens naar derde landen moeten worden doorgegeven. In nog sterkere mate zal zich dit voordoen bij het aanbod van diensten van de informatiemaatschappij, waarbij de verwerking van persoonsgegevens de kern van de zakelijke activiteit vormt. Juist deze vorm van zakelijke activiteit is aantrekkelijk voor kleinere, beginnende ondernemingen.»12

Juist online ondernemingen kunnen prima vanuit de EU worden opgestart. Ze kunnen de markt in de VS bestormen zonder in de VS gevestigd te zijn. Daarvoor is dan ook geen doorgifte van persoonsgegevens aan de VS noodzakelijk. Een onderneming die wil uitbreiden naar de VS kan dit (dus) nagenoeg doen zonder doorgifte van persoonsgegevens. Bovendien geldt voor reisbureaus en luchtvaartmaatschappijen dat de gegevens hier veelal zullen worden doorgegeven omdat de betrokkene zelf partij bij de overeenkomst is.13 De leden van de SP-fractie vernemen graag uw reactie hierop.

7. In de beantwoording stelt u verder dat «de maatstaf dat een derde land een passend niveau van gegevensbescherming moet bieden is alleen van toepassing op doorgiftes die gebaseerd worden op een toereikendheidsoordeel op grond van artikel 25 van de richtlijn. Alle andere grondslagen voor de doorgiften van persoonsgegevens zijn genoemd in of gebaseerd op artikel 26 van de richtlijn. Dat artikel bevat die maatstaf niet.»14

De maatstaaf ontbreekt inderdaad in artikel 26. Dat laat volgens de SP-fractie onverlet dat hoofdstuk IV van de richtlijn aanvullend geldt op de rest van de richtlijn. 15 Het HvJEU benadrukt ook dat bij de toetsing van de Safe Harbour-beschikking is getoetst op naleving van de grondrechten.16 In het arrest wordt ook benadrukt dat artikel 25 richtlijn uitvoering geeft aan de bescherming ex. artikel 8 van het Handvest van de EU.17

Er is geen enkele aanleiding te veronderstellen dat artikel 26 van de richtlijn niet evengoed aan de grondrechten getoetst zou moeten worden. Sterker nog, een omgekeerde uitleg (grondrechten niet van toepassing bij een uitzonderingsartikel, zoals artikel 26 van de richtlijn) zou volstrekt onlogisch zijn (gelet op de hoge rangorde van grondrechten). Met andere woorden: u interpreteert hier het arrest opeens wel heel erg eng, zonder dat daartoe nu specifieke aanleiding is. Deze leden vernemen graag uw reactie hierop.

8. In reactie op vragen over het afgeven van vergunningen voor de doorgifte van persoonsgegevens met Amerikaanse partijen schrijft u dat «zolang de richtlijn en de Wbp nog gelden, berust bij mij de bevoegdheid om voor doorgiften een vergunning te verlenen. Dergelijke vergunningen vormen nu nog de rechtsgrondslag voor de gelding van intern bindende bedrijfsvoorschriften («binding corporate rules») in de Nederlandse rechtsorde.» Zolang de rechter niet heeft geoordeeld dat vergunningen, al dan niet afgegeven voor doorgiften in het kader van «binding corporate rules», geen genoegzame grondslag vormen voor de doorgifte van persoonsgegevens, blijft mijn beleid terzake ongewijzigd.»18

De SP-fractie kan deze redenering niet volgen. U blijft volhouden dat een ongeldigverklaring door het HvJEU terugwerkende kracht heeft (zie punt 4) maar laat het beleid ongewijzigd. Door het beleid ongewijzigd te laten stuurt u toch willens en wetens – u kent immers het Duitse initiatief – aan op mogelijk nog meer uitwisselingen van persoonsgegevens die, in uw visie, met terugwerkende kracht als onrechtmatig moeten worden aangemerkt wanneer ook de modelcontracten of binding corporate rules in rechte onderuit gaan? Graag vernemen deze leden uw reactie.

9. Even later in uw beantwoording stelt u dat «mocht het nodig zijn dan zal ik het gesprek aangaan met het bedrijfsleven en de Autoriteit persoonsgegevens om te bezien of verruiming van dit beleid wenselijk en mogelijk is.»19

Gezien de strenge criteria van het HvJEU is het volgens de SP-fractie opmerkelijk dat u pas het gesprek aan wil gaan, in het geval dit nodig mocht zijn. Graag vernemen deze leden uw reactie.

10. U schrijft verder dat «als de Algemene verordening gegevensbescherming over enige jaren geldt, dan worden de voorschriften voor doorgifte krachtens andere grondslagen dan toereikendheidsoordelen in het algemeen wat strenger. Ik kan niet uitsluiten dat dit consequenties heeft voor de context waarin doorgiften naar derde landen plaatsvinden krachtens de andere grondslagen dan toereikendheidsoordelen. Omdat dan ook de Wbp zal moeten worden ingetrokken is er dan ook geen bevoegdheid meer voor de afgifte van vergunningen op nationaal niveau.»20

Kan hieruit opgemaakt worden dat u tot het moment dat de richtlijn vervalt, Wbp vergunningen blijft afgeven en niet anticipeert op het strengere kader (dat nu al in zicht is)? Waarom anticipeert Nederland niet net als Duitsland?

11. Tegen het einde van uw brief schrijft u dat u er «uitdrukkelijk op gewezen heeft dat dergelijke vergunningen ook nu al uitsluitend worden verleend na een positief advies van de Autoriteit persoonsgegevens. Bij dat advies komt aan de orde of de vergunning voorziet in voorschriften en beperkingen ter bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen.»21

Hoeveel vergunningen zijn er voor doorgifte aan de VS afgegeven en in welke context is dit gebeurd? De leden van de SP-fractie zien ook deze vraag graag beantwoord.

12. Tot slot stelt u in antwoord op vragen over de nieuwe Safe Harbour-beschikking dat u vertrouwen heeft «dat de Europese Commissie erin zal slagen een nieuwe Safe Harbour-beschikking op te stellen die voldoet aan de eisen die het HvJEU heeft gesteld. Eenvoudig is dit niet omdat in de Verenigde Staten nu eenmaal een ander gegevensbeschermingsrecht geldt. Bovendien is de tijdsdruk erg hoog omdat de gezamenlijke toezichthouders na 31 januari 2016 in beginsel zullen gaan handhaven. Het is niet zo dat het HvJEU vereist dat het EU-niveau verankerd is in de rechtsorde van een derde land, zoals deze leden stellen. Rechtsoverweging 96 van het arrest geeft onomwonden aan dat het om «essentially equivalent» gaat. Dat biedt ruimte om rekening te houden met de eigenheden van een ander rechtsstelsel.»22

Er wordt slechts een deel van rechtsoverweging 96 van het Schrems-arrest geciteerd. Er is ook uitdrukkelijk toegevoegd dat het derde land in kwestie, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, daadwerkelijk waarborgen moet bieden voor een niveau van bescherming van de grondrechten dat in grote lijnen overeenkomt met dat binnen de rechtsorde van de Unie. Een bepaalde vorm van verankering in nationale wet lijkt toch wel vereist te worden. De leden van de SP-fractie vernemen graag uw reactie hierop.

De vaste commissie voor Immigratie & Asiel / JBZ-Raad ziet met belangstelling uit naar uw reactie en ontvangt deze graag binnen vier weken.

De voorzitter van de vaste commissie voor Immigratie en Asiel / JBZ-Raad, G. Markuszower

BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 1 april 2016

Bij brief van 7 maart 2016, nr. 158422.02u, ontving ik twaalf nadere vragen van de Vaste Commissie voor Immigratie en Asiel/JBZ-Raad over de kabinetsappreciatie van het arrest van het Hof van Justitie van de Europese Unie 6 oktober 2015 (C-362/14) (Schrems) (hierna het arrest, respectievelijk HvJEU). Die vragen hebben betrekking op mijn brief van 27 januari 2016 (Kamerstukken I 2015/16, 34 353, B) waarin ik een reactie gaf op eerdere vragen van de Vaste Commissie over het arrest. Ik zal deze nadere vragen graag beantwoorden.

1. De leden van de SP-fractie wijzen erop dat ik in mijn brief het navolgende schrijf over het voorstel voor een algemene verordening gegevensbescherming: «in artikel 41, tweede lid, van het voorstel is opgenomen dat de beoordeling van hetgeen als passend kan worden aangemerkt aanzienlijk strikter wordt.»

De leden van de SP-fractie vinden het opvallend dat ik in mijn brief niets concludeer over de rechtmatigheid van doorgifte van gegevens aan de Verenigde Staten (hierna: VS). Immers, zo stellen deze leden, het voorstel voor een algemene verordening gegevensbescherming wordt alleen maar strenger terwijl over de stand van zaken in de VS nu net een heel kritisch arrest is geweest. De leden van de SP-fractie hadden hier een bepaalde conclusie omtrent de toekomst met betrekking tot gegevensuitwisselingen met de VS verwacht, maar die ontbreekt. Deze leden vernemen daarom graag hoe ik concludeer over de rechtmatigheid van doorgifte van gegevens aan de VS.

De VS zijn een zeer belangrijke handelspartner van de Europese Unie en van Nederland zijn. Het handelsverkeer kan niet meer behoorlijk functioneren zonder de verwerking van persoonsgegevens die op handelstransacties betrekking hebben. Een goede regeling van het recht op bescherming van die persoonsgegevens is daarom onontbeerlijk. De rechtmatigheid van de doorgifte van persoonsgegevens door burgers en bedrijven naar bedrijven in de VS is thans in hoofdzaken Europeesrechtelijk geregeld. Nadat de Algemene verordening persoonsgegevens gaat gelden zal de Europeesrechtelijke inbedding van de rechtsgrondslagen voor die doorgiften nagenoeg geheel Europeesrechtelijk zijn. Ik acht die ontwikkeling een logisch gevolg van het toegenomen belang van persoonsgegevens. Dat toegenomen belang is het gevolg van het sterk gegroeide belang van transacties die langs elektronische weg tot stand komen. Ik ben van mening dat het arrest een stimulans moet vormen voor versterking van de rechtmatigheid van de trans-Atlantische gegevensdoorgiften. Ik heb er vertrouwen in dat het nieuwe EU – US Privacy Shield die rol kan vervullen.

2. De leden van de SP-fractie wijzen erop dat ik in mijn brief stel dat «het Hof van Justitie van de EU niet in de gelegenheid is om nationale bevoegdheden ter bescherming van de nationale veiligheid van de lidstaten te toetsen aan de bepalingen uit de richtlijn. Daarin zit een zekere incongruentie die mij is opgevallen (...)».

Deze leden vragen mij toe te lichten wat ik daarmee bedoel. Naar de mening van deze leden is er namelijk geen sprake van een incongruentie omdat richtlijn 95/46/EG (hierna: richtlijn) niet van toepassing is op inlichtingen- en veiligheidsdiensten. De kwestie die nu voorlag ging niet over het gedrag van inlichtingen- en veiligheidsdiensten van de EU-lidstaten, aldus deze leden.

In reactie hierop kan ik bevestigen dat de richtlijn niet van toepassing is op de verwerking van persoonsgegevens door de inlichtingen- en veiligheidsdiensten van de lidstaten. Ik met het dus met de leden van de SP-fractie eens dat dit een andere kwestie is.

3. De leden van de SP-fractie geven aan dat verderop in de brief is geschreven over de bevoegdheid van het HvJEU om in zijn uitspraak een beslissing te geven over de rechtsgevolgen van ongeldigverklaring dat «gebruik van deze bevoegdheid denkbaar zou zijn geweest, aangezien de Safe Harbour-beschikking al veertien jaar gold en veel burgers en bedrijven hebben vertrouwd op de rechtsgeldigheid van de beschikking.»

Deze leden geven aan dat ik daarmee verrast lijk te zijn door het oordeel van het HvJEU. Zij vragen of ik ermee bekend was dat er al langer signalen waren dat de Safe Harbour-beschikking in ieder geval volgens de toezichthouders niet functioneerde.

Voor zover nog valt na te gaan zijn er bij mijn ministerie geen signalen binnengekomen van toezichthouders, bedrijven of burgers dat het Safe Harbour-arrangement niet functioneerde. De leden van de SP-fractie verwijzen naar drie bronnen waaruit zou moeten blijken dat het Safe Harbour-arrangement niet functioneerde. Twee van de bronnen waarop deze leden wijzen dateren van voor de totstandkoming van het arrangement. De derde bron van kort daarna. Pas in 2011 zijn er naar aanleiding van het destijds onbevestigde bericht dat op internet viel te lezen dat er een evaluatierapport zou bestaan door het lid van de Tweede Kamer Gesthuizen vragen gesteld over het rapport (Aanhangsel Handelingen II, 2010/11, 828). Naar aanleiding van die vragen heb ik herhaalde malen navraag gedaan bij de Commissie naar dit rapport, maar deze vragen werden niet bevredigend beantwoord. In maart 2012 is door de Europese Commissie op een conferentie in Washington DC bekendgemaakt dat er een evaluatierapport bestond, echter zonder het openbaar te maken. Bij mijn weten is dat rapport nog altijd niet openbaar gemaakt. Pas in de Mededeling van de Commissie van november 2013 (COM (2013) 847 def) (Kamerstukken II 2013/14, 22 112, nr. 1777) is indirect duidelijk geworden dat het evaluatierapport tekortkomingen aan het licht heeft gebracht, welke tekortkomingen dat waren en wat daaraan diende te gebeuren. Verder kan ik nog melden dat ik in maart 2012 in de marge van evenbedoelde conferentie van de Federal Trade Commission vernomen dat het toezicht op de naleving van het Safe Harbour-arrangement door deze toezichthouder was aangescherpt. De evaluatie heeft daarbij een rol gespeeld, zo begreep ik.

4. De leden van de SP-fractie wijzen op een passage in mijn brief waarin te lezen valt dat rechtsoverweging 52 van het Schrems-arrest «echter zwijgt over de consequenties van een oordeel van het HvJEU houdende vernietiging of ongeldigheidverklaring.»

Naar de mening van de SP-fractie is dit niet juist. Het HvJEU verwijst immers naar eerdere rechtspraak over de gevolgen van ongeldigverklaring. Die eerdere rechtspraak lijkt, behoudens uitzonderingsgevallen, uit te gaan van ongeldigheid ex nunc. Graag vernemen deze leden mijn reactie.

De verwijzing in rechtsoverweging 52 van het arrest naar de zaak Commissie/Griekenland, C-475/01, en de in dat arrest aangehaalde jurisprudentie heeft betrekking op de presumptie van rechtmatigheid van bevoegd genomen besluiten. Deze besluiten worden vermoed rechtmatig te zijn tot het tegendeel is vastgesteld door de rechter. Het rechtsgevolg van nietigheid of ongeldigverklaring is echter een andere rechtsvraag. Die vraag is noch in rechtsoverweging 52, noch in de jurisprudentie waarnaar in die overweging wordt verwezen aan de orde. Daarop doel ik met de bewuste passage.

5. De leden van de SP-fractie vragen de aandacht voor een passage in de brief die betrekking heeft op vragen over de standaardcontractvoorwaarden en waarin ik schrijf: «bovendien is toevoeging van een voorwaarde aan een contract zoals het invoegen van toepasselijke standaardcontractsvoorwaarden, per definitie een wijziging van het desbetreffende contract. Dat vergt heronderhandeling met de wederpartij. Als er wordt heronderhandeld over een contract kunnen, uiteraard afhankelijk van de feiten, ook andere zaken dan de grondslag voor de doorgifte van persoonsgegevens aan de orde komen. Een grote onderneming die standaardcontracten hanteert en vanuit een zeker overwicht op de wederpartij in staat is die contractsvoorwaarden eenzijdig aan te passen heeft het in dit opzicht gemakkelijker dan een kleinere onderneming die het misschien meer van maatwerk moet hebben.»

De modelcontracten en de overige voorwaarden voor de dienstverlening lijken hier op één hoop te worden gegooid, aldus de leden van de SP-fractie. De modelcontracten mogen niet gewijzigd worden. Deze zijn (dus) ook niet aan onderhandeling onderhevig. Ze kunnen als zodanig bijvoorbeeld een bijlage bij de overeenkomst vormen (en zijn daarmee ook heel praktisch hanteerbaar). De overige contractvoorwaarden zijn vervolgens wel onderhandelbaar. Dat is net zo als bij ieder ander contract, ongeacht of er nu met een Amerikaanse of Europese leverancier moet worden onderhandeld, aldus deze leden. Naar de mening van de leden van de SP-fractie zijn het niet de modelcontracten die maken dat er onderhandeld moet worden. Onderhandeld moet er hoe dan ook worden. De vraag zal veeleer zijn of de leverancier de verplichtingen uit de modelcontracten kan nakomen of niet. Die verplichtingen gaan immers verder dan de verplichtingen uit de Safe Harbour-beschikking. Daar zit in de praktijk de pijn bij de onderhandelingen, zo menen deze leden. Deze leden vragen dat indien ik bedoel te zeggen dat dit pijnpunt een negatief gevolg is van het arrest, dan dit toch opvallend is. Dit pijnpunt laat immers juist zien dat niet alle leveranciers privacy zo goed op orde hebben, dat ze kunnen voldoen aan de Europese maatstaven. Dat een leverancier die voorheen op de Safe Harbour List stond, bij onderhandelingen aangeeft niet aan de modelcontracten te kunnen voldoen, roept volgens deze leden op zijn minst vragen op over de kracht/waarde van die Safe Harbour List (en de ongeldigverklaring van het Hof zou dus in zoverre best wel eens terecht kunnen zijn). Nederlandse afnemers zullen echter moeten borgen dat wel aan die Europese maatstaven wordt voldaan (om de privacy van klanten/personeelsleden/etc. te borgen). Graag vernemen deze leden een reactie.

Ik ben het met de leden van de SP-fractie eens dat wanneer een bestaand contract moet worden gewijzigd en die wijzigingen met zich brengen dat de goedgekeurde standaardcontractsvoorwaarden over de bescherming van persoonsgegevens in het contact moeten worden opgenomen, die voorwaarden niet mogen worden aangepast. Waar ik met de door deze leden gewraakte passage op doel is dat met elke wijziging van een contract de dynamiek van onderhandelingen op gang komt. Dat gebeurt ook als daaraan externe factoren ten grondslag liggen zoals een onverwachte rechterlijke uitspraak. Afhankelijk van onderlinge verhoudingen tussen partijen kan dat leiden tot andere onvoorziene consequenties.

6. De leden van de SP-fractie wijzen op een volgende passage uit de brief waarin ik schrijf dat de «noodzaak om persoonsgegevens naar de VS door te geven afhankelijk is van de aard van de onderneming en de daarin verrichte activiteiten. Bij ondernemingen die zich richten op het produceren van goederen en de verkoop daarvan in de VS zullen doorgaans niet veel meer verwerkingen van persoonsgegevens gemoeid zijn dan die van klachtcontactpersonen en werknemer. Bij ondernemingen die zich richten op dienstverlening van allerlei aard is dit doorgaans anders. Te denken valt aan reisbureaus of luchtvaartmaatschappijen, waarbij juist grote hoeveelheden persoonsgegevens naar derde landen moeten worden doorgegeven. In nog sterkere mate zal zich dit voordoen bij het aanbod van diensten van de informatiemaatschappij, waarbij de verwerking van persoonsgegevens de kern van de zakelijke activiteit vormt. Juist deze vorm van zakelijke activiteit is aantrekkelijk voor kleinere, beginnende ondernemingen.»

Deze leden zijn van mening dat juist online ondernemingen prima vanuit de EU kunnen worden opgestart. Ze kunnen de markt in de VS bestormen zonder in de VS gevestigd te zijn. Daarvoor is dan ook geen doorgifte van persoonsgegevens aan de VS noodzakelijk, aldus deze leden. Een onderneming die wil uitbreiden naar de VS kan dit (dus) nagenoeg doen zonder doorgifte van persoonsgegevens. Bovendien geldt voor reisbureaus en luchtvaartmaatschappijen dat de gegevens hier veelal zullen worden doorgegeven omdat de betrokkene zelf partij bij de overeenkomst is. Deze leden vernemen graag uw reactie hierop.

Ik ben het met deze leden eens dat online ondernemingen goed vanuit de EU kunnen worden opgestart en dat zij op de markt in de VS kunnen opereren zonder fysiek in dat land gevestigd te zijn. Dat wil echter niet zeggen dat er in die situatie geen persoonsgegevens zouden hoeven te worden doorgegeven. Afhankelijk van de aard van de activiteiten kan het nodig om gegevens over klanten, leveranciers en werknemers te verwerken. Zeker wanneer het bedrijf uit de EU zakelijke partners of vennootschapsrechtelijke deelnemingen in de VS heeft is doorgifte van persoonsgegevens niet ongebruikelijk.

7. De lezen van de SP-fractie wijzen daarnaast op mijn stelling in de brief dat «de maatstaf dat een derde land een passend niveau van gegevensbescherming moet bieden is alleen van toepassing op doorgiftes die gebaseerd worden op een toereikendheidsoordeel op grond van artikel 25 van de richtlijn. Alle andere grondslagen voor de doorgiften van persoonsgegevens zijn genoemd in of gebaseerd op artikel 26 van de richtlijn. Dat artikel bevat die maatstaf niet.»

De maatstaf ontbreekt inderdaad in artikel 26, zo constateren de leden van de SP-fractie. Dat laat volgens deze leden onverlet dat hoofdstuk IV van de richtlijn aanvullend geldt op de rest van de richtlijn. Het HvJEU benadrukt ook dat bij de toetsing van de Safe Harbour-beschikking is getoetst op naleving van de grondrechten. In het arrest wordt ook benadrukt dat artikel 25 richtlijn uitvoering geeft aan de bescherming ex artikel 8 van het Handvest van de Grondrechten van de EU. Er is geen enkele aanleiding te veronderstellen dat artikel 26 van de richtlijn niet evengoed aan de grondrechten getoetst zou moeten worden, aldus deze leden. Sterker nog, een omgekeerde uitleg (grondrechten niet van toepassing bij een uitzonderingsartikel, zoals artikel 26 van de richtlijn) zou volstrekt onlogisch zijn (gelet op de hoge rangorde van grondrechten). Met andere woorden, zo vinden deze leden, dat ik het arrest hier opeens wel heel erg eng interpreteer, zonder dat daartoe nu specifieke aanleiding is. Deze leden vernemen graag uw reactie hierop.

Ik vat de stelling van de leden van de SP-fractie zodanig op dat zij van oordeel zijn dat uit het arrest volgt dat alle andere grondslagen voor doorgifte van persoonsgegevens dan het Safe Harbour-arrangement ook getoetst moeten worden aan de artikelen 7 en 8 van het Handvest van de Grondrechten. Het staat deze leden uiteraard vrij van oordeel te zijn dat dit nodig is. Ik kan slechts constateren dat het arrest geen betrekking heeft op die rechtsvraag. Uit het arrest kan niet worden afgeleid dat de doorgifte van persoonsgegevens aan de VS die berust op alle andere grondslagen dan het Safe Harbour-arrangement onrechtmatig is. Vooralsnog moet het er dus voor worden gehouden dat dit rechtmatige grondslagen voor de doorgifte van persoonsgegevens blijven. Ik hecht daaraan uit het oogpunt van rechtszekerheid groot belang.

8. De leden van de SP-fractie wijzen op een passage in de brief op vragen over het afgeven van vergunningen voor de doorgifte van persoonsgegevens met Amerikaanse partijen waarin ik schrijf dat «zolang de richtlijn en de Wbp nog gelden, berust bij mij de bevoegdheid om voor doorgiften een vergunning te verlenen. Dergelijke vergunningen vormen nu nog de rechtsgrondslag voor de gelding van intern bindende bedrijfsvoorschriften («binding corporate rules») in de Nederlandse rechtsorde.» Zolang de rechter niet heeft geoordeeld dat vergunningen, al dan niet afgegeven voor doorgiften in het kader van «binding corporate rules», geen genoegzame grondslag vormen voor de doorgifte van persoonsgegevens, blijft mijn beleid terzake ongewijzigd.»

De leden van de SP-fractie zeggen deze redenering niet te volgen. Zij stellen dat ik blijf volhouden dat een ongeldigverklaring door het HvJEU terugwerkende kracht heeft (zie punt 4) maar het beleid ongewijzigd laat. Door het beleid ongewijzigd te laten stuur ik toch willens en wetens – ik ken immers het Duitse initiatief – aan op mogelijk nog meer uitwisselingen van persoonsgegevens die, in mijn visie, met terugwerkende kracht als onrechtmatig moeten worden aangemerkt wanneer ook de modelcontracten of binding corporate rules in rechte onderuit gaan. Graag vernemen deze leden mijn reactie.

De ongeldigverklaring van het Safe Harbour-arrangement heeft alleen rechtsgevolgen voor de doorgifte van persoonsgegevens met gebruikmaking van dit arrangement. Alle andere in de richtlijn en in de Wet bescherming persoonsgegevens opgenomen rechtsgrondslagen voor de doorgifte van persoonsgegevens blijven geldig. Dat in Duitsland mogelijk wordt getracht ook deze rechtsgrondslagen aan een rechterlijk oordeel te onderwerpen maakt dat niet anders. Het zakelijk verkeer heeft behoefte aan rechtszekerheid voor doorgiften die moeten plaatsvinden. Hetgeen de leden van SP-fractie mogelijk voor ogen staat is dat de volledige stroom trans-Atlantische doorgiften van persoonsgegevens wordt opgeschort totdat de rechter een eindoordeel heeft gegeven over de verenigbaarheid van elke rechtsgrondslag voor doorgifte met het Handvest van de Grondrechten. Het staat deze leden vanzelfsprekend vrij dit van oordeel te zijn. Ik acht dit niet verantwoord uit het oogpunt van rechtszekerheid en de continuïteit van handelsverkeer.

9. De leden van de SP-fractie wijze erop dat ik verderop in de beantwoording stel dat «mocht het nodig zijn dan ik het gesprek zal aangaan met het bedrijfsleven en de Autoriteit persoonsgegevens om te bezien of verruiming van dit beleid wenselijk en mogelijk is.»

Gezien de strenge criteria van het HvJEU is het volgens de leden van SP-fractie opmerkelijk dat ik pas het gesprek aan wil gaan, in het geval dit nodig mocht zijn. Graag vernemen deze leden mijn reactie.

Mijn reactie impliceert inderdaad dat ik het in dit stadium nog niet nodig oordeel het beleid aan te passen. Dat laat onverlet dat er voortdurend informeel contact is met het bedrijfsleven en de Autoriteit persoonsgegevens over de stand van zaken.

10. De leden van SP-fractie wijzen op een passage in de brief waarin ik schrijf dat «als de Algemene verordening gegevensbescherming over enige jaren geldt, dan worden de voorschriften voor doorgifte krachtens andere grondslagen dan toereikendheidsoordelen in het algemeen wat strenger. Ik kan niet uitsluiten dat dit consequenties heeft voor de context waarin doorgiften naar derde landen plaatsvinden krachtens de andere grondslagen dan toereikendheidsoordelen. Omdat dan ook de Wbp zal moeten worden ingetrokken is er dan ook geen bevoegdheid meer voor de afgifte van vergunningen op nationaal niveau.»

Deze leden vragen of hieruit kan worden opgemaakt dat ik tot het moment dat de richtlijn vervalt Wbp vergunningen blijf afgeven en niet anticipeert op het strengere kader (dat nu al in zicht is). Zij vragen waarom Nederland niet net als Duitsland anticipeert.

Zolang de richtlijn geldt en zolang de Wbp geldt is het mijn bedoeling vergunningen te blijven afgeven voor de doorgifte van persoonsgegevens naar derde landen wanneer de Autoriteit persoonsgegevens op de aanvraag een positief advies geeft. In Duitsland wordt bij mijn weten noch door de overheid, noch door de toezichthouders geanticipeerd op de verordening. Wel menen een of twee toezichthouders op deelstaatsniveau dat de standaardcontractsvoorwaarden en de binding corporate rules getoetst moeten worden aan de artikelen 7 en 8 van het Handvest van de Grondrechten. Of deze toezichthouders daadwerkelijk stappen hebben gezet om die toets uit te voeren en het resultaat aan de rechter voor te leggen is mij niet bekend. De rechtszekerheid en de continuïteit van het handelsverkeer zijn voor mij aanleiding om daarop niet vooruit te lopen.

11. De leden van de SP-fractie wijzen op een passage in de brief waarin ik schrijf dat ik er «uitdrukkelijk op gewezen heb dat dergelijke vergunningen ook nu al uitsluitend worden verleend na een positief advies van de Autoriteit persoonsgegevens. Bij dat advies komt aan de orde of de vergunning voorziet in voorschriften en beperkingen ter bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen.»

Deze leden vragen hoeveel vergunningen zijn er voor doorgifte aan de VS afgegeven en in welke context is dit gebeurd.

Er wordt op mijn ministerie niet bijgehouden ten aanzien van welke derde landen vergunningen voor de doorgifte van persoonsgegevens zijn afgegeven, en ook niet in welke context dit is gebeurd. De praktijk is steeds geweest dat indien de Autoriteit persoonsgegevens een vergunningaanvraag doorzendt met een positief advies deze vergunning door mij wordt afgegeven. Een inhoudelijke beoordeling vindt niet plaats. Volgens de in het verleden met de Autoriteit persoonsgegevens gemaakte werkafspraken beoordeelt de Autoriteit de inhoud van de aanvraag en voorziet na overleg met de aanvrager waar nodig in de noodzakelijke voorwaarden en waarborgen. Op basis van de jaarverslagen van de Autoriteit persoonsgegevens over de afgelopen zes jaren kom ik tot de volgende vaststelling: in 2010 betrof het 133 aanvragen waarover een advies is verleend, in 2011 129 aanvragen, in 2012 61 aanvragen, in 2013 14 aanvragen en in 2014 42 aanvragen. De cijfers over 2015 zijn nog niet beschikbaar.

12. De leden van de SP-fractie wijzen tot slot op de passage in de brief waar ik naar aanleiding van de nieuwe Safe Harbourbeschikking stel dat ik er vertrouwen in heb «dat de Europese Commissie erin zal slagen een nieuwe Safe Harbour-beschikking op te stellen die voldoet aan de eisen die het HvJEU heeft gesteld. Eenvoudig is dit niet omdat in de Verenigde Staten nu eenmaal een ander gegevensbeschermingsrecht geldt. Bovendien is de tijdsdruk erg hoog omdat de gezamenlijke toezichthouders na 31 januari 2016 in beginsel zullen gaan handhaven. Het is niet zo dat het HvJEU vereist dat het EU-niveau verankerd is in de rechtsorde van een derde land, zoals deze leden stellen. Rechtsoverweging 96 van het arrest geeft onomwonden aan dat het om «essentially equivalent» gaat. Dat biedt ruimte om rekening te houden met de eigenheden van een ander rechtsstelsel.»

De leden van de SP-fractie stellen dat hier slechts een deel van rechtsoverweging 96 van het Schrems-arrest wordt geciteerd. Er is ook uitdrukkelijk toegevoegd dat het derde land in kwestie, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, daadwerkelijk waarborgen moet bieden voor een niveau van bescherming van de grondrechten dat in grote lijnen overeenkomt met dat binnen de rechtsorde van de Unie. Een bepaalde vorm van verankering in nationale wet lijkt toch wel vereist te worden. De leden van de SP-fractie vernemen graag uw reactie hierop.

Het is juist dat het HvJEU in rechtsoverweging 96 overweegt dat de normen die een nader invulling geven aan wat als «essentially equivalent» moet worden aangemerkt in nationale wetgeving of internationale verbintenissen van het desbetreffende derde land moeten zijn neergelegd. Dat laat overigens onverlet dat die nationale wetgeving op onderdelen kan verschillen van hetgeen het recht van de EU of de lidstaten voorschrijft.

De Minister van Veiligheid en Justitie, G.A. van der Steur