22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie

Nr. 1777 BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 17 januari 2014

Overeenkomstig de bestaande afspraken heb ik de eer u hierbij negen fiches aan te bieden die werden opgesteld door de werkgroep Beoordeling Nieuwe Commissievoorstellen (BNC).

Fiche 1: Wijziging vijf richtlijnen arbeidsrecht zeevarenden (Kamerstuk 22 112, nr. 1770)

Fiche 2: Richtlijn inzake de versterking van het vermoeden van onschuld (Kamerstuk 22 112, nr. 1771)

Fiche 3: Richtlijn procedurele rechten minderjarigen (Kamerstuk 22 112, nr. 1772)

Fiche 4: Richtlijn betreffende voorlopige rechtsbijstand voor van hun vrijheid beroofde personen en rechtsbijstand in Europese aanhoudingsbevelprocedures (Kamerstuk 22 112, nr. 1773)

Fiche 5: Mededeling vrouwelijke genitale verminking uitbannen (Kamerstuk 22 112, nr. 1774)

Fiche 6: Mededeling herstel vertrouwen EU-VS gegevensstromen (Kamerstuk 22 112, nr. 1775)

Fiche 7: Mededeling Europees terrorist finance tracking system (EU TFTS) (Kamerstuk 22 112, nr. 1776)

Fiche 8: Mededeling evaluatie Safe Harbour regime

Fiche 9: Mededeling inzake de Comprehensive approach (geïntegreerde benadering) gericht op inzet in conflict- en crisisgebieden (Kamerstuk 22 112, nr. 1778)

De Minister van Buitenlandse Zaken, F.C.G.M. Timmermans

Fiche: Mededeling evaluatie Safe Harbour regime

1. Algemene gegevens

Mededeling van de Commissie aan het Europees Parlement en de Raad betreffende de werking van de veiligehavenregeling («Safe Harbour») uit het oogpunt van EU-burgers en in de EU gevestigde

Datum ontvangst Commissiedocument

29 november 2013

Nr. Commissiedocument

COM (2013) 847

Pre-lex

http://ec.europa.eu/prelex/detail dossier real.cfm?CL=nl&DosId=1041465

Nr. impact assessment Commissie en Opinie Impact-assessment Board

N.v.t.

Behandelingstraject Raad

Raadsconclusies in de JBZ Raad

Eerstverantwoordelijk Ministerie

Veiligheid en Justitie

2. Essentie voorstel

Op grond van de artikelen 25 en 26 van richtlijn 95/46/EG kunnen persoonsgegevens slechts naar een land buiten de Europese Unie worden doorgegeven indien dat land naar het oordeel van de Commissie een passend niveau van gegevensbescherming waarborgt. De Verenigde Staten (VS) zijn geen land dat als zodanig is aangemerkt. Vanwege de fundamentele verschillen tussen het Europees en Amerikaans recht valt een dergelijk oordeel ook niet op afzienbare termijn te verwachten. Omdat met de VS bijzonder intensieve economische betrekkingen bestaan is het gebrek aan een algemeen toereikendheidsoordeel een ernstige belemmering in het van economisch verkeer deel uitmakende gegevensverkeer gebleken. In 2000 is de Europese Commissie daarom met de VS een regime overeengekomen dat het gegevensverkeer tussen bedrijven in de EU en de VS faciliteert. Dit zogenoemde Safe Harbour regime is neergelegd in beschikking van de Commissie nr. 520/2000 van 26 juli 2000 (PbEG L 215). Bedrijven gevestigd in de VS kunnen vrijwillig verklaren een aantal algemeen aanvaarde beginselen van gegevensbeschermingsrecht te accepteren en hun gegevenshuishouding overeenkomstig die beginselen te voeren. Naar een dergelijk bedrijf kunnen dan zonder aanvullende garanties gegevens worden doorgegeven. Een bedrijf dat een dergelijke verklaring aflegt, moet zich aanmelden bij het US Department of Commerce. Hoewel vrijwilligheid het uitgangspunt is, is het geen vrijblijvendheid. Het nalaten de beginselen na te leven kan in strijd komen met het verbod op oneerlijke handelspraktijken in de VS. De Federal Trade Commission fungeert als toezichthouder en kan sancties opleggen of om strafvervolging verzoeken. Het Safe Harbour regime omvat als uitvloeisel van de structuur van de Amerikaanse wetgeving niet de gehele private sector. De telecommunicatie en een deel van de vervoerssector is uitgezonderd. Het Safe Harbour regime is ook niet van toepassing op de publieke sector.

De Commissie stelt voor om de volgende geconstateerde tekortkomingen op het gebied van de transparantie en de naleving van het Safe Harbour-regime aan te pakken:

  • a. transparantie van het privacybeleid van Safe Harbour deelnemers;

  • b. effectieve toepassing van de Safe Harbour beginselen door de deelnemende bedrijven in de VS;

  • c. effectiviteit van de handhaving.

Verder vraagt de Commissie aandacht voor de gevolgen voor de continuïteit van de bescherming van de gegevens van EU-burgers die in de VS worden verwerkt door aan Safe Harbour deelnemende bedrijven in het licht van de geconstateerde grootschalige gegevensverzameling door de autoriteiten in de VS.

3. Wat is de Nederlandse grondhouding ten aanzien van de bevoegdheidsvaststelling, subsidiariteit en proportionaliteit van deze mededeling en de eventueel daarin aangekondigde concrete wet- en regelgeving? Hoe schat Nederland de financiële gevolgen in, alsmede de gevolgen op het gebied van regeldruk en administratieve lasten?

De Commissie baseert de bevoegdheid op artikel 25, zesde lid, richtlijn 95/46/EG. Nederland acht dit de juiste rechtsbasis.

De gegevensuitwisseling tussen bedrijven in de EU en Europese bedrijven gevestigd in de VS is het beste gediend bij maatregelen op Europees niveau. De subsidiariteit van dit voorstel wordt door Nederland daarom positief beoordeeld.

De voorstellen die de Commissie doet staan in verhouding met het doel dat de maatregelen beogen. De proportionaliteit wordt door Nederland daarom positief beoordeeld.

Er zijn geen financiële gevolgen voor het Rijk of de lagere overheden. Evenmin voor de EU-begroting. Mocht evenwel blijken dat er financiële gevolgen voor de nationale begroting zijn, dan worden deze ingepast in de begrotingen van de beleidsverantwoordelijke Ministeries conform de regels voor de budgetdiscipline.

4. Nederlandse positie over de mededeling

Het Safe Harbour regime is voor de Nederlandse economie van belangrijke betekenis. Als het Safe Harbour regime niet zou bestaan, zouden doorgiften van persoonsgegevens naar de VS in veel meer gevallen gebonden zijn aan een vergunning van de Minister van Veiligheid en Justitie of op andere, minder mogelijkheden biedende grondslagen moeten worden gebaseerd. Dat zou uit oogpunt van regeldruk en terugdringing van administratieve lasten onwenselijk zijn.

De Commissie constateert bij de uitvoering van het Safe Harbour regime vier categorieën problemen. Zij stelt daarbij oplossingen voor. Bij elk van de vier categorieën is de Nederlandse positie opgenomen.

1. Transparantieproblemen

  • De Commissie constateert dat deelnemende bedrijven onvoldoende uitvoering geven aan de verplichting hun privacybeleid op hun website in een begrijpelijke vorm en in heldere taal bekend te maken.

  • De Commissie is van oordeel dat deelnemende bedrijven bij de uitvoering van het privacybeleid moeten voorzien in een link naar de Safe Harbour webpagina van het US Department of Commerce waar alle deelnemende bedrijven kunnen worden gevonden.

  • Deelnemende bedrijven moeten volgens de Commissie ook de op de gegevensbescherming betrekking hebbende privacyvoorwaarden in overeenkomsten met medewerkers van het US Department of Commerce meedelen en op hun website bekend maken.

  • Het US Department of Commerce moet volgens de Commissie een voorziening op de website treffen om aan te geven welke bedrijven aan Safe Harbour deelnemen, maar die niet langer aan de voorwaarden voor deelname voldoen. Die bedrijven krijgen dan de status «not current».

Nederland neemt kennis van deze tekortkomingen. Het lijkt Nederland dat met een meer actieve rol van het US Department of Commerce het nodige kan worden bereikt om deze problemen op te lossen. Een eerste begin is daarmee al gemaakt. Het ligt op de weg van de Commissie een en ander verder met het US Department of Commerce te bespreken. Wat de laatste aanbeveling betreft kan Nederland zich voorstellen dat het de toegankelijkheid en de duidelijkheid van de lijst zou bevorderen wanneer organisaties van de lijst worden verwijderd wanneer de status «not current» langer dan 5 jaar heeft geduurd.

2. Geschillenbeslechting

Het door deelnemende bedrijven bekendgemaakte privacybeleid zou volgens de Commissie een link naar een instantie voor Alternative Dispute Resolution1 (ADR) of naar het bestaande EU-geschillenbeslechtingspanel moeten bevatten.

  • Deelname aan een ADR geschillenbeslechting zou volgens de Commissie direct beschikbaar moeten zijn en geen onevenredig hoge vergoeding mogen verlangen. Het EU-panel brengt geen kosten in rekening.

  • Het US Department of Commerce moet volgens de Commissie meer systematisch beoordelen of de ADR aanbieders zelf voldoende transparante en toegankelijke informatie verschaffen over de geschillenbeslechtingsprocedures en de afhandeling van klachten daarover. Bekendmaking van «veroordelende» uitspraken zou mogelijk moeten zijn.

Nederland neemt kennis van deze wensen van de Commissie. Het betreft hier niet in alle opzichten tekortkomingen. Ook in Nederland komt het wel voor dat bij behandeling van klachten door geschillencommissies een redelijke bijdrage in de kosten wordt verlangd. Voor het overige zal nog moeten worden bezien of de verlangens van de Commissie in alle opzichten gedekt worden door de tekst van FAQ 7 en FAQ 11 van Annex II van de Safe Harbour beschikking of dat bijstelling van de tekst daarvoor nodig is. Dat vergt een nadere vraag aan de Commissie en mogelijk bijstelling van de tekst na onderhandelingen met de VS. Omdat het hier primair gaat om rechtsverhoudingen tussen burgers en bedrijven onderling gaat Nederland ervan uit dat de rechtsbescherming bij de beslechting van geschillen voor Amerikaanse burgers en bedrijven en burgers en bedrijven uit de EU dezelfde is.

3. Handhaving

  • De Commissie beveelt aan dat steekproefsgewijs ambtshalve door het US Department of Commerce wordt nagegaan of aangemelde bedrijven niet alleen voldoen aan de aanmeldingsvoorwaarden, maar ook daadwerkelijk een inhoudelijk regimeconform privacybeleid voeren.

  • Bij geconstateerde niet-naleving zou er volgens de Commissie standaard na een jaar een herhalingsonderzoek moeten plaatsvinden naar het betrokken bedrijf.

  • In gevallen van twijfel over de naleving of aanhangige klachten zou het US Department of Commerce de bevoegde toezichthouders in de EU moeten inlichten.

  • Onjuiste mededelingen over deelname aan en naleving van de Safe Harbournormen zouden een blijvend aandachtspunt in de handhaving moeten zijn.

Nederland meent dat over dergelijke praktische kwesties afspraken moeten kunnen worden gemaakt tussen de EU en de VS. Nederland kan zich voorstellen dat de steekproefsgewijze (her)controles aan termijnen gebonden worden. Het is verheugend dat de Federal Trade Commission in afgelopen jaren de naleving van de Safe Harbournormen tot vast onderdeel van het toezichts- en handhavingsbeleid heeft gemaakt. Vanzelfsprekend zullen ook de Europese toezichthouders, waaronder het College bescherming persoonsgegevens, hun verantwoordelijkheden terzake blijven nemen.

4. Toegang tot gegevens van EU-burgers door de Amerikaanse autoriteiten

  • In het privacybeleid van deelnemende bedrijven behoort volgens de Commissie informatie te zijn opgenomen over de mate waarin het Amerikaanse recht de autoriteiten de mogelijkheid verschaft om gegevens te verzamelen en verder te verwerken die door de deelnemende bedrijven krachtens onder de Safe Harbour-normen worden verwerkt. In het bijzonder zouden bedrijven moeten worden aangemoedigd om aan te geven wanneer zij een beroep doen op de bestaande uitzonderingen in de Safe Harbour-normen voor de nationale veiligheid, het openbaar belang en de opsporing van strafbare feiten.

  • De Commissie wijst op het belang om de uitzondering op de Safe Harbour-normen uitsluitend toe te passen voor zover daartoe een dringende noodzaak bestaat en dit overigens proportioneel is.

De Safe Harbour-beschikking is volgens Nederland niet het eerst in aanmerking komende instrument voor een nadere regulering van de verzameling van gegevens door de inlichtingen- en veiligheidsdiensten van de VS. Dat zal moeten gebeuren door de Amerikaanse wetgever. De uitzondering op de Safe Harbour-normen voor nationale veiligheid en daarmee verwante doeleinden is op zichzelf genomen gebruikelijk in de privacywetgeving, ook in de EU en Nederland, en kan ook in het Nederlands belang niet worden gemist. Wel is Nederland met de Commissie van oordeel dat bedrijven in elk geval over de grondslagen van gegevensverstrekking aan de Amerikaanse autoriteiten meer duidelijk moeten en ook kunnen verschaffen. Nederland onderschrijft ook de stelling van de Commissie dat de uitzondering zo restrictief mogelijk moet worden toegepast. Daarbij verdient het wel aantekening dat bedrijven die geconfronteerd worden met een naar Amerikaans recht rechtmatig uitgebrachte vordering om gegevens te verstrekken zich niet steeds in een positie bevinden die het toelaat die vordering op noodzaak en proportionaliteit te toetsen. Ook is het naar Amerikaans recht in de regel niet toegestaan aan de vordering enige vorm van openbaarheid te geven. Het is ook in dit opzicht een zaak voor de Amerikaanse wetgever. Wel dient er in dit verband aan te worden herinnerd dat het kabinet zich in het kader van de onderhandelingen over de verordening gegevensbescherming inzet voor zo veel mogelijk sluitende regels voor grensoverschrijdend gegevensverkeer, met name ook voor het probleem van conflicterende jurisdicties (zie BNC fiche verordening gegevensbescherming, Kamerstuk 22 112, nr. 1372, punt 9)

Samenvattend kan Nederland zich goed vinden in het door de Commissie geschetste beeld van de naleving van de Safe Harbour-beschikking en de daarop betrekking hebbende voorstellen van de Commissie.

X Noot
1

Ook wel «Alternatieve Geschilsbeslissing» genoemd

Naar boven