Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 27 mei 2016

Overeenkomstig de bestaande afspraken ontvangt u hierbij vijf fiches, die werden opgesteld door de werkgroep Beoordeling Nieuwe Commissievoorstellen (BNC).

De Minister van Buitenlandse Zaken, A.G. Koenders

Fiche: Mededeling Trans-Atlantische gegevensstromen

1. Algemene gegevens

• a) Titel:

  Mededeling Trans-Atlantische gegevensstromen: herstel van vertrouwen door solide waarborgen

• b) Datum ontvangst Commissiekabdocument:

  29 februari 2016

• c) Nr. Commissiedocument:

  COM (2016) 117

• d) EUR-Lex:

  http://eur-lex.europa.eu/legal-content/AUTO/?uri=CELEX:52016DC0117&qid=1461684318071&rid=1

• e) Nr. impact assessment Commissie en Opinie Impact-assessment Board:

  niet opgesteld.

• f) Behandelingstraject Raad:

  Raad Justitie en Binnenlandse Zaken

  • I. EU-US Privacy Shield: eigenstandige bevoegdheid Commissie, geen behandeling in Raad.

  • II. EU-US Dataprotection Umbrella Agreement: behandeling volgens de procedure voor het sluiten van overeenkomsten tussen de Unie en derde landen, zoals vastgelegd in artikel 218 VWEU. De stand van zaken in de besluitvorming is opgenomen in paragraaf 2, onder II, van dit fiche.

• g) Eerstverantwoordelijk ministerie:

  Veiligheid en Justitie

2. Essentie voorstel

De mededeling betreft twee maatregelen die de Commissie voorbereidt om het herstel van het vertrouwen in het trans-Atlantische gegevensverkeer te bevorderen. Deze mededeling vormt een verdere uitwerking van de voornemens van de Commissie aangekondigd in de mededeling van 27 november 2013 (COM (2013) 846), getiteld: Mededeling herstel vertrouwen EU-VS gegevensstromen. Ten aanzien van het EU VS Parapluverdrag doet de Commissie in de mededeling van 29 februari 2016 geen nieuwe voorstellen. De regering gaf haar standpunt op hoofdlijnen reeds in het BNC Fiche van 17 januari 2014 (Kamerstuk 22 112, nr. 1775).

• I. Met het EU US Privacy Shield beoogt de Commissie een nieuw kader vast te stellen voor de trans-Atlantische gegevensstromen uit de EU naar bedrijven in de Verenigde Staten die door middel van een inschrijving bij het Amerikaanse Ministerie van Handel verklaren zich aan een aantal beginselen van gegevensbescherming te zullen houden. Gebaseerd op de voorwaarden die worden gesteld in het arrest van het Hof van Justitie van de EU van 6 oktober 2015 (C-362/14) (Schrems) wil de Commissie vaststellen dat met het EU US Privacy Shield de Verenigde Staten beschikken over een voldoende gelijkwaardig niveau van gegevensbescherming op grond waarvan persoonsgegevens uit de EU zonder nadere garanties naar de ingeschreven bedrijven in de VS kunnen worden doorgegeven.

• II. Het doel van het Umbrella Agreement (of Parapluverdrag) is de waarborgen voor de bescherming van persoonsgegevens te versterken bij gegevensoverdracht in het kader van de politie- en justitiesamenwerking bij strafzaken. De overeenkomst vormt zelf geen basis voor informatie-overdracht, maar biedt een «paraplu» voor overeenkomsten met de VS die strekken tot overdracht van persoonsgegevens ten behoeve van strafrechtelijke rechtshandhaving. Dit betreft zowel overeenkomsten die op EU-niveau zijn gesloten als overeenkomsten die tussen individuele lidstaten en de VS bilateraal zijn gesloten.

  Na de inwerkingtreding van het Parapluverdrag moeten alle persoonsgegevens die worden doorgegeven voor het doel van strafrechtelijke rechtshandhaving door de EU of door autoriteiten van lidstaten (of private partijen als dit is toegestaan op grond van een overeenkomst) aan de VS, overgedragen worden aan en verwerkt worden door VS rechtshandhavingsautoriteiten in overeenstemming met alle regels voor gegevensbescherming die zijn opgenomen in het verdrag. Deze regels betreffen: verwerkingsnormen (bijv. kwaliteit en integriteit van data, veiligheid van gegevens, geautomatiseerde besluitvorming, bijzondere persoonsgegevens), belangrijke waarborgen en beperkingen (doelbinding, gebruiksbeperking, verdere doorgifte, bewaartermijnen, non-discriminatie) en individuele rechten (toegang, correctie, administratieve en gerechtelijke klachtprocedures). Op deze wijze zal het Parapluverdrag leemten in bestaande overeenkomsten van lidstaten met de VS invullen en tevens voor toekomstige verdragen een veiligheidsnet bieden zodat bij voorbaat vaststaat dat het niveau van gegevensbescherming in zulke verdragen aan de normen van het Parapluverdrag zal voldoen.

  De stand van zaken ten aanzien van het Parapluverdrag is als volgt. De Europese Commissie heeft namens de EU onderhandeld met de VS over een verdrag teneinde het bovengenoemde doel te realiseren, te weten het versterken van de bescherming van persoonsgegevens bij gegevensoverdracht in het kader van de politie- en justitiesamenwerking bij strafzaken. In september 2015 is door de onderhandelaars een akkoord bereikt en geparafeerd. De Europese Commissie heeft toen een belangrijke voorwaarde gesteld. De overeenkomst zou pas worden ondertekend en gesloten als de wetgeving in de Verenigde Staten zou zijn aangepast opdat Europese burgers toegang tot de Amerikaanse rechter zouden krijgen, op dezelfde wijze als burgers van de VS deze toegang hebben bij klachten betreffende de bescherming van hun persoonsgegevens. Hiertoe is de zogenaamde «Judicial Redress Bill» ingediend bij het Congres van de Verenigde Staten. Dit wetsontwerp had tot doel dat alle EU-burgers het recht zouden krijgen om hun rechten betreffende bescherming van hun gegevens voor de Amerikaanse rechter te kunnen uitoefenen, met name als autoriteiten toegang of rectificatie van gegevens hebben geweigerd of de gegevens van een Europese ingezetene op onrechtmatige wijze hebben ontsloten.

  De beoogde Judicial Redress Act is inmiddels tot stand gebracht en in februari 2016 door President Obama ondertekend.

  Het verdere EU-behandelingstraject is als volgt. De Europese Commissie heeft op 29 april 2016 een voorstel gedaan aan de Raad om de Commissie te machtigen het verdrag te ondertekenen. De Raad besluit met gekwalificeerde meerderheid van stemmen. Ondertekening op 1 of 2 juni tijdens de Ministeriële bijeenkomst EU-VS inzake JBZ, te Amsterdam. Na de ondertekening kan het EP zich uitspreken. Als het EP het verdrag goedkeurt kan vervolgens de Raad een besluit tot sluiting van het verdrag nemen.

3. Nederlandse positie ten aanzien van het voorstel

a) Essentie Nederlands beleid op dit terrein

• I. EU – US Privacy Shield. Nederland steunt in algemene zin de totstandkoming van besluiten van de Commissie waarbij aan derde landen een oordeel over de toereikendheid van het niveau van gegevensbescherming wordt verleend. Ten aanzien van de VS is dit van bijzonder belang gezien de omvang van het trans-Atlantisch handelsverkeer en de dringende noodzaak om voor het bedrijfsleven rechtszekerheid te bieden voor de doorgifte van persoonsgegevens naar de VS. Nederland hecht daarbij wel aan het inachtnemen van de beginselen van noodzakelijkheid en proportionaliteit en toereikende waarborgen voor de bescherming van de persoonlijke levenssfeer bij de toegang van de Amerikaanse autoriteiten tot doorgegeven persoonsgegevens om redenen die verband houden met de nationale veiligheid, de rechtshandhaving en andere openbare belangen.

• II. EU VS Parapluverdrag. Nederland is er voorstander van dat als persoonsgegevens op grond van een verdrag worden overgedragen aan derde landen zoals de VS, hierbij goede waarborgen gelden voor de gegevensbescherming en dat betrokkenen gebruik kunnen maken van individuele rechten als zij klachten hebben over de verwerking van hun gegevens.

b) Beoordeling + inzet ten aanzien van dit voorstel

• I. EU US Privacy Shield. Bij brief van de Minister van Veiligheid en Justitie van 29 april 2016, Kamerstukken 32 317 en 32 761, nr. 409, is een uitgebreide beoordeling van het EU US Privacy Shield gegeven waarin de hoofdlijnen van het kabinetsstandpunt uiteen worden gezet.

• II. Ten aanzien van het Parapluverdrag bevat de Commissie mededeling geen nieuw voorstel. De Commissie maakt de balans op van het actieplan in het kader van de Commissie mededeling van 27 november 2013 betreffend «Rebuilding trust in EU-US data flows». Het bereiken van overeenstemming over het Parapluverdrag is één van de actiepunten uit 2013.

  Het standpunt van de regering ten aanzien van de mededeling uit 2013 is neergelegd in het BNC Fiche van 17 januari 2014 (Kamerstuk 22 112, nr. 1775). In dit fiche nam de regering het standpunt in dat het sluiten van een breed omvattende overeenkomst voor de bescherming van persoonsgegevens wanneer deze het kader van rechtshandhaving worden uitgewisseld een grote stap voorwaarts zou zijn. In hetzelfde fiche beoordeelde Nederland de bevoegdheidsvaststelling positief en achtte Nederland de voorstellen proportioneel.

  Nederland steunt dan ook, gezien het eerder ingenomen standpunt, de totstandkoming van het beoogde verdrag. Het resultaat van de onderhandelingen is een belangrijke, positieve stap in de samenwerkingsrelatie tussen de EU en de VS op het terrein van de strafrechtelijke rechtshandhaving en de daarbij behorende waarborgen.

  Het verdrag geeft een aanvulling op bepalingen inzake de bescherming van persoonsgegevens die zijn opgenomen in internationale overeenkomsten tussen de EU en de VS of tussen de VS en individuele lidstaten, als deze overeenkomsten onderwerpen betreffen die binnen de reikwijdte van het Parapluverdrag vallen (te weten overdracht van persoonsgegevens ten behoeve van strafrechtelijke rechtshandhaving).

  Op EU-niveau betreft dit de bestaande overeenkomsten inzake Passenger Name Records. (Overeenkomst tussen de Verenigde Staten van Amerika en de Europese Unie inzake het gebruik en de doorgifte van persoonsgegevens van passagiers aan het Amerikaanse Ministerie van Binnenlandse Veiligheid) en inzake bankgegevens (Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en doorgifte van gegevens betreffende het financiële berichtenverkeer van de Europese Unie naar de Verenigde Staten ten behoeve van het programma voor het traceren van terrorismefinanciering).

  Voor Nederland vormt het Parapluverdrag een aanvulling op met name het bilaterale Verdrag tussen het Koninkrijk der Nederlanden en de Verenigde Staten van Amerika aangaande wederzijdse rechtshulp in strafzaken. Verder vormt het Parapluverdrag een «veiligheidsnet» voor de Overeenkomst tussen de regering van het Koninkrijk der Nederlanden en de regering van de Verenigde Staten van Amerika inzake verbetering van de samenwerking bij het voorkomen en bestrijden van ernstige criminaliteit (»s-Gravenhage, 19 november 2010). De goedkeuringswet ten aanzien van het laatstgenoemde verdrag is aanhangig bij de Tweede Kamer1.

c) Eerste inschatting van krachtenveld

• I. EU US Privacy Shield. Het besluit is een eigenstandige bevoegdheid van de Commissie. In het Art. 31 Comité, bestaande uit vertegenwoordigers van de lidstaten, wordt een voldoende meerderheid verwacht voor het ontwerpbesluit van de Commissie. Het Europees Parlement zal naar verwachting kritisch zijn, omdat het de garanties van de VS over beperking van de toegang van de Amerikaanse autoriteiten tot de krachtens het Shield doorgegeven gegevens onvoldoende acht.

• II. EU VS Parapluverdrag. De meeste lidstaten zullen positief zijn over het bereikte resultaat. Het is een vooruitgang ten opzichte van de huidige situatie op het gebied van gegevensbescherming in de samenwerking tussen de EU en de VS op het gebied van strafrechtelijke rechtshandhaving. Het Europese Parlement (EP) heeft het recht om het verdrag goed te keuren. De Europese Toezichthouder Gegevensbescherming (EDPS) heeft op 12 februari 2016 advies uitgebracht. In een eerste, verkennend overleg van het Europees Parlement (EP) is dit advies besproken, evenals een advies van de Juridische Dienst van het EP. De Europese Commissie heeft een toelichting gegeven aan het EP en de kritiek weerlegd.

  Momenteel is nog niet bekend welk standpunt het EP zal innemen in het kader van zijn goedkeuringsrecht.

4. Grondhouding ten aanzien van bevoegdheid, subsidiariteit, proportionaliteit, financiële gevolgen en gevolgen op het gebied van regeldruk en administratieve lasten

a) Bevoegdheid

Positieve grondhouding. De EU is bevoegd op te treden op het terrein van bescherming van persoonsgegevens (artikel 16 VWEU).

• I. EU US Privacy Shield. De Commissie is exclusief bevoegd op grond van art. 25, zesde lid, van richtlijn 95/46/EG.

• II. EU VS Parapluverdrag. De Europese Unie is bevoegd om het verdrag met de VS te sluiten op grond van artikel 16 juncto artikel 216 Verdrag inzake de Werking van de Europese Unie (VWEU). De procedure voor het sluiten van overeenkomsten tussen de Unie en derde landen is vastgelegd in artikel 218 VWEU.

  Verder moet bezien worden of de Unie exclusief bevoegd is deze internationale overeenkomst te sluiten of dat de lidstaten mede-bevoegd zijn het verdrag te sluiten. Op basis van de inhoud van de tekst van het Parapluverdrag, die is gevoegd bij het voorstel van de Europese Commissie aan de Raad om mandaat te verlenen het verdrag te tekenen is het oordeel van de Commissie en de meerderheid van de Raad (op Coreperniveau) dat de Europese Unie in dezen exclusief bevoegd is. Dit omdat sluiting van het verdrag gemeenschappelijke regels kan aantasten of de strekking daarvan kan wijzigen (artikel 3, tweede lid, VWEU). Dit betekent dat de ratificatie van het verdrag alleen op Europees niveau dient te geschieden. Het verdrag betreft alleen gegevensbescherming en geeft geen grondslag voor overdracht van persoonsgegevens in het kader van politie- en justitiesamenwerking. Bevoegdheden van lidstaten op deze terreinen van samenwerking zijn dan ook niet in het geding.

b) Subsidiariteit

• I. EU US Privacy Shield.

  Niet van toepassing, gegeven de exclusieve bevoegdheid van de EU ten aanzien van dit voorstel.

• II. EU VS Parapluverdrag.

  Niet van toepassing, gegeven de exclusieve bevoegdheid van de EU ten aanzien van dit voorstel.

c) Proportionaliteit

• I. EU US Privacy Shield. Positieve grondhouding. Verwezen wordt naar de brief van de Minister van Veiligheid en Justitie van 29 april 2016, Kamerstukken 32 317 en 32 761, nr. 409.

• II. EU VS Parapluverdrag. Positief. Het voorstel gaat niet verder dan nodig is.

d) Financiële gevolgen

• I. EU US Privacy Shield. Geen financiële consequenties.

• II. EU VS Parapluverdrag. Geen financiële consequenties.

e) Gevolgen voor regeldruk en administratieve lasten

• I. EU US Privacy Shield. Het EU US Privacy Shield is belangrijk ter vermijding van regeldruk en administratieve lasten. Het niet kunnen beschikken over het EU US Privacy Shield leidt ertoe dat bedrijven in de vorm van maatwerk in contracten zelf maatregelen moeten treffen voor de rechtmatigheid van de doorgifte van gegevens naar de VS. Hieraan zijn kosten verbonden.

• II. EU VS Parapluverdrag. Heeft geen consequenties voor de regeldruk en administratieve lasten in Nederland.