Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 16 februari 2016

Bij brief van 26 januari 2016 verzocht de Vaste Commissie voor Veiligheid en Justitie van uw Kamer een brief te zenden over de ontwikkelingen met betrekking tot de onderhandelingen tussen de Europese Unie (EU) en de Verenigde Staten (VS) naar aanleiding van de uitspraak van het Hof van Justitie van de Europese Unie (HvJEU) inzake Safe Harbour. Bij dezen voldoe ik graag aan dat verzoek.

Op 2 februari 2016 heeft de Europese Commissie bekendgemaakt dat de onderhandelingen met de VS zijn afgerond met een politiek akkoord tussen beide partijen over een nieuw raamwerk voor de doorgifte van persoonsgegevens uit de EU naar de VS onder de benaming «EU-US Privacy Shield».

De tekst van dit politiek akkoord moet nog worden uitgewerkt en is daarom nog niet beschikbaar. Niettemin heeft de Commissie enkele hoofdlijnen toegelicht. Ik informeer u daar graag over. De Commissie geeft aan dat het nieuwe raamwerk twee doelstellingen dient, te weten de bescherming van de grondrechten van de EU-burgers en het bieden van zekerheid voor het bedrijfsleven.

In het nieuwe raamwerk onderscheidt de Commissie drie elementen.

Het eerste element betreft versterkte verplichtingen voor bedrijven die persoonsgegevens verwerken van EU-burgers, ondersteund door een robuuste handhaving. Bedrijven die zich onder het Privacy Shield aanmelden zullen zich moeten houden aan duidelijke regels en zullen ook verantwoording schuldig zijn aan het US Department of Commerce over de naleving van die regels. Het US Department of Commerce monitort de naleving ook. Doordat bedrijven het gevoerde privacybeleid bekendmaken is ook gegeven dat de naleving ervan zo nodig kan worden gehandhaafd door de Federal Trade Commission (FTC). Betreft de doorgifte persoonsgegevens van werknemers, dan kan ook worden voorzien in aanvullende handhaving door de Europese toezichthouders.

Het tweede element betreft duidelijke waarborgen en transparantieverplichtingen voor de gevallen waarin de autoriteiten in de VS krachtens het interne recht van de VS toegang krijgen tot de doorgegeven gegevens. De Commissie heeft aangegeven dat de VS schriftelijke garanties hebben gegeven inhoudende dat wanneer die toegang plaatsvindt ten behoeve van de rechtshandhaving en de nationale veiligheid er wordt voorzien in duidelijke beperkingen op die toegang, dat daarbij wordt voorzien in de nodige waarborgen en dat daarop toezicht wordt uitgeoefend. De toegang tot de gegevens voor deze doeleinden mag, aldus de Commissie, alleen worden gebruikt voor zover dat noodzakelijk en proportioneel is. Er zal volgens de Commissie worden voorzien in een toezegging door de VS dat geen sprake zal zijn van ongerichte massasurveillance van de doorgegeven gegevens. Er zal worden voorzien in een jaarlijkse evaluatie door de EU en de VS gezamenlijk. Daarbij wordt voorzien in deelname van een vertegenwoordiging van de Europese toezichthouders voor gegevensbescherming.

Het derde element betreft de effectieve bescherming van de rechten van EU-burgers. Er wordt voorzien in verscheidene beroepsmogelijkheden. Bedrijven worden verplicht binnen bepaalde termijnen te reageren op klachten van burgers. Indien geklaagd wordt bij Europese toezichthouders voor gegevensbescherming dan hebben deze de mogelijkheid de klacht voor behandeling over te dragen aan de FTC. Als de FTC de klacht niet zal behandelen, blijft de toegang tot de bestaande alternatieve geschilbeslechting gewaarborgd. Die zal bovendien voortaan kosteloos zijn. Indien geklaagd wordt over de mogelijke toegang tot de gegevens door de inlichtingen- en veiligheidsdiensten van de VS kan een bij het US Department of State in te stellen ombudspersoon die klacht behandelen.

De Commissie en de VS zijn er van overtuigd dat dit raamwerk voldoet aan de eisen die het HvJEU in zijn arrest van 6 oktober 2015 (C-362/14) (Schrems) heeft gesteld. Aangezien de teksten van het raamwerk nog niet beschikbaar zijn, acht ik het niet verantwoord om daarvan nu een inhoudelijke appreciatie te geven.

Ik kan wel zeggen dat Nederland positief is over het feit dat beide partijen toch een akkoord hebben weten te bereiken. Nederland is de Commissie dankbaar voor het vele werk dat onder zeer hoge tijdsdruk moest worden verricht. Nederland is ook de VS erkentelijk voor de wijze waarop men verantwoordelijkheid heeft willen nemen.

De zogeheten Artikel 29 Werkgroep (WP 29), het onafhankelijk samenwerkingsverband van de Europese toezichthouders voor de gegevensbescherming, heeft op 3 februari 2016 bekendgemaakt dat zij van de Commissie verwacht dat zij alle documentatie met betrekking tot het nieuwe raamwerk uiterlijk eind februari 2016 ter beschikking stelt. De WP 29 zal dan in staat zijn een oordeel te geven over de rechtmatigheid van alle doorgiften van persoonsgegevens naar de VS. Daaronder begrijpt de Werkgroep niet alleen de doorgiften krachtens het nieuwe raamwerk, maar uitdrukkelijk ook de doorgiften krachtens door de Commissie goedgekeurde standaardcontractclausules («Standard Contractual Clauses») als bedoeld in artikel 26, vierde lid, van richtlijn 95/46/EG en krachtens door de betrokken nationale toezichthouders krachtens nationale wetgeving goedgekeurde intern bindende bedrijfsvoorschriften («Binding Corporate Rules»). Tot dit oordeel is gegeven acht de Werkgroep de doorgifte krachtens deze instrumenten in zijn algemeenheid nog mogelijk. Dat laatste laat onverlet dat de toezichthouders in individuele gevallen waarin daartoe aanleiding bestaat hun handhavingsbevoegdheden kunnen toepassen.

Over die laatste uitlating ben ik verheugd. Het onderzoek naar de Standard Contractual Clauses en de Binding Corporate Rules heeft nadrukkelijk mijn aandacht. Het arrest van het HvJEU betrof immers niet deze doorgiften. Een onderzoek naar deze grondslagen heeft invloed op het vertrouwen dat burgers en bedrijven in deze instrumenten hebben. Dat vertrouwen is door de Commissie en de WP 29 zelf bevestigd in hun publieke uitlatingen na het arrest. Ik berichtte uw Kamer daarover in mijn brief van 30 november 2015 (Kamerstuk 32 317, nr. 363). Als de rechtmatigheid van deze instrumenten in twijfel wordt getrokken, ontstaat, bij gebreke aan andere alternatieven voor het oude Safe Harbour-regime, grote rechtsonzekerheid over de rechtmatigheid van het gehele trans-Atlantisch gegevensverkeer.

De procedure voor de formalisering van het EU-US Privacy Shield is als volgt. De EU en de VS zullen het politiek akkoord eerst in een concepttekst moeten neerleggen. Vervolgens zal de Commissie middels een uitvoeringsbesluit op grond van de haar krachtens artikel 25, zesde lid, van richtlijn 95/46/EG verleende bevoegdheid dienen te constateren dat de VS waarborgen bieden voor een passend beschermingsniveau met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden van personen. De WP 29 zal op grond van artikel 30 van richtlijn 95/46/EG daartoe een advies uitbrengen. Het uitvoeringsbesluit van de Commissie wordt genomen volgens de procedure van artikel 31 van richtlijn 95/46/EG. Voordat de Commissie het besluit kan vaststellen zal eerst een comité waarin de lidstaten vertegenwoordigd zijn zich over het voorgestelde besluit buigen. De Raad, en daarom ook het Nederlands Voorzitterschap, en het EP hebben geen formele bemoeienis bij de vaststelling van uitvoeringshandelingen. Dat neemt niet weg dat de Commissie van tijd tot tijd de Raad of Coreper informeert over de stand van zaken.

Ik zeg de Kamer toe een inhoudelijke appreciatie van het nieuwe raamwerk te zenden wanneer de teksten door de Commissie beschikbaar zijn gesteld.

De Minister van Veiligheid en Justitie, G.A. van der Steur