Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 september 2020

Bij brief van 24 september 2020 ben ik geïnformeerd over het verzoek van de vaste commissie voor Justitie en Veiligheid om, vóór 1 oktober aanstaande, te reageren op de brief van NL-digitaal van 22 september jongstleden betreffende de gevolgen van de recente uitspraak van het Hof van Justitie van de Europese Unie in de zaak «Schrems II». Met deze brief voldoe ik aan dit verzoek.

Op 16 juli 2020 heeft het Hof van de Europese Unie (HvJEU) in de zaak Schrems II het EU-VS Privacy Shield (PS-besluit), een adequaatheidsbesluit in de zin van artikel 45 AVG, ongeldig verklaard.1 Hierdoor is de doorgifte van persoonsgegevens van de EU aan de VS op basis van het PS-besluit niet langer mogelijk. In de brief van 22 september jl. uit NL-digitaal haar zorgen omtrent de gevolgen hiervan voor het bedrijfsleven en andere organisaties. Met het wegvallen van het PS-besluit moeten bedrijven en andere organisaties die persoonsgegevens met de VS uitwisselen, terugvallen op andere instrumenten, zoals de zogenaamde Standard Contractual Clauses (SCC’s) van de Europese Commissie. Het gebruik van SCC’s brengt, aldus NL-digitaal, aanzienlijke problemen met zich mee. Niet alleen is de implementatie op korte termijn van een nieuw instrument in de praktijk erg lastig, in het bijzonder voor het MKB; maar vooral problematisch is dat het HvJEU in zijn uitspraak heeft aangegeven dat SCC´s alleen ingezet mogen worden indien in de praktijk een «gelijkwaardig beschermingsniveau» kan worden geborgd. Het is voor bedrijven onduidelijk hoe zij middels contractuele bepalingen aan dit verzoek kunnen voldoen, nu het probleem met voornoemd beschermingsniveau in de VS vooral gelegen is in de (surveillance) wetgeving die onvoldoende begrensd is. Aanvullende contractuele afspraken tussen organisaties kunnen de buitenlandse wetgeving niet wijzigen.

Volgens NL-digitaal is de impact niet beperkt tot de VS, maar raakt de uitspraak van het HvJEU ook aan de gegevensuitwisseling met alle derde landen waarbij organisaties gebruik maken van SCC’s.

Om die redenen zijn de gevolgen van de uitspraak van het HvJEU in de Schrems II zaak volgens NL-digitaal een politiek probleem geworden en zijn, in het kort, de volgende acties vereist:

• • De EU dient internationaal leiderschap te tonen om een sterke en stabiele juridische basis voor internationale gegevensstromen tussen de EU en derde landen te waarborgen.

• • De Europese Commissie (EC) en de VS moeten zo snel mogelijk onderhandelen over een mogelijke opvolger van het PS-besluit en duidelijkheid verschaffen over de planning hiervan.

• • De EC dient, in consulatie met stakeholders, zo snel mogelijk gemoderniseerde SCC’s gereed te maken.

• • De toezichthoudende autoriteiten dienen op korte termijn en op geharmoniseerde wijze duidelijk te maken wat in praktische zin onder de te nemen «aanvullende maatregelen» moet worden verstaan en wanneer deze maatregelen «passend» zijn.

• • De EC en toezichthoudende autoriteiten dienen eenduidige en geharmoniseerde informatie op te stellen en te verstrekken over het beschermingsniveau van persoonsgegevens in derde landen.

• • Er dient een grace period in te worden gesteld waarin de toezichthoudende autoriteiten niet tot handhaving overgaan om organisaties de mogelijkheid te bieden over te schakelen op de SCC’s.

Reactie

Allereerst wil ik benadrukken dat ik me bewust ben van de gevolgen voor het bedrijfsleven en andere organisaties van de uitspraak van het HvJEU in de zaak Schrems II. Met de uitspraak is een complexe situatie ontstaan voor wat betreft de doorgifte van persoonsgegevens aan de VS en mogelijk andere derde landen. De zorgen die door NL-digitaal worden geuit, begrijp ik dan ook goed.

Zoals NL-digitaal aangeeft, betekent de ongeldigverklaring van het PS-besluit dat bedrijven zich daar niet meer op kunnen beroepen en dat zij voor de uitwisseling van gegevens met de VS terug moeten vallen op andere in de AVG genoemde instrumenten, zoals de SCC’s of bindende bedrijfsvoorschriften (BRC’s).2 Ook voor deze instrumenten geldt dat zij een «gelijkwaardig beschermingsniveau´als dat van de AVG (en het Handvest van de grondrechten van de Europese Unie) moeten garanderen en dat bedrijven en organisaties, in het licht van de uitspraak van het HvJEU, zo nodig aanvullende maatregelen moeten treffen.3 Zoals NL-digitaal juist opmerkt, geldt dit voor de VS maar ook voor andere derde landen waarmee persoonsgegevens met behulp van SCC’s worden uitgewisseld. Dit vergt dat bedrijven en organisaties per geval, aan de hand van de relevante wet- en regelgeving van het desbetreffende land, toetsen of bij doorgifte van persoonsgegevens een adequaat beschermingsniveau kan worden geboden.

Een dergelijke beoordeling legt een grote last op bedrijven en organisaties. Desalniettemin dient uiteraard volledig gestand te worden gedaan aan de uitspraak van het HvJEU. In dit stadium is zowel voor de toepassing van SCC’s als voor de ontwikkeling van een nieuw adequaatheidsbesluit met de VS, van belang dat duidelijkheid en rechtszekerheid worden geboden. Niet alleen voor het bedrijfsleven en andere organisaties maar ook voor het individu en/of afnemers van producten en diensten. Vanuit dit gegeven ga ik in het hiernavolgende kort in op de door NL-digital genoemde actiepunten.

• Adequaatheidsbesluit als sterke en stabiele juridische basis voor internationale gegevensstromen tussen de EU en de VS en andere landen

Ten eerste is het van het allergrootste belang dat er een nieuw adequaatheidsbesluit wordt vastgesteld voor de doorgifte van persoonsgegevens aan de VS. Een adequaatheidsbesluit is volgens de AVG het voornaamste instrument om persoonsgegevens uit te wisselen met derde landen. Dit instrument geeft bedrijven de meeste duidelijkheid over en houvast bij de uitwisseling van persoonsgegevens met een derde land.

Vaststelling van een adequaatheidsbesluit is een eigenstandige bevoegdheid van de Europese Commissie. De Commissie is reeds in gesprek met de VS over de mogelijkheden voor een nieuw besluit. Het arrest Schrems II is inmiddels als «informatief onderwerp» geagendeerd voor de JBZ-raad van 7 en 8 oktober a.s. waarbij de Commissie de laatste ontwikkelingen zal toelichten aan de Lidstaten.4 Er is hierbij echter geen discussie voorzien. Indien opportuun zal Nederland het belang benadrukken van voortvarende onderhandelingen met de VS maar vooral ook van het nemen van een besluit dat geheel in overeenstemming is met de uitspraak en de daarin door het HvJEU genoemde criteria voor rechtmatige doorgifte van persoonsgegevens. Zoals benadrukt door NL-digitaal, dient een sterke en stabiele juridische basis voor internationale gegevensstromen tussen de EU en derde landen te worden gewaarborgd. Dit betekent ook dat een eventueel nieuw adequaatheidsbesluit, een nieuwe toetsing door het HvJEU moet kunnen doorstaan. De kwaliteit en toekomstbestendigheid van het besluit dient met andere woorden voorop te staan. Dit is niet alleen nodig voor organisaties en het bedrijfsleven, maar ook voor de bescherming van de rechten van de betrokkenen. Ik zal er bij de Commissie op aandringen dat Lidstaten op reguliere basis worden geïnformeerd over de voortgang.

Eenzelfde redenering geldt voor de doorgifte van persoonsgegevens aan het VK. Momenteel is de Commissie bezig met het voorbereiden van een tweetal adequaatheidsbesluiten ten aanzien van het VK voor na het einde van de overgangsperiode in het kader van de Brexit op 31 december 2020.5 De Commissie heeft reeds aangegeven dat het arrest van het HvJEU noodzaakt tot zorgvuldig onderzoek van de VK-regels met betrekking tot verdere doorgifte van persoonsgegevens aan derde landen zoals de VS (zg. «onward transfers») evenals de toegang tot persoonsgegevens door inlichtingen- en veiligheidsdiensten alsmede de mogelijkheden tot rechtsverhaal door het individu. Wanneer het onderzoek van de Commissie en de procedurele vervolgstappen niet vóór 31 december 2020 naar tevredenheid zijn afgerond, zullen bedrijven en organisaties die (structureel) persoonsgegevens doorgeven aan het VK eveneens moeten terugvallen op SCC’s of BCR’s.6

• Duidelijkheid over passende maatregelen onder de SCC’s

In afwachting van een nieuw adequaatheidsbesluit zullen organisaties en bedrijven gebruik moeten maken van andere instrumenten, waaronder SCC’s. SCC’s zijn het meest gebruikte instrument voor gegevensoverdrachten buiten de EU.

Zoals door NL-digitaal aangegeven is met de uitspraak van het HvJEU onduidelijkheid ontstaan over de «aanvullende maatregelen» die getroffen moeten worden om een passend beschermingsniveau te garanderen. Hierbij is een belangrijke taak weggelegd voor de nationale toezichthoudende autoriteiten, die deze rol ook pakken. Volgens informatie van de Autoriteit Persoonsgegevens (AP) werken de gezamenlijke Europese privacy-toezichthouders samen aan handvatten om bedrijven en andere organisaties te informeren over welke maatregelen zij zouden kunnen treffen om SCC’s te kunnen blijven gebruiken. Het Europees Comité voor gegevensbescherming (European Data Protection Board – EDPB) heeft aangekondigd binnenkort, naar verwachting in oktober aanstaande, met richtsnoeren op dit punt te komen, als aanvulling op de eerder gepubliceerde informatie7. Hierover blijf ik in gesprek met de AP.

• Modernisering van de SCC’s

Dergelijke handvatten zijn voor de korte termijn van groot belang. Op langere termijn zullen de SCC’s van de Commissie gemoderniseerd en in lijn moeten worden gebracht met de uitspraak van het HvJEU. Bij een eerstvolgende gelegenheid zal ik de Commissie vragen naar de stand van zaken omtrent de reeds aankondigde modernisering van deze SCC.

• Transitie periode

Voor wat betreft een «grace period», oftewel een transitieperiode, merk ik op dat dit op het terrein van de onafhankelijke nationale toezichthouders ligt. In dat kader is relevant dat de EDPB eerder heeft laten weten geen ruimte te zien voor een transitieperiode waarin nog niet direct handhavend wordt opgetreden tegen doorgifte gebaseerd op het ongeldig verklaarde PS-besluit. Het is aan de EDBP om te beoordelen of er aanleiding is om op deze uitspraak terug te komen.

Tot slot merk ik op dat, bij ontstentenis van een adequaatheidsbesluit (ex artikel 45 AVG) of instrumenten als SCC’s of BCR’s (artikel 46), internationale doorgiften nog altijd gebaseerd kunnen worden op de specifieke in artikel 49 AVG genoemde grondslagen.8

Ik vertrouw erop u hiermee voldoende te hebben geïnformeerd.

De Minister voor Rechtsbescherming, S. Dekker