32 761 Verwerking en bescherming persoonsgegevens

Nr. 14 BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 15 december 2011

Met deze brief informeer ik u over mijn standpunt met betrekking tot de gewijzigde motie van de leden Elissen en Schouw (32 761, nr. 13, ter vervanging van die gedrukt onder nr. 5) en de motie van het lid van der Steur c.s. (32 761, nr. 7).

Met de motie Elissen en Schouw wordt de regering verzocht bij aanbestedingen met betrekking tot opslag en beheer van gegevens van Nederlandse burgers, daar waar die gegevens het hoogste niveau van dataprotectie behoeven, de voorwaarde op te nemen dat in geval van conflicterende jurisdictie of om zulks te voorkomen exclusief het Nederlands recht van toepassing dient te worden verklaard.

Ik zie beide moties als gericht op het beschermen van de gegevens van Nederlandse burgers, wanneer deze op servers buiten de Europese Unie worden beheerd of opgeslagen door derden, dan wel door Amerikaanse bedrijven worden beheerd of opgeslagen ook al staan deze gegevens op servers binnen de Europese Unie.

Op grond van de Patriot Act kan de Amerikaanse overheid een vordering doen aan een bedrijf met de hoofdvestiging in de Verenigde Staten om gegevens te leveren. Het betreffende bedrijf moet dan alle gegevens waarover het beschikt of de beschikking kan hebben overdragen, ook al bevinden die gegevens zich buiten het territorium van de Verenigde Staten. Niet uitgesloten kan echter worden dat de Patriot Act ook consequenties heeft voor Europese bedrijven met een vestiging in de Verenigde Staten.

Wanneer de gevorderde gegevens zich in Nederland bevinden, is op de doorgifte van gegevens uit Nederland de regeling betreffende het gegevensverkeer met landen buiten de Europese Unie van de Wet bescherming persoonsgegevens van toepassing.

De Wet bescherming persoonsgegevens verlangt voor de doorgifte van gegevens aan landen buiten de Europese Unie dat het desbetreffende land een passend niveau van gegevensbescherming biedt. Dat niveau wordt vastgesteld door de Europese Commissie. Dergelijke beslissingen zijn ten aanzien van doorgiften van gegevens waarop de USA Patriot Act het oog heeft niet genomen. Doorgifte van gegevens is dan rechtmatig met toestemming van de betrokkenen, een vergunning van de minister van Veiligheid en Justitie, of wanneer in een individuele zaak een beroep kan worden gedaan op de grond «vaststelling, uitvoering of verdediging in rechte van enig recht». In de regel is het zo dat bedrijven die geconfronteerd worden met een vordering van de Amerikaanse autoriteiten de betrokkenen niet zonder meer om toestemming voor de doorgifte kunnen vragen, of dat zij zonder meer een aanvraag om een vergunning voor gegevensdoorgifte kunnen doen. Dat zou impliceren dat mededeling wordt gedaan van de vordering. Deze vorderingen bevatten echter in de regel ter bescherming van het onderzoeksbelang de voorwaarde dat het bestaan ervan niet mag worden meegedeeld aan derden. Schending van die verplichting kan leiden tot strafvervolging.

Dat betekent dat voor een rechtmatige doorgifte moet worden teruggevallen op de hierboven genoemde grond «verdediging in rechte van een recht». Of dat mogelijk is, moet van geval tot geval worden beoordeeld en is onder meer afhankelijk van aard en omvang van de gevorderde gegevens.

Het opnemen van een verwijzing naar de Wet bescherming persoonsgegevens in een privaatrechtelijke overeenkomsten tussen de Staat en de betrokken bedrijven voorkomt niet dat een bedrijf onder de jurisdictie van de Verenigde Staten valt. Dat wordt ook niet voorkomen door het van toepassing verklaren van Nederlands recht op de overeenkomst.

Bij de meeste aanbestedingen in Nederland is Nederlands recht van toepassing.

De mogelijkheid om bij een aanbesteding als selectiecriterium de eis te hanteren dat bedrijven niet onderworpen mogen zijn aan de jurisdictie van de Verenigde Staten is geen optie. Een bedrijf dat niet aan deze eis voldoet zou op grond van dit selectiecriterium van de aanbesteding worden uitgesloten. Een dergelijk selectiecriterium is echter in strijd met het gesloten systeem van selectiecriteria zoals vastgelegd in het Besluit aanbestedingsregels overheidsopdrachten (Bao) – waarin de Europese aanbestedingsrichtlijn is geïmplementeerd – en zou daarom een discriminerende eis zijn. Op overheidsopdrachten zijn de algemene beginselen van mededinging van de Europese Unie van kracht, waaronder het beginsel van non-discriminatie. De Europese aanbestedingsregels zijn mede op deze beginselen gebaseerd.

Het uitvoeren van de motie Elissen en Schouw kan gelet op het voorgaande niet tot het gewenste resultaat leiden. Zoals al is gesteld in het antwoord van de minister van Veiligheid en Justitie aan de Kamer op vragen van het lid Elissen (Aanhangsel van de Handelingen, nr. 3681) is hier sprake van een conflict in wetgeving dat in eerste instantie tussen overheden moet worden opgelost. De consequenties van dit conflict in wetgeving kunnen niet via de aanbestedingsprocedure worden opgelost.

Dit conflict in wetgeving beperkt zich bovendien niet tot Nederland. Ook in andere landen van de Europese Unie speelt dit op vergelijkbare wijze. In de motie Van der Steur wordt de regering opgeroepen om in Europees verband aan te dringen op een gezamenlijke regeling voor de bescherming van gegevens. Dit probleem is bekend bij de Europese Commissie. In dit verband is te melden dat de Europese Commissaris voor Justitie, grondrechten en burgerschap begin november heeft aangekondigd dat zij eind januari 2012 met voorstellen zal komen voor de herziening van de Richtlijn gegevensbescherming uit 1995. Mogelijk bevatten die voorstellen aanzetten voor een oplossing van dit jurisdictieconflict.

Ik zal na publicatie en behandeling van deze voorstellen terugkomen op het onderwerp van de moties.

De minister van Binnenlandse Zaken en Koninkrijksrelaties,

J. P. H. Donner

Naar boven