In haar vergadering van 8 december jl. hebben de leden van de vaste commissie voor Immigratie & Asiel / JBZ-Raad2 de brief van de Minister van Veiligheid en Justitie d.d. 30 november 2015 met een appreciatie van het Schrems-arrest besproken. 3 De leden van de fracties van VVD en SP hebben naar aanleiding hiervan op 21 december 2015 een aantal vragen gesteld aan de Minister.

De Minister heeft op 27 januari 2016 gereageerd.

De commissie brengt bijgaand verslag uit van het gevoerde schriftelijk overleg.

De griffier van de vaste commissie voor Immigratie en Asiel / JBZ-Raad, K. van Dooren

BRIEF VAN DE VOORZITTER VAN DE VASTE COMMISSIE VOOR IMMIGRATIE EN ASIEL / JBZ-RAAD

Aan de Minister van Veiligheid en Justitie

Den Haag, 21 december 2016

In haar vergadering van 8 december jl. hebben de leden van de vaste commissie voor Immigratie & Asiel / JBZ-Raad uw brief d.d. 30 november 2015 met een appreciatie van het Schrems-arrest besproken.4 De leden van de fracties van VVD en SP hebben naar aanleiding hiervan de volgende vragen.

Vragen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van uw brief d.d. 30 november 2015 met een appreciatie van het Schrems-arrest. In deze appreciatie beoordeelt u de uitspraak voornamelijk in het licht van de huidige Europese wetgeving op het gebied van gegevensbescherming. De onderhandelingen over het toekomstige EU-wetgevingskader op het gebied van gegevensbescherming, te weten de ontwerpverordening gegevensbescherming5 en de ontwerprichtlijn voor opsporing en vervolging6, zijn ver gevorderd. De leden van de VVD-fractie wensen dan ook graag te vernemen hoe u het Schrems-arrest beoordeelt in het licht van de laatste teksten van de ontwerpverordening en -richtlijn.

Vragen van de leden van de SP-fractie

De leden van de SP-fractie hebben kennisgenomen van uw brief d.d. 30 november 2015 met een appreciatie van het Schrems-arrest en hebben naar aanleiding hiervan de volgende vragen en opmerkingen.

Eerste beoordeling van de uitspraak door de regering

In de appreciatie stelt u dat het opvallend is dat volgens het Hof van Justitie van de Europese Unie (hierna: Hof) bij de beoordeling van een niveau van gegevensbescherming in een land tevens rekening moet worden gehouden met de bevoegdheden in het betreffende land om op grond van de nationale veiligheid inbreuk te mogen maken op het recht op bescherming van persoonsgegevens.7 Volgens u is dit opvallend omdat «nationale veiligheid de verantwoordelijkheid van de lidstaten is (art. 4, tweede lid, VEU en art. 72 VWEU).»8 U lijkt hier echter te miskennen dat het Hof niet doelt op (bevoegdheden rondom) nationale veiligheid van de EU-lidstaten, maar juist van het derde land waar de persoonsgegevens naar toe worden geëxporteerd. Het grondrecht van EU-burgers op zorgvuldige verwerking van

persoonsgegevens is dus mogelijk in het geding, afhankelijk van de bevoegdheden rondom nationale veiligheid in het betreffende derde land. De leden van de SP-fractie verzoeken u toe te lichten waarom u de betreffende overweging van het Hof niettemin «opvallend» acht.

In de appreciatie noemt u het tevens opvallend dat in het arrest geen aandacht uitgaat naar de consequenties van de ongeldigverklaring van de Safe Harbour beschikking.9 Het is de vraag of het tot de taken van de rechtsprekende macht behoort hiermee rekening te houden. Uitgangspunt in een rechtsstaat moet immers zijn dat handelingen die in strijd met het recht (meer specifiek grondrechten) zijn, niet worden getolereerd en per direct worden gestaakt (vgl. artikel 264 VWEU). De leden van de SP-fractie verzoeken u toe te lichten waarom u dit niettemin opvalt.

Feitelijke consequenties van de uitspraak volgens de regering

In de appreciatie schrijft u dat doorgiften uit het verleden «onrechtmatig zijn geweest».10 Dit lijkt lastig te verenigen met overweging 52 uit het arrest, waarin immers staat dat «zolang de beschikking van de Commissie niet door het Hof ongeldig is verklaard (...) worden [handelingen] immers in beginsel vermoed rechtmatig te zijn en dus rechtsgevolgen in het leven te roepen, zolang zij niet zijn ingetrokken, in het kader van een beroep tot nietigverklaring nietig zijn verklaard of ten gevolge van een prejudiciële verwijzing of een exceptie van onwettigheid ongeldig zijn verklaard (arrest Commissie/Griekenland, C-475/01, EU:C:2004:585, punt 18 en aldaar aangehaalde rechtspraak)».11 Alle uitwisselingen van persoonsgegevens met de Verenigde Staten (hierna: VS) van voor de datum van het arrest lijken dus rechtmatig te zijn geweest. Kennelijk ziet u dit anders. De leden van de SP-fractie verzoeken u om een toelichting op dit punt.

Verder stelt u in de appreciatie dat het voor grote bedrijven minder bezwaarlijk is overeenkomsten op te stellen met Amerikaanse zakenpartners dan voor kleine bedrijven.12 De modelcontracten van de Europese Commissie zijn echter publiekelijk beschikbaar en kosteloos te downloaden. Uitgangspunt is ook dat die overeenkomsten niet gewijzigd mogen worden. De route van modelcontracten lijkt dus relatief overzichtelijk. Waar is volgens u dan toch de kostbare bijstand voor nodig? Overigens wordt erkend dat het opstellen van «binding corporate rules» niet weggelegd zal zijn voor menig kleine ondernemer. Dergelijke «binding corporate rules» spelen echter vooral in concernverband en niet in de relatie dienstverlener-afnemer.

In de appreciatie wordt eveneens gesteld dat lagere nalevingskosten voor kleinere ondernemingen de doorslaggevende factor kunnen zijn voor uitbreiden van de activiteiten naar de VS.13 Dat veronderstelt dat privacywetgeving zeer sterk mee zou wegen in de go/no-go beslissing om ook in de VS actief te worden. Zou u kunnen toelichten waar deze aanname op is gebaseerd? In de regel zal het immers niet noodzakelijk zijn om als onderneming persoonsgegevens van EU-onderdanen naar de VS te exporteren, op de enkele grond dat de betreffende onderneming in de VS actief wordt (anders dan wellicht werknemersgegevens, maar daarvoor bestaat een grondslag in de uitvoering van de overeenkomst).

Alternatieve grondslagen

In de appreciatie worden de alternatieven grondslagen opgesomd die bedrijven kunnen gebruiken voor de doorgifte van gegevens naar de VS. In het eerste opsommingsteken wordt «de doorgifte die noodzakelijk is voor uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke» 14 vermeld. Dat is, gelet op de praktische gevolgen van de Safe Harbour beschikking, opvallend. Die gevolgen doen zich vermoedelijk met name voor bij de uitbesteding van IT naar Amerikaanse leveranciers (bijv. cloud computing) en/of het afnemen van (online) IT-dienstverlening bij Amerikaanse leveranciers (zoals bijv. webstatistieken). Bij dergelijke overeenkomsten is de betrokkene echter geen partij. Dat betekent dat in die gevallen deze grondslag ook geen rechtvaardiging kan vormen voor de uitwisseling van persoonsgegevens met de VS. Deze grondslag voor uitwisseling van persoonsgegevens doet zich dan ook slechts weinig voor (bijv. bij een arbeidsrelatie met een Amerikaanse moeder of bij uitvoering van een bestelling door betrokkene waarbij ook een Amerikaanse partij is betrokken). Zou u kunnen toelichten waarom u deze grondslag niettemin vermeldt zonder voornoemde voorbehouden? De niet-geïnformeerde lezer zou zo mogelijk op het verkeerde been gezet kunnen worden aldus de leden van de SP-fractie.

Voor wat betreft de andere alternatieve grondslagen die u noemt zijn deze vooralsnog inderdaad bruikbaar, maar het is de vraag of deze grondslagen op termijn ook standhouden. Het Hof legt de lat voor uitwisseling van persoonsgegevens naar buiten de EER immers zeer hoog. Het Hof overweegt namelijk dat het derde land een niveau van bescherming moet bieden dat «in grote lijnen overeenkomt met het niveau dat binnen de Unie wordt gewaarborgd»15, dat dit niveau zijn weerslag moet vinden in de rechtsorde van het betreffende derde land op een wijze die in de praktijk voldoende doeltreffend is16, dat het ongeclausuleerd laten prevaleren van nationale veiligheid boven privacy problematisch is17, dat het niet respecteren van de in de rechtspraak ontwikkelde strikte criteria voor inbreuk op een grondrecht (i.c. privacy) problematisch is18 en dat het ontbreken van rechterlijke procedures waarbij de betrokkene zijn recht kan halen problematisch is.19 Voor zowel modelcontracten als «binding corporate rules» geldt onder meer dat de rechtsorde van het land van vestiging van de wederpartij vermoedelijk niet voldoet aan voornoemde eisen (anders was immers de passendheid van het betreffende land wel vastgesteld). Verwacht u dat ook de andere grondslagen voor uitwisseling van persoonsgegevens met derden buiten de EER op korte termijn zullen sneuvelen? Zo ja, waarom? Zo nee, waarom niet? Zo ja, welke maatregelen zal u nemen?

Nieuwe Safe Harbour-beschikking

In de appreciatie schrijft u dat een nieuw Safe Harbour regime wenselijk zou zijn, maar dat onderhandelingen hierover naar verwachting niet op korte termijn zijn afgerond.20 In hoeverre is een nieuwe Safe Harbour regeling echter realistisch, gelet op onder meer de fundamenteel andere benadering van privacy (de EU reguleert gebruik en de VS reguleert (enig) misbruik) en het feit dat het Hof vereist dat het EU-niveau van privacybescherming verankerd is in de rechtsorde van het derde land?21

Vergunningen voor de doorgifte van persoonsgegevens

Verder stelt u er rekening mee te houden dat het aantal vergunningsaanvragen voor doorgifte zal toenemen.22 Acht u het denkbaar dat, ondanks het ontbreken van waarborgen voor de bescherming van privacy in de Amerikaanse rechtsorde, u niettemin vergunningen zal afgeven voor uitwisseling van persoonsgegevens met Amerikaanse partijen? Zo ja, wat zou daar dan de rechtvaardiging voor zijn? Is het vervolgens, mede gelet op r.o. 47 van het arrest, niet wachten op ingrijpen van het College Bescherming Persoonsgegevens die een dergelijke doorgifte vervolgens hoogstwaarschijnlijk zal (trachten te) beletten? Veroorzaakt u met afgifte van dergelijke vergunningen (dus) niet juist zeer veel rechtsonzekerheid?

Tot slot

Algemeen valt op dat de appreciatie voornamelijk kritisch is over het arrest. Het arrest biedt echter ook een kans voor de Europese ICT-industrie, in die zin dat Europese ICT-aanbieders nu een (privacyrechtelijk) concurrentievoordeel hebben ten opzichte van hun Amerikaanse concurrenten. Waarom benadrukt u niet ook dat aspect van het arrest? De leden van de SP-fractie willen ook graag een antwoord op deze vraag.

De voorzitter van de vaste commissie voor Immigratie en Asiel / JBZ-Raad, G. Markuszower

BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 27 januari 2016

Bij brief van 21 december 2015, nr. 158422u, hebben de leden van de Vaste Commissie voor Immigratie en Asiel/JBZ Raad enige vragen gesteld naar aanleiding van mijn brief van 30 november 2015 met betrekking tot het arrest van het Hof van Justitie van de EU van 6 oktober 2015, C-362/15, (Schrems/Data Protection Commissioner) (Kamerstukken I 2015/16, 34 353 A). Ik zeg de leden dank voor deze vragen, die ik hieronder graag beantwoord.

Vragen van de leden van de VVD-fractie

De leden van de VVD-fractie constateren dat mijn beoordeling van het arrest zich met name richt op de verhouding tussen het arrest en de geldende Europese wetgeving op het gebied van gegevensbescherming. Deze leden zouden graag vernemen hoe ik het arrest beoordeel in het licht van de komende Europese wetgeving. Zij doelen daarbij op de laatste teksten van de ontwerpverordening en -richtlijn.

Het voorstel van de Europese Commissie voor de Algemene verordening gegevensbescherming (COM (2012) 11 (def)) (hierna: de verordening) volgt in grote lijnen de artikelen 25 en 26 van de thans nog geldende richtlijn 95/46/EG (hierna: de richtlijn) bij de vormgeving van de grondslagen voor de rechtmatige doorgifte van gegevens uit de EU naar derde landen. Dat wil zeggen dat ook in de verordening de hoofdregel blijft dat gegevens alleen uit de EU mogen worden doorgegeven naar een derde land, indien dat land naar het oordeel van de Commissie een passend beschermingsniveau waarborgt (artikel 41). In artikel 41, tweede lid, van het voorstel is opgenomen dat de beoordeling van hetgeen als passend kan worden aangemerkt aanzienlijk strikter wordt. Zo moet bij een beoordeling rekening worden gehouden met tal van rechtsstatelijke aspecten, zoals de geldende algemene en sectorale wetgeving die invloed heeft op de verwerking van persoonsgegevens. Daaronder is uitdrukkelijk begrepen de wetgeving op het gebied van de nationale veiligheid en het strafrecht, omdat juist op grond van die wetgeving beperkingen op het recht op bescherming van persoonsgegevens worden vastgesteld. Daarnaast moet beoordeeld worden of het recht van het desbetreffende land betrokkenen effectieve en afdwingbare rechten biedt, waaronder mogelijkheden om administratief beroep of beroep op de rechter in te stellen om die rechten te kunnen afdwingen. Daarnaast moet zijn voorzien in een of meer onafhankelijke toezichthoudende autoriteiten die zijn belast met het toezicht op de naleving van de gegevensbeschermingsregels. Naast die beoordelingscriteria is voorzien in een verplichting voor de Commissie om voortdurend inspanningen te leveren om het contact met derde landen te bevorderen (artikel 45). Deze bepalingen uit het voorstel van de Commissie zijn in de onderhandelingen over de verordening tussen Raad en Europees Parlement (EP) grotendeels overgenomen. Er is één belangrijke toevoeging gedaan. In artikel 41, lid 4a, is op voorstel van de Raad vastgelegd dat de Commissie verplicht wordt de situatie in derde landen die over een toereikendheidsoordeel beschikken voortdurend te monitoren en de oordelen regelmatig te evalueren. Dat gold wat de Raad betrof ook voor oordelen die voor het tijdstip van inwerkingtreding van de verordening gelden. Deze oordelen blijven krachtens artikel 41, achtste lid, van de verordening gelden tot hun geldigheidsduur verstrijkt of zij worden ingetrokken of gewijzigd.

Aan het slot van de onderhandelingen is tussen Raad en EP besproken of artikel 41 van de verordening, waarover overeenstemming was bereikt voordat het arrest werd gewezen, wel voldoet aan de criteria die uit het arrest voortvloeien. Vastgesteld is toen dat de voorziene strengere criteria voor de beoordeling van het beschermingsniveau van derde landen grotendeels overeenkomen met de criteria die het Hof van Justitie van de EU (hierna: HvJEU) in het arrest noemt. De medewetgevers hebben als uitvloeisel van het arrest aan het onderhandelingsresultaat toegevoegd dat de evaluatie van toereikendheidsoordelen ten minste eenmaal per vier jaar moet plaatsvinden. Artikel 34 van de richtlijn gegevensbescherming opsporing en vervolging bevat dezelfde criteria. Deze richtlijn is overigens niet van toepassing op de materie die het arrest betreft.

Ik ben dan ook van oordeel dat de toekomstige Europese privacyregelgeving voldoet aan de criteria die het arrest formuleert. Het HvJEU heeft het systeem van toereikendheidsoordelen, dat terugkeert in de toekomstige regelgeving, als zodanig ook niet verworpen.

Vragen van de leden van de SP-fractie

Eerste beoordeling van de uitspraak door de regering

De leden van de SP-fractie vragen zich af waarom ik in mijn brief aangeef dat het opvallend is dat het HvJEU overweegt dat bij de beoordeling van het niveau van gegevensbescherming in een land rekening moet worden gehouden met de bevoegdheden in het betreffende land om op grond van de nationale veiligheid inbreuk te mogen maken op het recht op bescherming van persoonsgegevens omdat in de Verdragen nationale veiligheid een verantwoordelijkheid van de lidstaten is. Het lijkt deze leden dat ik daarmee misken dat het HvJEU niet doelt op bevoegdheden rondom de nationale veiligheid van de lidstaten maar juist op die van een derde land. Het grondrecht van EU-burgers op zorgvuldige verwerking van persoonsgegevens is dus mogelijk in het geding, afhankelijk van de bevoegdheden rondom de nationale veiligheid, aldus deze leden. Deze leden verzoeken om een toelichting waarom de ik de desbetreffende overweging van het HvJEU niettemin opvallend acht.

Het was mij niet ontgaan dat het HvJEU in zijn arrest doelt op beperkingen die op het recht op bescherming van persoonsgegevens worden aangebracht ten behoeve van de nationale veiligheid door de wetgever en andere autoriteiten in een derde land. Op grond van artikel 3, tweede lid, van de richtlijn zijn de bepalingen van de richtlijn niet van toepassing op de verwerking van persoonsgegevens die betrekking hebben op de nationale veiligheid, welk domein op grond van artikel 4, tweede lid, VEU uitsluitend de verantwoordelijkheid is van de lidstaten. Meer in het bijzonder worden in artikel 3 van de richtlijn verwerkingen die betrekking hebben op de openbare veiligheid, defensie en de veiligheid van de Staat uitgezonderd van de werking van de richtlijn. Dit betekent dat het HvJEU niet in de gelegenheid is om nationale bevoegdheden ter bescherming van de nationale veiligheid van de lidstaten te toetsen aan de bepalingen uit de richtlijn. Daarin zit een zekere incongruentie die mij is opgevallen, welke kwalificatie ik met uw Kamer heb gedeeld. Dit laat onverlet het belang van het grondrecht van EU-burgers op zorgvuldige verwerking van persoonsgegevens, binnen de EU en in derde landen. De artikelen 4, tweede lid, VEU en 72 VWEU sluiten evenwel niet uit dat nationale maatregelen die nodig zijn voor het waarborgen van de nationale veiligheid kunnen raken aan materie die wel wordt gereguleerd door het Unierecht, waardoor de Europese rechter zich in die gevallen toch in zekere mate zal moeten uitlaten over deze maatregelen.

De leden van de SP-fractie wijzen erop dat ik het opvallend acht dat in het arrest geen aandacht uitgaat naar de consequenties van de ongeldigverklaring van de Safe Harbour-beschikking. Naar deze leden menen is het de vraag of het tot de taken van de rechtsprekende macht behoort om hiermee rekening te houden. Volgens deze leden is in een rechtsstaat immers het uitgangspunt dat handelingen die in strijd met het recht (meer specifiek grondrechten) zijn, niet worden getolereerd en per direct worden gestaakt. Zij wijzen daarbij op artikel 264 VWEU. Deze leden verzoeken toe te lichten waarom mij dit is opgevallen.

Het is in zijn algemeenheid zo dat het mede tot de taken van rechter behoort rekening te houden met de consequenties van zijn uitspraak wanneer hij in zijn uitspraak vaststelt dat handelingen in strijd met het recht zijn verricht. Zo heeft de bestuursrechter in Nederland krachtens artikel 8:72, derde lid, onder a, van de Algemene wet bestuursrecht de bevoegdheid te bepalen dat na vernietiging van een besluit de rechtsgevolgen daarvan in stand blijven. Het HvJEU heeft krachtens artikel 264, tweede lid, VWEU een soortgelijke bevoegdheid, omdat het op grond van die verdragsbepaling kan bepalen dat bij vernietiging bepaalde rechtsgevolgen in stand blijven. Een voorbeeld hiervan vormt het arrest C-295/90, punt 22–27 (Commissie/Raad). In dit arrest vernietigde het Hof een richtlijn, maar wegens belangrijke redenen van rechtszekerheid bleven bepaalde rechtsgevolgen van de richtlijn in stand. Artikel 264 VWEU ziet primair op de procedure van het vernietigingsberoep zoals neergelegd in artikel 263 VWEU. Uit rechtspraak van het HvJEU blijkt echter dat artikel 264, tweede lid, VWEU, analoog toegepast kan worden ten aanzien van de prejudiciële procedure zoals neergelegd in artikel 266 VWEU (Zie C-300/86 punt 24 (Van Landschoot)). Gebruik van deze bevoegdheid zou denkbaar zijn geweest, aangezien de Safe Harbour-beschikking al veertien jaar gold en veel burgers en bedrijven hebben vertrouwd op de rechtsgeldigheid van de beschikking.

Feitelijke consequenties van de uitspraak volgens de regering

Volgens de leden van de SP-fractie lijkt de beschrijving van de consequentie van het arrest dat doorgiften in het verleden onrechtmatig zijn geweest lastig te verenigen met rechtsoverweging 52 van het arrest waarin staat dat zolang de beschikking niet door het HvJEU ongeldig is verklaard deze vermoed wordt rechtmatig te zijn. Deze leden stellen dan ook dat alle uitwisselingen van persoonsgegevens met de Verenigde Staten dus rechtmatig zijn geweest. Deze leden vragen om een toelichting.

Ik ben het met de leden van de SP-fractie eens dat de tekst van de goedgekeurde standaardcontractsvoorwaarden gemakkelijk en kosteloos beschikbaar is en dat deze tekst in het gebruik ook niet mag worden gewijzigd. Het gaat echter om meer dan de tekst van de voorwaarden alleen. Verantwoordelijken voor de verwerking van persoonsgegevens zullen eerst moeten beoordelen of deze standaardcontractsvoorwaarden wel geschikt zijn voor de context van de individuele verwerking. Dat is geen gegeven. Bovendien is toevoeging van een voorwaarde aan een contract, zoals het invoegen van toepasselijke standaardcontractsvoorwaarden, per definitie een wijziging van het desbetreffende contract. Dat vergt heronderhandeling met de wederpartij. Als er wordt heronderhandeld over een contract kunnen, uiteraard afhankelijk van de feiten, ook andere zaken dan de grondslag voor de doorgifte van persoonsgegevens aan de orde komen. Een grote onderneming die standaardcontracten hanteert en vanuit een zeker overwicht op de wederpartij in staat is die contractsvoorwaarden eenzijdig aan te passen heeft het in dit opzicht gemakkelijker dan een kleinere onderneming die het misschien meer van maatwerk moet hebben.

Dezelfde leden vragen waarop ik de aanname baseer dat de privacywetgeving zeer sterk meeweegt in de beslissing van ondernemingen om ook in de Verenigde Staten actief te worden. Deze leden vooronderstellen dat het in de regel niet noodzakelijk is om als onderneming persoonsgegevens van EU-onderdanen naar de VS te exporteren op de enkele grond dat de betreffende onderneming in de VS actief wordt, wellicht, zo stellen deze leden, met uitzondering van werknemersgegevens.

De noodzaak om persoonsgegevens naar de Verenigde Staten door te geven is afhankelijk van de aard van de onderneming en de daarin verrichte activiteiten. Bij ondernemingen die zich richten op het produceren van goederen en de verkoop daarvan in de Verenigde Staten zullen doorgaans niet veel meer verwerkingen van persoonsgegevens gemoeid zijn dan die van klantcontactpersonen en werknemers. Bij ondernemingen die zich richten op dienstverlening van allerlei aard is dit doorgaans anders. Te denken valt aan reisbureaus of luchtvaartmaatschappijen, waarbij juist grote hoeveelheden persoonsgegevens naar derde landen moeten worden doorgegeven. In nog sterkere mate zal zich dit voordoen bij het aanbod van diensten van de informatiemaatschappij, waarbij de verwerking van persoonsgegevens de kern van de zakelijke activiteit vormt. Juist deze vorm van zakelijke activiteit is aantrekkelijk voor kleinere, beginnende ondernemingen.

Alternatieve grondslagen

Het is de leden van de SP-fractie opgevallen dat bij de opsomming van de alternatieve grondslagen wordt genoemd de doorgifte die noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke. Zij vinden dit opvallend, omdat de praktische gevolgen van de ongeldigverklaring van de Safe Harbour-beschikking zich met name zullen voordoen bij de uitbesteding van IT aan Amerikaanse leveranciers, zoals cloudcomputing, en het afnemen van online IT-diensten uit de VS, zoals webstatistieken. Bij deze overeenkomsten is de betrokkene echter geen partij, zodat de genoemde grondslag geen rechtvaardiging kan vormen voor de uitwisseling van persoonsgegevens, aldus deze leden. Zij vragen om een toelichting waarom deze grondslag wordt vermeld zonder de genoemde voorbehouden. Deze leden vrezen dat een niet geïnformeerde lezer anders mogelijk op het verkeerde been wordt gezet.

Bij de door deze leden genoemde voorbeelden zal inderdaad doorgaans geen sprake zijn van een overeenkomst tussen de verantwoordelijke en de betrokkene, en zal het inderdaad zo zijn dat die grondslag niet kan worden ingeroepen voor de doorgifte van persoonsgegevens naar de Verenigde Staten. Bij het noemen van deze grondslag had ik, anders dan deze leden misschien vooronderstellen, niet specifiek het oog op de voorbeelden die zij noemen. Ik ga er vanuit dat een overeenkomst tussen verantwoordelijke en betrokkene wel relevant is voor het gebruik van sociale mediasites, zoekmachines en webmail van ondernemingen als Facebook, Google en Microsoft door individuele betrokkenen. Die diensten worden aangeboden op grond van een gebruiksovereenkomst die de ondernemingen de mogelijkheid biedt de persoonsgegevens van hun gebruikers ook naar de Verenigde Staten door te geven. Ik hoop hiermee de indruk weg te nemen dat lezers van de brief zich onvoldoende geïnformeerd achten.

Wat andere in de brief genoemde grondslagen betreft, die achten de leden van de SP-fractie in beginsel wel bruikbaar. Tegelijk vragen zij zich echter af of deze grondslagen op termijn ook standhouden, gelet op een aantal door hen geciteerde overwegingen die het HvJEU heeft gewijd aan de eisen die moeten worden gesteld aan het beschermingsniveau dat een derde land moet bieden. Zij vragen mij of en waarom ik verwacht dat ook de andere grondslagen voor uitwisseling van persoonsgegevens met derde landen buiten de EER op korte termijn zullen sneuvelen. Indien dit gebeurt vragen zij welke maatregelen ik zal nemen.

De maatstaf dat een derde land een passend niveau van gegevensbescherming moet bieden is alleen van toepassing op doorgiftes die gebaseerd worden op een toereikendheidsoordeel op grond van artikel 25 van de richtlijn. Alle andere grondslagen voor de doorgiften van persoonsgegevens zijn genoemd in of gebaseerd op artikel 26 van de richtlijn. Dat artikel bevat die maatstaf niet. Niet voor niets luidt het opschrift van dit artikel «Afwijkingen». In mijn brief heb ik melding gemaakt van het initiatief van een Duitse toezichthouder die van oordeel is dat het recht van de Verenigde Staten onvoldoende waarborgen biedt voor de bescherming van persoonsgegevens die krachtens de standaardcontractsvoorwaarden worden doorgegeven. Ik spreek geen oordeel uit over dit initiatief, maar wacht af of dat initiatief leidt tot een rechterlijk oordeel van het HvJEU. Tot het zover is ben ik met de Europese Commissie van oordeel dat standaardcontractsvoorwaarden een rechtmatige grondslag voor de doorgifte van persoonsgegevens zijn.

Zolang de richtlijn en de Wbp nog gelden, berust bij mij de bevoegdheid om voor doorgiften een vergunning te verlenen. Dergelijke vergunningen vormen nu nog de rechtsgrondslag voor de gelding van intern bindende bedrijfsvoorschriften («binding corporate rules») in de Nederlandse rechtsorde. Zolang de rechter niet heeft geoordeeld dat vergunningen, al dan niet afgegeven voor doorgiften in het kader van «binding corporate rules», geen genoegzame grondslag vormen voor de doorgifte van persoonsgegevens, blijft mijn beleid terzake ongewijzigd. Mocht het nodig zijn dan zal ik het gesprek aangaan met het bedrijfsleven en de Autoriteit persoonsgegevens om te bezien of verruiming van dit beleid wenselijk en mogelijk is.

Als de Algemene verordening gegevensbescherming over enige jaren geldt, dan worden de voorschriften voor doorgifte krachtens andere grondslagen dan toereikendheidsoordelen in het algemeen wat strenger. Ik kan niet uitsluiten dat dit consequenties heeft voor de context waarin doorgiften naar derde landen plaatsvinden krachtens de andere grondslagen dan toereikendheidsoordelen. Omdat dan ook de Wbp zal moeten worden ingetrokken is er dan ook geen bevoegdheid meer voor de afgifte van vergunningen op nationaal niveau.

Nieuwe Safe Harbour-beschikking

De leden van de SP-fractie vragen zich af in hoeverre een nieuwe Safe Harbour-beschikking realistisch is, gelet op onder meer de fundamenteel andere benadering van privacy in de Verenigde Staten en het feit dat het HvJEU vereist dat het EU-niveau verankerd is in de rechtsorde van het derde land.

Ik heb er vertrouwen in dat de Europese Commissie erin zal slagen een nieuwe Safe Harbour-beschikking op te stellen die voldoet aan de eisen die het HvJEU heeft gesteld. Eenvoudig is dit niet omdat in de Verenigde Staten nu eenmaal een ander gegevensbeschermingsrecht geldt. Bovendien is de tijdsdruk erg hoog omdat de gezamenlijke toezichthouders na 31 januari 2016 in beginsel zullen gaan handhaven. Het is niet zo dat het HvJEU vereist dat het EU-niveau verankerd is in de rechtsorde van een derde land, zoals deze leden stellen. Rechtsoverweging 96 van het arrest geeft onomwonden aan dat het om «essentially equivalent» gaat. Dat biedt ruimte om rekening te houden met de eigenheden van een ander rechtsstelsel.

Vergunningen voor de doorgifte van persoonsgegevens

De leden van de SP-fractie vragen of ik het denkbaar acht dat ondanks het ontbreken van waarborgen voor de bescherming van privacy in de Amerikaanse rechtsorde ik niettemin vergunningen zal afgeven voor de uitwisseling van persoonsgegevens met Amerikaanse partijen. Als ik dat zou doen, zo vragen deze leden, dan wensen zij te vernemen wat daarvoor de rechtvaardiging zou zijn. Zij vragen vervolgens of het dan, gezien rechtsoverweging 47 van het arrest, niet wachten is op ingrijpen van het College bescherming persoonsgegevens dat een dergelijke doorgifte hoogstwaarschijnlijk zal beletten. Zij vragen zich af of ik met afgifte van dergelijke vergunningen niet juist zeer veel rechtsonzekerheid veroorzaak.

Ik deel niet het oordeel van deze leden dat in de Amerikaanse rechtsorde waarborgen voor de bescherming van privacy ontbreken. Die zijn er wel degelijk, al is dit rechtsstelsel nu eenmaal anders van aard en opbouw. Ik acht het zeker mogelijk dat vergunningen voor de doorgifte van gegevens naar de Verenigde Staten op grond van artikel 77, tweede lid, van de Wbp worden verleend. Immers, de wetgever heeft blijkens deze artikelen een rechtsgrondslag in het leven geroepen om krachtens een vergunning gegevens door te geven naar elk land dat niet over een toereikendheidsoordeel beschikt. In mijn brief heb ik er uitdrukkelijk op gewezen dat dergelijke vergunningen ook nu al uitsluitend worden verleend na een positief advies van de Autoriteit persoonsgegevens. Bij dat advies komt aan de orde of de vergunning voorziet in voorschriften en beperkingen ter bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen. Dat zal niet veranderen. Handhaving door de Autoriteit zal slechts dan aan de orde zijn wanneer een verantwoordelijke zich niet aan de vergunningvoorschriften houdt. Met deze vergunning kan daarom een sterke mate van rechtszekerheid worden geboden.

Tot slot

Het is de leden van de SP-fractie opgevallen dat de appreciatie van het arrest voornamelijk kritisch is. Zij zien in het arrest ook een kans voor de Europese ICT-industrie omdat de deze tak van bedrijvigheid nu een privacyrechtelijk concurrentievoordeel heeft ten opzichte van Amerikaanse concurrenten. Zij vragen waarom ik niet ook dat aspect van het arrest benadruk en willen graag een antwoord op deze vraag.

Ik kan in deze beoordeling door de leden van de SP-fractie gedeeltelijk meegaan. Ik ben het met deze leden eens dat het hoge niveau van privacybescherming in de EU een concurrentievoordeel kan zijn voor de aanbieders van ICT, gevestigd in de EU. In zoverre biedt het arrest de ICT-bedrijven ook kansen. Het zal een afweging voor Europese partijen zijn hoeveel waarde zij toekennen aan het concurrentievoordeel.

De Minister van Veiligheid en Justitie, G.A. van der Steur