Besluit van de Staatssecretarisvan Veiligheid en Justitie van 3 november 2016, nr. 2008299 houdende aanwijzing van het College bescherming persoonsgegevens als toezichthoudende autoriteit bevoegd voor het toezicht op de verwerking van persoonsgegevens door overheidsdiensten in de zin van Bijlage III, Bijlage A, § 3, onder a, van uitvoeringsverordening (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming (PbEU L 207)

Ingevolge artikel 25, eerste lid, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEU L 281) (hierna: richtlijn) mogen persoonsgegevens slechts naar een derde land worden doorgegeven, indien, onverminderd de naleving van de bepalingen van de ter uitvoering van de richtlijn vastgestelde nationale bepalingen, dat land een passend beschermingsniveau waarborgt. Ingevolge artikel 25, zesde lid, van de richtlijn kan de Commissie constateren dat een derde land op grond van zijn nationale wetgeving of zijn internationale verbintenissen die het is aangegaan, waarborgen voor een passend beschermingsniveau biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen. De lidstaten nemen, ingevolge artikel 25, zesde lid, van de richtlijn de nodige maatregelen zich naar dit besluit te voegen. In artikel 25, tweede lid, van de richtlijn zijn de criteria neergelegd op grond waarvan de Commissie haar constatering verricht.

In artikel 1 van uitvoeringsverordening (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming (PbEU L 207) (hierna: uitvoeringsverordening) heeft de Europese Commissie besloten dat de Verenigde Staten voor de toepassing van artikel 25, tweede lid, van richtlijn 95/46/EG een passend beschermingsniveau waarborgen voor persoonsgegevens die van de Unie naar organisaties in de Verenigde Staten worden doorgegeven in het kader van het EU-VS-privacyschild. Ingevolge artikel 297 van het Verdrag inzake de werking van de Europese Unie (VWEU) is de uitvoeringsverordening met ingang van 21 augustus 2016 in werking getreden.

Het EU-VS-privacyschild bevat een regeling die ondernemingen gevestigd in de Verenigde Staten in staat stelt zich op vrijwillige basis aan te melden bij het Ministerie van Handel van de Verenigde Staten als deelnemer aan dat schild. Deelnemende ondernemingen verklaren met een inschrijving zich te zullen houden aan de beginselen die in het EU-VS-privacyschild zijn uitgewerkt. Ondernemingen in de Europese Unie zijn bevoegd om zonder nadere garanties persoonsgegevens door te geven aan ondernemingen die deelnemen aan het EU-VS-privacyschild.

Indien persoonsgegevens aldus rechtmatig naar de Verenigde Staten zijn doorgegeven zijn de gegevens, naast de normen van het EU-VS-privacyschild onderworpen aan het recht van de Verenigde Staten. Op grond van de wetgeving van de Verenigde Staten is het mogelijk dat de autoriteiten van de Verenigde Staten die daartoe bevoegd zijn toegang tot deze gegevens vorderen om doeleinden verband houdend met de nationale veiligheid. De grondslagen voor die toegang zijn beschreven in Bijlage VI van de uitvoeringsverordening.

De rechtsmiddelen die burgers zouden kunnen benutten indien zij zouden menen dat de toegang tot hun gegevens door de desbetreffende overheidsdiensten onrechtmatig is, zijn op grond van het Amerikaanse recht alleen in volle omvang beschikbaar voor Amerikaanse staatsburgers en burgers uit andere staten voor zover zij rechtmatig hoofdverblijf houden in de Verenigde Staten. Om een voorziening te bieden voor burgers van de Europese Unie heeft de Minister van Buitenlandse Zaken van de Verenigde Staten blijkens bijlage III van de uitvoeringsverordening een Ombudspersoon binnen zijn ministerie aangesteld. Deze Ombudspersoon kan op onafhankelijke wijze een onderzoek doen uitvoeren naar klachten over vermeende toegang tot persoonsgegevens en daarover een oordeel uitspreken.

Voor de aanwijzing van de de Autoriteit persoonsgegevens ontbreekt een expliciete wettelijke grondslag in de Wet bescherming persoonsgegevens (hierna: Wbp). Het verdient uit wetssystematisch oogpunt de voorkeur om een dergelijke grondslag in de Wbp neer te leggen. Daarmee is echter de nodige tijd gemoeid. De grote spoed waarmee de uitvoeringsverordening tot stand gekomen is en de betrekkelijk langdurige onzekerheid over de definitieve inhoud van de verordening maakten het onmogelijk tijdig een wetsvoorstel voor een definitieve voorziening op te stellen. De bescherming die het EU-VS-privacyschild aan burgers uit de EU biedt zou echter tekortschieten indien de aanwijzing zou moeten wachten op het optreden van de formele wetgever. De uitvoeringsverordening is immers op 21 augustus 2016 in werking getreden. Bovendien volgt uit artikel 25, zesde lid, van de richtlijn dat de lidstaten de nodige maatregelen nemen om zich naar besluiten van de Commissie te voegen. Daarnaast verplicht artikel 5 van de uitvoeringsverordening de lidstaten alle nodige maatregelen te nemen om aan het besluit te voldoen. Een aanwijzing is daarom een verplichting.

Nederland is op grond van het in artikel 4, derde lid, van het Verdrag betreffende de Europese Unie vastgelegde beginsel van loyale samenwerking verplicht om de nakoming van verplichtingen die voortvloeien uit bindende EU-rechtshandelingen, zoals een uitvoeringsverordening, te verzekeren. Het beginsel van loyale samenwerking geldt voor alle organen van een lidstaat, en daarmee ook voor de voor het gegevensbeschermingsrecht verantwoordelijke bewindspersoon, de Staatssecretaris van Veiligheid en Justitie. Om tijdig te voorzien in nakoming van de op Nederland rustende verplichting besluit de Staatssecretaris van Veiligheid en Justitie dat de Autoriteit persoonsgegevens wordt aangewezen als toezichthoudende autoriteit bevoegd voor het toezicht op de verwerking van persoonsgegevens door overheidsdiensten in de zin van Bijlage III, Bijlage A, § 3, onder a, van de uitvoeringsverordening. Deze keuze sluit aan bij artikel 52, eerste lid, van de Wbp. In die bepaling is geregeld dat de Autoriteit persoonsgegevens de taken kan vervullen, haar ingevolge verdrag opgedragen. De uitvoeringsverordening die krachtens de artikelen 16 en 291 VWEU is vastgesteld richt zich niet rechtstreeks tot de Autoriteit met een taakopdracht. Niettemin is het in de systematiek van de Wbp mogelijk dat EU-rechtelijke taken, die immers verdragsrechtelijk van aard zijn, ook middellijk aan de Autoriteit kunnen worden toebedeeld. In dit besluit wordt die weg gevolgd.

In §§ 3 en 4 van bijlage III, bijlage A, bij het EU-VS-privacyschild zijn de taken van de nationale toezichthoudende autoriteit en de "indienende EU-instantie" opgesomd. Die komen kort weergegeven op het volgende neer. De "indienende EU-instantie" moet de identiteit van de indiener van een verzoek verifiëren, nagaan of het verzoek voldoende met redenen is omkleed, en nagaan of de gegevens waarop het verzoek betrekking heeft naar de VS zijn doorgegeven krachtens het EU-VS-privacyschild, krachtens de door de Commissie vastgestelde modelbepalingen, krachtens intern bindende bedrijfsvoorschriften of krachtens een van de afwijkingsgrondslagen uit de richtlijn. Heeft de Ombudspersoon behoeft aan meer gegevens of toelichting van de indiener van het verzoek, dan zal deze zich tot de indiende instantie moeten wenden die dan de verzoeker kan benaderen. De uiteindelijke beslissing van de Ombudspersoon wordt door de indiende instantie aan de verzoeker gezonden. De precieze taakverdeling tussen de nationale toezichthoudende autoriteiten en de nog aan te wijzen "indienende EU-instantie" wordt op EU-niveau vastgesteld.

Hoewel de vorenbedoelde bepaling van het EU-US-privacyschild wat de bewoordingen betreft mogelijk de indruk wekt dat de Autoriteit persoonsgegevens in dezen ook uitvoering geeft aan haar eigenlijke toezichtstaken, is dat in deze context niet het geval. Dit aanwijzingsbesluit strekt alleen tot het toedelen van een administratieve taak. Het valt thans niet te voorzien tot welke bestuurlijke lasten deze taak van de Autoriteit persoonsgegevens aanleiding zal geven. Dit zal worden gemonitord. De uitkomsten van dat proces zullen worden betrokken bij de nadere besluitvorming met betrekking tot de financiering van de Autoriteit persoonsgegevens (Kamerstukken II 2015/16, 32 761, nr. 102) en bij het voorstel van wet waarin de aanwijzing van een wettelijke grondslag wordt voorzien.