| Ingediend | 1 december 2010 |
|---|---|
| Beantwoord | 16 december 2010 (na 15 dagen) |
| Indiener | Sharon Gesthuizen (GL) |
| Beantwoord door | Fred Teeven (staatssecretaris justitie en veiligheid) (VVD) |
| Onderwerpen | internationaal organisatie en beleid recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2010Z18208.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20102011-828.html |
De doorgifte van persoonsgegevens uit de Europese Unie naar de Verenigde Staten en de daaropvolgende verdere verwerking van die gegevens met toepassing van de beschikking van de Europese Commissie van 26 juli 2000 (PbEG L 215), de zogenaamde «Safe Harbor»-beschikking, is inderdaad van groot belang voor de rechtmatigheid van de verwerking van persoonsgegevens afkomstig uit de Europese Unie. Het is overigens niet zo dat alleen met toepassing van de «Safe Harbor»-beschikking doorgegeven persoonsgegevens Amerikaanse bedrijven rechtvaardigt die gegevens te verwerken. Daarvoor bestaan verschillende aanvullende grondslagen.
Het artikel in Webwereld.nl is gebaseerd op de weergave door derden van mondelinge uitlatingen van een vertegenwoordiger van een Australisch onderzoeksbureau. Het betreffende bureau, Galexia, heeft, naar het beweert op de eigen website, onderzoek gedaan naar de werking van het «Safe Harbor»-keurmerk, maar het rapport over dat onderzoek tot dusverre niet willen publiceren, of willen toezenden aan belanghebbenden. Onder deze omstandigheden onthoud ik mij van een oordeel over de beweringen in het artikel in Webwereld.nl die betrekking hebben op het desbetreffende rapport.
De essentie van het «Safe Harbor»-systeem is dat bedrijven op basis van volstrekte vrijwilligheid verklaren zich te zullen houden aan de «Safe Harbor»- beginselen en de antwoorden die zijn gegeven op de Frequently Asked Questions (FAQ), zoals geformuleerd in de beschikking van de Commissie, genoemd in antwoord 1. In FAQ nr. 7 is het systeem van controle en toezicht op de verklaringen van de desbetreffende bedrijven opgenomen. Zakelijk weergegeven kunnen bedrijven de naleving van de regels verzekeren via een zelfevaluatie, of via een externe audit, die beide wel aan bepaalde eisen moeten voldoen. Bij niet-naleving van deze regels, bestaat de mogelijkheid voor belanghebbenden bij de Federal Trade Commission (FTC) een klacht in te dienen, om te bezien of de mededingings- en consumentenbeschermingswetgeving – waar gegevensbescherming een onderdeel van is – wordt nageleefd. De FTC kan een verbod opleggen tot het uitoefenen van praktijken in strijd met de «Safe Harbor»-beginselen, of zonodig de federale rechter inschakelen. Strafrechtelijke actie is ook mogelijk, zeker bij het afleggen van valse verklaringen. De taak van het Department of Commerce (DoC) is slechts beperkt tot het bijhouden van een openbaar bestand van bedrijven die onder de «Safe Harbor»-beginselen zijn gecertificeerd. Permanente niet-naleving van de regels kan leiden tot verwijdering van die lijst, maar er is niet voorzien in een actieve rol van het DoC bij de handhaving van die lijst. Dat vereist gerichte actie van, hetzij de FTC, hetzij belanghebbenden.
Bij dit systeem moet worden bedacht dat het Amerikaanse gegevensbeschermingsrecht voor de private sector sterk afwijkt van het Europese systeem. Er bestaat geen algemene wetgeving voor gegevensbescherming in de particuliere sector, en evenmin een algemeen bevoegde toezichthouder. De handhaving berust, in overeenstemming met de principes van het Amerikaans privaatrecht, op eigen initiatief van belanghebbenden.
Het College bescherming persoonsgegevens heeft mij bericht dat in het verleden in eerdere rapporten over het functioneren van het «Safe Harbor»-systeem die zijn uitgebracht aan de Europese Commissie kritisch is geoordeeld over de beperkte mogelijkheden van het DoC voor toezicht op de naleving en handhaving van de lijst met aanmeldingen. Tot welke misstanden dit aanleiding gaf, en in welke mate zich die hebben voorgedaan, is mij niet bekend.
De omstandigheid dat in de Verenigde Staten een ander gegevensbeschermingsrecht bestaat dan in de Europese Unie geeft mij op zichzelf genomen geen reden tot zorg over het niveau van de bescherming van persoonsgegevens afkomstig uit de Europese Unie in de Verenigde Staten. De handhaving van de «Safe Harbor»-beschikking is echter een zaak die uitsluitend op Europees niveau door de Commissie kan worden aangepakt. Het ligt dan ook op de weg van de Commissie om het niveau van uitvoering en handhaving van de door haar vastgestelde beschikking in de Verenigde Staten met de Amerikaanse autoriteiten op te nemen. Verder is, voor zover mij bekend, de «Safe Harbor»-beschikking nog niet geëvalueerd. Krachtens artikel 4 van de beschikking heeft de Commissie een verplichting daartoe. Ik ben bereid de Commissie daar op gepaste wijze over te benaderen.
De grote verschillen tussen het Amerikaans en Europees gegevensbeschermingsrecht voor de private sector zouden het opstellen van een verdrag tussen de Europese Unie en de Verenigde Staten over gegevensbescherming tot een gecompliceerde en langdurige opgave maken. De vraag is dan ook of de Verenigde Staten en de Europese Unie daartoe bereid zullen zijn. Er zijn echter, juist in Europees verband, alternatieven beschikbaar. Naast een meer gerichte aandacht voor de werking van de «Safe Harbor»-beschikking in de praktijk, zijn er mogelijkheden om via door de Europese Commissie vastgestelde standaardcontracten persoonsgegevens rechtmatig aan ontvangers in de Verenigde Staten door te geven. Het lijkt zeker mogelijk om bij de komende herziening van de EU-privacyrichtlijn meer instrumenten te ontwikkelen die een verantwoorde gegevensoverdracht naar de Verenigde Staten mogelijk maken.