| Ingediend | 3 februari 2012 |
|---|---|
| Beantwoord | 20 maart 2012 (na 46 dagen) |
| Indiener | Ronald van Raak |
| Beantwoord door | Liesbeth Spies (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Opstelten (minister justitie en veiligheid) (VVD) |
| Onderwerpen | openbare orde en veiligheid organisatie en beleid recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2012Z01944.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20112012-1913.html |
Zoals ik eerder heb geantwoord op vragen van het lid Schouw (Aanhangsel Handelingen, vergaderjaar 2010–2011, nr. 3514) kan niet worden uitgesloten dat Amerikaanse wetgeving een zodanige werking heeft dat bedrijven die een (hoofd)vestiging in de Verenigde Staten hebben door de rechter verplicht kunnen worden tot het verstrekken van gegevens die door hen worden verwerkt, of waarover zij anderszins de beschikking hebben, ongeacht waar die gegevens zich bevinden. Dat kan dus ook persoonsgegevens van Nederlandse burgers betreffen.
De Europese Commissie heeft op 25 januari 2012 een voorstel gedaan voor een Verordening op het gebied van de bescherming van persoonsgegevens, die de huidige Richtlijn moet vervangen. De besprekingen over deze ontwerpverordening in de Raad van Ministers en het Europees Parlement moeten nog aanvangen. Het voorstel houdt, blijkens een van de overwegingen, inderdaad rekening met de omstandigheid dat verplichtingen van buitenlands recht, in de vorm van wetgeving of rechterlijke beslissingen, kunnen leiden tot de verplichting om gegevens naar de overheid van een derde land door te geven. Het is echter nog niet geheel duidelijk welke rechtsgevolgen aan die situatie door de ontwerpverordening worden verbonden. Daarover zal in de onderhandelingen meer duidelijkheid moeten worden verschaft. Los van dit specifieke probleem, blijft het ook in de nieuwe verordening verboden gegevens zonder adequate rechtsgrondslag naar een derde land door te geven, waar geen passend niveau van gegevensbescherming bestaat. Bij overtreding van dat voorschrift is het niet de Europese Commissie maar het College bescherming persoonsgegevens dat handhavend kan optreden. Wie in de Verenigde Staten een rechterlijk bevel niet uitvoert of de wet niet naleeft, moet rekening houden met het opleggen van sancties.
Het kan, onder omstandigheden, voorkomen dat een bedrijf gevestigd in een derde land krachtens de wet of krachtens een rechterlijke uitspraak verplicht wordt informatie, waaronder begrepen persoonsgegevens, waarover het de beschikking heeft aan de autoriteiten te verstrekken, ook als die gegevens zich in de Europese Unie bevinden, en dat bedrijf de beschikking over die gegevens heeft. Het betrokken bedrijf zal zich dan moeten afvragen of voor de doorgifte van de gegevens uit de Europese Unie een rechtsgrondslag valt aan te wijzen in de richtlijn 95/46/EG en de toepasselijke nationale wettelijke voorschriften. Het is niet per definitie zo dat een bedrijf in een onmogelijke positie komt te verkeren. Van geval tot geval zal moeten worden bezien welke rechtsgrondslag in het derde land wordt ingeroepen voor de vordering van de gegevens en welke rechtsgrondslag in het Europese en nationale recht kan worden ingeroepen om de doorgifte te rechtvaardigen. Het is dus inderdaad raadzaam dat een bedrijf goed analyseert of die rechtsgrondslag aanwezig is. Dat geldt overigens in zijn algemeenheid bij alle andere vormen van doorgifte van gegevens uit de Europese Unie naar een derde land.
Overigens ben ik van mening dat het probleem dat voor burgers en bedrijven voortvloeit uit conflicterende jurisdicties beter door middel van algemene regelingen kan worden opgelost dan met maatwerk in ieder afzonderlijk geval. Ik verwijs in dit verband ook naar het antwoord op vragen 6 en 7.
Zie antwoord vraag 3.
Aanbieders van clouddiensten die gegevens verwerken in de Europese Unie zijn gebonden aan de voorschriften van richtlijn 95/46/EG en de ter uitvoering daarvan vastgestelde nationale wettelijke regelingen. Die regelingen bieden een behoorlijk niveau van gegevensbescherming, ook waar het gaat om de doorgifte van gegevens aan derde landen.
Zoals ik heb gemeld in antwoord op eerdere vragen van het lid Schouw (Aanhangsel Handelingen, vergaderjaar 2010–2011, nr. 3514) ligt het in de eerste plaats op de weg van de Europese Commissie om hier in overleg met de Amerikaanse autoriteiten een oplossing voor te vinden. De Europese Commissie heeft daartoe nu ook een voorstel gedaan. Ik zie uit naar de discussie daarover in de Raad en met de Commissie en het Europees Parlement.
Specifiek over de vraag welke consequenties de wetgeving van de Verenigde Staten heeft voor persoonsgegevens die aan de Staat toebehoren zal de minister van Binnenlandse Zaken en Koninkrijksrelaties uw Kamer over circa zes weken per brief nader informeren.
Zie antwoord vraag 6.
Naar aanleiding van de schriftelijke vragen van het lid Van Raak (SP) over de bescherming van privacygevoelige gegevens van Nederlandse burgers tegenover de overheid van de Verenigde Staten, die werden ingezonden op 3 februari 2012 met kenmerk 2012Z01944, deel ik u mede namens mijn ambtgenoot van Veiligheid en Justitie mee dat het niet mogelijk is deze vragen binnen de gestelde termijn te beantwoorden. Reden hiervoor is dat ik meer tijd nodig heb om de voor de beantwoording benodigde gegevens te verzamelen. Beantwoording zal plaatsvinden zodra alle informatie is verkregen.