Ingediend | 10 mei 2017 |
---|---|
Beantwoord | 21 juni 2017 (na 42 dagen) |
Indieners | Ronald van Raak , Maarten Hijink |
Beantwoord door | Henk Kamp (minister economische zaken) (VVD), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
Onderwerpen | economie ict markttoezicht |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2017Z06059.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20162017-2149.html |
Ja.
Het is niet aan de orde dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties moet beschikken over een actueel overzicht van de locatie waar de data van alle ministeries, provincies, gemeenten en de semipublieke instellingen zijn opgeslagen.
Het beleid voor de rijksoverheid is dat per geval de verantwoordelijke overheidsorganisatie, binnen de kaders van wet- en regelgeving zoals de Baseline informatiebeveiliging Rijk (BIR) een afweging maakt tussen dienstverleners. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor open data.
Ook decentrale overheden maken binnen de kaders van vigerende wet- en regelgeving hun eigen afwegingen over outsourcing van hun ICT. In het kader van de Baseline Informatiebeveiliging Nederlandse Gemeenten heeft de Informatiebeveiligingsdienst voor gemeenten een leidraad opgesteld die handvatten biedt om rekening mee te houden.
Zoals ik in het antwoord op vraag 2 aangaf, is het aan de verantwoordelijke overheidorganisatie om per geval, binnen de kaders van wet- en regelgeving, een afweging te maken ten aangezien van de dienstverlener. Vestigingslocatie kan daarbij een rol spelen. Vanwege de diversiteit aan data kan ik niet garanderen dat Nederlandse overheidsdata niet op servers van Amerikaanse bedrijven zijn opgeslagen.
Het UWV heeft de datacenterdienstverlening uitbesteed aan de markt; op dit moment is dat IBM. Momenteel loopt een aanbestedingstraject om deze dienst opnieuw te verwerven. UWV heeft, op basis van een uitgebreide analyse, waarbij onder meer gebruik is gemaakt van beschikbare rijksbrede kaders, besloten tot het beleggen van de datacenterdiensten binnen de Europese Economische Ruimte. Hierbij kan worden geacht dat een passend beschermingsniveau geboden wordt.
Het kabinet spant zich maximaal in om de Nederlandse bewoners te beschermen tegen het eventueel meekijken van buitenlandse diensten en/of mogendheden. Er kan echter niet uitgesloten worden dat er op dit moment buitenlandse diensten en/of mogendheden zijn die data verzamelen over Nederlandse inwoners. Indien er geconstateerd wordt dat dit wel het geval is neemt het kabinet maatregelen.
Ik wil dit niet voor alle soorten data voorkomen. Het vraagstuk waar data kunnen en mogen worden opgeslagen hangt immers af van de aard van de data, zoals ik aangaf in het antwoord op vragen 2 en 3.
In het algemeen vind ik dat. Aandacht voor dit onderwerp is uiteraard blijvend noodzakelijk. De Algemene Rekenkamer constateert ook in het Verantwoordingsonderzoek 2016 dat er ruimte voor verbetering is.
In antwoord op vragen van het lid Verhoeven aan de ministers van Economische Zaken, van Veiligheid en Justitie en van Binnenlandse Zaken en Koninkrijksrelaties over de overname4 heb ik geantwoord dat het risico dat door die overname Nederlandse staatsgeheimen in handen van niet-bevoegden vallen is ondervangen.
Ik kan niet uitsluiten dat Nederlandse overheidsdata die worden verwerkt door dienstverleners uit de Verenigde Staten onder de reikwijdte van een bepaalde vorderingsbevoegdheid vallen. In heel algemene zin geldt dat de Amerikaanse overheden over een ruim aantal bevoegdheden beschikken op grond van verschillende wetten om gegevens te vorderen van bedrijven die over die gegevens beschikken. De reikwijdte van de Amerikaanse wetgeving ter zake beperkt zich niet tot bedrijven of andere belanghebbenden, of vestigingen van die bedrijven of belanghebbenden die zich op Amerikaans grondgebied bevinden, en ook niet tot gegevens van Amerikaanse burgers of bedrijven. De rechterlijke uitspraak waarnaar in vraag 1 wordt verwezen illustreert dat voor het bijzondere geval waarop die uitspraak betrekking heeft.
De rechterlijke uitspraak waarnaar in vraag 1 wordt verwezen heeft slechts betekenis voor de uitleg van één specifieke vorderingsbevoegdheid en lijkt alleen van belang voor andere gevallen waarin de omstandigheden van het verwerken van persoonsgegevens door Google of vergelijkbare aanbieders gelijk zijn aan die in het geval dat onderwerp is van de uitspraak. Uit het antwoord op vraag 7 volgt dat ik niet kan uitsluiten dat toepassing van vorderingsbevoegdheden naar Amerikaans recht zich mede uitstrekt tot gegevens van de Nederlandse overheid of van Nederlandse burgers die door dienstverleners uit de Verenigde Staten worden verwerkt.
Afhankelijk van de aard van de toegepaste vorderingsbevoegdheid kunnen Europese, en dus ook Nederlandse burgers de mogelijkheden op inzage en correctie krachtens de Judicial Redress Act of 2015 beproeven. Die wet is daar speciaal voor in het leven geroepen. Verder wijs ik erop dat de doorgifte van de gegevens uit de Europese Unie naar de Verenigde Staten moet berusten op één van de grondslagen bedoeld in de artikelen 25 of 26 van richtlijn 95/46/EG, de EU-privacyrichtlijn. De bijlagen van het op 21 augustus 2016 in werking getreden EU – US Privacy Shield 5, dat op bedoelde artikelen van de EU-privacyrichtlijn is gebaseerd bevatten een uitgebreide opsomming van beschikbare rechtsgangen krachtens Amerikaans recht.
Hierbij bericht ik u dat de aan de Minister van Economische Zaken en mij gestelde vragen van de leden Hijink en Van Raak (beiden SP) over het bericht dat Google gebruikersgegevens in buitenlandse datacentra moet overhandigen aan de VS, niet binnen de door u gestelde termijn van drie weken kunnen worden beantwoord. De beantwoording van deze Kamervragen vergt nadere afstemming. Ik zal u zo spoedig mogelijk de antwoorden op de Kamervragen doen toekomen.