| Ingediend | 11 augustus 2020 |
|---|---|
| Beantwoord | 12 oktober 2020 (na 62 dagen) |
| Indiener | Helma Lodders (VVD) |
| Beantwoord door | Wopke Hoekstra (minister financiën) (CDA), Hans Vijlbrief (staatssecretaris financiën) (D66) |
| Onderwerpen | internationaal internationale samenwerking openbare orde en veiligheid organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2020Z14622.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-419.html |
Ja.
Het Hof van Justitie heeft in de zaak C-311/18 («Schrems II») het besluit van de Europese Commissie om op basis van het zogeheten Privacy Shield persoonsgegevens aan de VS te kunnen doorgeven, ongeldig verklaard. Dit heeft gevolgen voor de mogelijkheden van organisaties, waaronder financiële instellingen, om persoonsgegevens aan de VS te kunnen doorgeven. Ik verwijs verder naar mijn antwoord op vraag 8.
Op grond van de Algemene Verordening Gegevensbescherming (AVG) is gegevensverkeer met derde landen zoals de VS alleen onder bepaalde voorwaarden toegestaan. Daarbij is van belang dat de verwerking van gegevens in het derde land EU-burgers vergelijkbare waarborgen biedt als zij in de EU zouden hebben. De Europese Commissie kan besluiten dat een land of een sector in een land een passend beschermingsniveau waarborgt, zoals zij met betrekking tot de VS in het Privacy Shield, een adequaatheidsbesluit ten aanzien van het gegevensbeschermingsniveau in de VS in de zin van artikel 45 AVG, had gedaan.
Als er ten aanzien van een derde land geen adequaatheidsbesluit is, zijn er ook andere mogelijkheden om gegevens uit te wisselen. Bij een doorgifte op grond van modelcontractbepalingen, worden tussen de gegevensexporteur en importeur bepaalde standaard contractuele waarborgen opgenomen. Het verschil is dus dat in het ene geval besloten wordt dat een land of sector waarborgen biedt, en in het andere geval waarborgen contractueel zijn vastgelegd.
Het Hof heeft zich uitgesproken over het Privacy Shield, dat naar zijn oordeel onvoldoende waarborgen kent en om die reden ongeldig is verklaard. De modelcontractbepalingen van de Europese Commissie kunnen volgens het Hof nog steeds «AVG-proof» zijn, doch daarvoor zal wel vereist zijn dat de contractbepalingen een beschermingsniveau waarborgen dat in grote lijnen overeenkomt met het niveau dat binnen de EU wordt gewaarborgd en dat nationale regelingen de naleving van die contractbepalingen niet opzij kunnen zetten. Zo nodig dienen de gegevensexporteur en de ontvanger van de gegevens aanvullende waarborgen te treffen. De gezamenlijke Europese privacy toezichthouders werken samen aan handvatten om bedrijven en organisaties te helpen welke aanvullende maatregelen zij zouden kunnen treffen om een passend beschermingsniveau te waarborgen. Deze richtsnoeren worden in oktober verwacht. Voor meer informatie, verwijs ik naar mijn brief van 1 oktober 2020, in reactie op de brief van NL-digital over de gevolgen van Schrems II.
Het Hof heeft zijn oordeel dat het Privacy Shield onvoldoende waarborgen bevat voor EU- burgers, onderbouwd met een verwijzing naar de rol die opsporings- en inlichtingendiensten in de VS kunnen spelen nadat doorgifte had plaats gevonden, en de verplichtingen die deze diensten kunnen opleggen aan organisaties die in de VS persoonsgegevens van EU-burgers verwerken. Ook zijn er naar het oordeel van het Hof onvoldoende rechtsmiddelen beschikbaar voor EU-burgers om zich tegen overheidsoptreden in de VS te verzetten. Met andere woorden; de rechtsbescherming in de VS is niet adequaat omdat men er o.a. niet, zoals in Nederland, naar de rechter kan stappen. Hoewel er wel een ombudsman is aangesteld in de VS, is dit naar het oordeel van het Hof onvoldoende en geen alternatief.
Het arrest van het Hof heeft tot gevolg dat thans niet kan worden uitgegaan van de beschermingswaarborgen voor persoonsgegevens die voor generieke verstrekking vereist zijn. Wel is de Europese Commissie op dit moment in gesprek met de VS met het oog op het nemen van een nieuw adequaatheidsbesluit ter reparatie van de door het Hof geconstateerde gebreken in het Privacy Shield.
Het is ingewikkeld om een snelle oplossing voor het ongeldig verklaarde Privacy Shield te bieden. Sinds Schrems II kan niet langer gezegd worden dat persoonsgegevens in de VS voldoende beschermd worden en veilig zijn. Verwerkingsverantwoordelijken dienen betrokkenen hierover duidelijk te informeren.
De uitwisseling van persoonsgegevens van US Persons (waaronder «Accidental Americans») met de VS ten behoeve van belastingheffing vindt plaats op grond van Artikel 30 van het bilaterale belastingverdrag tussen Nederland en de Verenigde Staten, en specifiek op grond van het Verdrag tussen Nederland en de VS tot verbetering van de internationale naleving van de belastingplicht en de tenuitvoerlegging van de FATCA (NL IGA). Financiële instellingen verstrekken geen gegevens rechtstreeks aan de IRS, de uitwisseling van informatie vindt plaats op overheidsniveau. Gegevens worden verstrekt onder de voorwaarde van een geheimhoudingsplicht voor de ontvanger. Het Global Forum on Transparancy and Exchange of Information for Tax Purposes (GF) beoordeelt periodiek of landen voldoen aan de eisen van gegevensbescherming en geheimhouding. De VS heeft op dat gebied in onafhankelijke peer reviews (2011 en 2018) van het GF optimaal gescoord. Dit geeft de Minister van Financiën geen aanleiding om te veronderstellen dat de VS geen adequate gegevensbescherming biedt als het gaat om het uitwisselen van persoonsgegevens op basis van de NL IGA.
Het oordeel van het Hof ziet op alle gevallen waarin dataverkeer tussen de Europese Unie en de Verenigde Staten persoonsgegevens bevat. Wanneer organisaties, om welke reden ook, dergelijke data met de VS willen delen, dan zal voldaan moeten worden aan de voorwaarden van de AVG. Binnen de EU gevestigde personen die mede de Amerikaanse nationaliteit houden, vallen bij hun werkzaamheden onder de werking van de AVG.
Zie antwoord vraag 6.
De waarborgen die de AVG biedt, gelden voor alle in de vraag genoemde entiteiten, ongeacht de nationaliteit van de aan hen verbonden personen. Welke precieze informatie op dit moment wel en niet kan worden gedeeld, zal afhangen van de aard van de gegevens en de omstandigheden rondom de verstrekking.
Als persoonsgegevens gedeeld worden met de VS, moeten organisaties dit kenbaar maken aan betrokkenen. Indien sprake is van onrechtmatige verstrekking van gegevens aan de VS, dan is een melding of klacht bij de AP de geëigende weg om een onderzoek in gang te zetten. Het Hof heeft geoordeeld dat de toezichthoudende autoriteit verplicht is om onrechtmatige doorgifte op te schorten of te verbieden als blijkt dat de bescherming van de gegevens niet kan worden gewaarborgd. Bij aangelegenheden die ook andere lidstaten raken, zal afstemming plaatsvinden met de toezichthoudende autoriteiten van andere Europese landen, die samenkomen in de European Data Protection Board (EDPB). De AP beschikt over een eigen repertoire aan bevoegdheden, daaronder begrepen het opleggen van een bestuurlijke boete, wanneer strijdig met de AVG wordt gehandeld. Als de AP tot een dergelijke conclusie komt, dan laat ik mij daarover graag door de AP informeren. Aan de hand daarvan zal ik vervolgens bezien in hoeverre Nederland op Europees niveau kan bijdragen aan een oplossing.
Hierbij bericht ik u, mede namens de Minister van Financiën, dat de door het lid Lodders (VVD) gestelde schriftelijke vragen over het bericht «EU-hof: Amerikaanse privacybescherming onvoldoende» niet binnen de door u gestelde termijn kunnen worden beantwoord. Daarnaast deel ik u mee dat de beantwoording niet op het beleidsterrein van Financiën ligt. De beantwoording zal worden overgenomen door de Minister voor Rechtsbescherming.