Brief regering : Reactie op verzoek commissie over de brief van NL-digitaal over de gevolgen van Schrems II

Nr. 171 BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 september 2020

Bij brief van 24 september 2020 ben ik geïnformeerd over het verzoek van de vaste
commissie voor Justitie en Veiligheid om, vóór 1 oktober aanstaande, te reageren op
de brief van NL-digitaal van 22 september jongstleden betreffende de gevolgen van
de recente uitspraak van het Hof van Justitie van de Europese Unie in de zaak «Schrems
II». Met deze brief voldoe ik aan dit verzoek.

Op 16 juli 2020 heeft het Hof van de Europese Unie (HvJEU) in de zaak Schrems II het
EU-VS Privacy Shield (PS-besluit), een adequaatheidsbesluit in de zin van artikel 45
AVG, ongeldig verklaard.1 Hierdoor is de doorgifte van persoonsgegevens van de EU aan de VS op basis van het
PS-besluit niet langer mogelijk. In de brief van 22 september jl. uit NL-digitaal
haar zorgen omtrent de gevolgen hiervan voor het bedrijfsleven en andere organisaties.
Met het wegvallen van het PS-besluit moeten bedrijven en andere organisaties die persoonsgegevens
met de VS uitwisselen, terugvallen op andere instrumenten, zoals de zogenaamde Standard Contractual Clauses (SCC’s) van de Europese Commissie. Het gebruik van SCC’s brengt, aldus NL-digitaal,
aanzienlijke problemen met zich mee. Niet alleen is de implementatie op korte termijn
van een nieuw instrument in de praktijk erg lastig, in het bijzonder voor het MKB;
maar vooral problematisch is dat het HvJEU in zijn uitspraak heeft aangegeven dat
SCC´s alleen ingezet mogen worden indien in de praktijk een «gelijkwaardig beschermingsniveau»
kan worden geborgd. Het is voor bedrijven onduidelijk hoe zij middels contractuele
bepalingen aan dit verzoek kunnen voldoen, nu het probleem met voornoemd beschermingsniveau
in de VS vooral gelegen is in de (surveillance) wetgeving die onvoldoende begrensd
is. Aanvullende contractuele afspraken tussen organisaties kunnen de buitenlandse
wetgeving niet wijzigen.

Volgens NL-digitaal is de impact niet beperkt tot de VS, maar raakt de uitspraak van
het HvJEU ook aan de gegevensuitwisseling met alle derde landen waarbij organisaties
gebruik maken van SCC’s.

Om die redenen zijn de gevolgen van de uitspraak van het HvJEU in de Schrems II zaak
volgens NL-digitaal een politiek probleem geworden en zijn, in het kort, de volgende
acties vereist:

• De EU dient internationaal leiderschap te tonen om een sterke en stabiele juridische
basis voor internationale gegevensstromen tussen de EU en derde landen te waarborgen.

• De Europese Commissie (EC) en de VS moeten zo snel mogelijk onderhandelen over een
mogelijke opvolger van het PS-besluit en duidelijkheid verschaffen over de planning
hiervan.

• De EC dient, in consulatie met stakeholders, zo snel mogelijk gemoderniseerde SCC’s
gereed te maken.

• De toezichthoudende autoriteiten dienen op korte termijn en op geharmoniseerde wijze
duidelijk te maken wat in praktische zin onder de te nemen «aanvullende maatregelen»
moet worden verstaan en wanneer deze maatregelen «passend» zijn.

• De EC en toezichthoudende autoriteiten dienen eenduidige en geharmoniseerde informatie
op te stellen en te verstrekken over het beschermingsniveau van persoonsgegevens in
derde landen.

• Er dient een grace period in te worden gesteld waarin de toezichthoudende autoriteiten niet tot handhaving
overgaan om organisaties de mogelijkheid te bieden over te schakelen op de SCC’s.

Reactie

Allereerst wil ik benadrukken dat ik me bewust ben van de gevolgen voor het bedrijfsleven
en andere organisaties van de uitspraak van het HvJEU in de zaak Schrems II. Met de
uitspraak is een complexe situatie ontstaan voor wat betreft de doorgifte van persoonsgegevens
aan de VS en mogelijk andere derde landen. De zorgen die door NL-digitaal worden geuit,
begrijp ik dan ook goed.

Zoals NL-digitaal aangeeft, betekent de ongeldigverklaring van het PS-besluit dat
bedrijven zich daar niet meer op kunnen beroepen en dat zij voor de uitwisseling van
gegevens met de VS terug moeten vallen op andere in de AVG genoemde instrumenten,
zoals de SCC’s of bindende bedrijfsvoorschriften (BRC’s).2 Ook voor deze instrumenten geldt dat zij een «gelijkwaardig beschermingsniveau´als
dat van de AVG (en het Handvest van de grondrechten van de Europese Unie) moeten garanderen
en dat bedrijven en organisaties, in het licht van de uitspraak van het HvJEU, zo
nodig aanvullende maatregelen moeten treffen.3 Zoals NL-digitaal juist opmerkt, geldt dit voor de VS maar ook voor andere derde
landen waarmee persoonsgegevens met behulp van SCC’s worden uitgewisseld. Dit vergt
dat bedrijven en organisaties per geval, aan de hand van de relevante wet- en regelgeving
van het desbetreffende land, toetsen of bij doorgifte van persoonsgegevens een adequaat
beschermingsniveau kan worden geboden.

Een dergelijke beoordeling legt een grote last op bedrijven en organisaties. Desalniettemin
dient uiteraard volledig gestand te worden gedaan aan de uitspraak van het HvJEU.
In dit stadium is zowel voor de toepassing van SCC’s als voor de ontwikkeling van
een nieuw adequaatheidsbesluit met de VS, van belang dat duidelijkheid en rechtszekerheid
worden geboden. Niet alleen voor het bedrijfsleven en andere organisaties maar ook
voor het individu en/of afnemers van producten en diensten. Vanuit dit gegeven ga
ik in het hiernavolgende kort in op de door NL-digital genoemde actiepunten.

• Adequaatheidsbesluit als sterke en stabiele juridische basis voor internationale
gegevensstromen tussen de EU en de VS en andere landen

Ten eerste is het van het allergrootste belang dat er een nieuw adequaatheidsbesluit
wordt vastgesteld voor de doorgifte van persoonsgegevens aan de VS. Een adequaatheidsbesluit
is volgens de AVG het voornaamste instrument om persoonsgegevens uit te wisselen met
derde landen. Dit instrument geeft bedrijven de meeste duidelijkheid over en houvast
bij de uitwisseling van persoonsgegevens met een derde land.

Vaststelling van een adequaatheidsbesluit is een eigenstandige bevoegdheid van de
Europese Commissie. De Commissie is reeds in gesprek met de VS over de mogelijkheden
voor een nieuw besluit. Het arrest Schrems II is inmiddels als «informatief onderwerp»
geagendeerd voor de JBZ-raad van 7 en 8 oktober a.s. waarbij de Commissie de laatste
ontwikkelingen zal toelichten aan de Lidstaten.4 Er is hierbij echter geen discussie voorzien. Indien opportuun zal Nederland het
belang benadrukken van voortvarende onderhandelingen met de VS maar vooral ook van
het nemen van een besluit dat geheel in overeenstemming is met de uitspraak en de
daarin door het HvJEU genoemde criteria voor rechtmatige doorgifte van persoonsgegevens.
Zoals benadrukt door NL-digitaal, dient een sterke en stabiele juridische basis voor
internationale gegevensstromen tussen de EU en derde landen te worden gewaarborgd.
Dit betekent ook dat een eventueel nieuw adequaatheidsbesluit, een nieuwe toetsing
door het HvJEU moet kunnen doorstaan. De kwaliteit en toekomstbestendigheid van het
besluit dient met andere woorden voorop te staan. Dit is niet alleen nodig voor organisaties
en het bedrijfsleven, maar ook voor de bescherming van de rechten van de betrokkenen.
Ik zal er bij de Commissie op aandringen dat Lidstaten op reguliere basis worden geïnformeerd
over de voortgang.

Eenzelfde redenering geldt voor de doorgifte van persoonsgegevens aan het VK. Momenteel
is de Commissie bezig met het voorbereiden van een tweetal adequaatheidsbesluiten
ten aanzien van het VK voor na het einde van de overgangsperiode in het kader van
de Brexit op 31 december 2020.5 De Commissie heeft reeds aangegeven dat het arrest van het HvJEU noodzaakt tot zorgvuldig
onderzoek van de VK-regels met betrekking tot verdere doorgifte van persoonsgegevens
aan derde landen zoals de VS (zg. «onward transfers») evenals de toegang tot persoonsgegevens
door inlichtingen- en veiligheidsdiensten alsmede de mogelijkheden tot rechtsverhaal
door het individu. Wanneer het onderzoek van de Commissie en de procedurele vervolgstappen
niet vóór 31 december 2020 naar tevredenheid zijn afgerond, zullen bedrijven en organisaties
die (structureel) persoonsgegevens doorgeven aan het VK eveneens moeten terugvallen
op SCC’s of BCR’s.6

• Duidelijkheid over passende maatregelen onder de SCC’s

In afwachting van een nieuw adequaatheidsbesluit zullen organisaties en bedrijven
gebruik moeten maken van andere instrumenten, waaronder SCC’s. SCC’s zijn het meest
gebruikte instrument voor gegevensoverdrachten buiten de EU.

Zoals door NL-digitaal aangegeven is met de uitspraak van het HvJEU onduidelijkheid
ontstaan over de «aanvullende maatregelen» die getroffen moeten worden om een passend
beschermingsniveau te garanderen. Hierbij is een belangrijke taak weggelegd voor de
nationale toezichthoudende autoriteiten, die deze rol ook pakken. Volgens informatie
van de Autoriteit Persoonsgegevens (AP) werken de gezamenlijke Europese privacy-toezichthouders
samen aan handvatten om bedrijven en andere organisaties te informeren over welke
maatregelen zij zouden kunnen treffen om SCC’s te kunnen blijven gebruiken. Het Europees
Comité voor gegevensbescherming (European Data Protection Board – EDPB) heeft aangekondigd
binnenkort, naar verwachting in oktober aanstaande, met richtsnoeren op dit punt te
komen, als aanvulling op de eerder gepubliceerde informatie7. Hierover blijf ik in gesprek met de AP.

• Modernisering van de SCC’s

Dergelijke handvatten zijn voor de korte termijn van groot belang. Op langere termijn
zullen de SCC’s van de Commissie gemoderniseerd en in lijn moeten worden gebracht
met de uitspraak van het HvJEU. Bij een eerstvolgende gelegenheid zal ik de Commissie
vragen naar de stand van zaken omtrent de reeds aankondigde modernisering van deze
SCC.

• Transitie periode

Voor wat betreft een «grace period», oftewel een transitieperiode, merk ik op dat
dit op het terrein van de onafhankelijke nationale toezichthouders ligt. In dat kader
is relevant dat de EDPB eerder heeft laten weten geen ruimte te zien voor een transitieperiode
waarin nog niet direct handhavend wordt opgetreden tegen doorgifte gebaseerd op het
ongeldig verklaarde PS-besluit. Het is aan de EDBP om te beoordelen of er aanleiding
is om op deze uitspraak terug te komen.

Tot slot merk ik op dat, bij ontstentenis van een adequaatheidsbesluit (ex artikel 45
AVG) of instrumenten als SCC’s of BCR’s (artikel 46), internationale doorgiften nog
altijd gebaseerd kunnen worden op de specifieke in artikel 49 AVG genoemde grondslagen.8

Ik vertrouw erop u hiermee voldoende te hebben geïnformeerd.

De Minister voor Rechtsbescherming, S. Dekker