Brief regering : Kabinetsreactie over de houdbaarheid van de EU-VS afspraken over privacy en mogelijke gevolgen voor migraties van gevoelige persoonsgegevens naar Amerikaanse diensten
32 761 Verwerking en bescherming persoonsgegevens
26 643
Informatie- en communicatietechnologie (ICT)
Nr. 316
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 17 maart 2025
Hierbij zend ik uw Kamer, mede namens de Staatssecretaris Rechtsbescherming (Justitie
en Veiligheid), de in uw brief van 5 februari gevraagde kabinetsreactie met betrekking
tot: de houdbaarheid van de EU-VS afspraken over privacy en de mogelijke gevolgen voor
migraties van gevoelige persoonsgegevens naar Amerikaanse diensten, naar aanleiding
van het bericht «Trump dismantles surveillance watchdog, triggering Europe’s privacy
PTSD
1» de dato 23 januari 2025.
Achtergrond
In het Rijksbreed cloudbeleid 2022 (Kamerstuk 26 643, nr. 904) en het bijbehorende implementatiekader is opgenomen dat de verwerking en opslag
van alle persoonsgegevens moet voldoen aan geldende gegevensbeschermingsvereisten
uit de Algemene verordening gegevensbescherming (AVG). De Rijksoverheid is verantwoordelijk
voor de verwerking van persoonsgegevens in het kader van een clouddienst. De AVG bepaalt
dat doorgifte van persoonsgegevens aan derde landen, zoals de Verenigde Staten (VS),
alleen onder bepaalde voorwaarden is toegestaan. Daarbij is steeds van belang dat
bij doorgifte naar het derde land een niveau van persoonsgegevensbescherming wordt
gewaarborgd dat vergelijkbaar is met het niveau in de Europese Unie (EU) of bij ontstentenis
van een adequaatheidsbesluit wordt voldaan aan de overige voorwaarden van Hoofdstuk
V van de AVG.
Doorgifte onder het Data Privacy Framework
Doorgifte van persoonsgegevens zonder aanvullende waarborgen naar een derde land mag
plaatsvinden als de Europese Commissie (EC) heeft besloten dat dit derde land voor
doorgifte van persoonsgegevens een passend en met de AVG en andere EU wetgeving vergelijkbaar
beschermingsniveau biedt.2 Sinds juli 2023 geldt voor de VS weer een adequaatheidsbesluit.3 Volgens dit besluit biedt de VS een adequaat niveau van gegevensbescherming – dat
wil zeggen vergelijkbaar met de Europese Unie (EU) – voor de structurele doorgifte
van persoonsgegevens van de EU naar de VS, indien en voor zover die doorgifte in lijn
is met het Data Privacy Framework (DPF). Ten behoeve van dit adequaatheidsbesluit
zijn door de VS verschillende concrete maatregelen op het gebied van persoonsgegevensbescherming
geïmplementeerd, in het bijzonder door het decreet (executive order) 14086 dat de toenmalige president van de VS in 2022 ten behoeve van het DPF heeft
uitgevaardigd.4 Dit decreet introduceert bindende waarborgen die de toegang tot EU-gegevens door
Amerikaanse inlichtingendiensten verder beperken tot wat noodzakelijk en evenredig
is. Ook wordt een verhaalmechanisme ingericht, met onder meer een Data Protection
Review Court (DPRC) dat klachten van EU-burgers onafhankelijk onderzoekt en oplost,
onder meer door bindende herstelmaatregelen te nemen. Zo kunnen op basis van het adequaatheidsbesluit
persoonsgegevens veilig worden doorgegeven van de EU naar bedrijven en organisaties
in de VS die zijn gecertificeerd onder het DPF, zonder dat daarvoor aanvullende gegevensbeschermingswaarborgen
hoeven te worden geïmplementeerd.
De EC houdt doorlopend toezicht op ontwikkelingen in derde landen die mogelijk gevolgen
hebben voor het functioneren van adequaatheidsbesluiten.5 Zo heeft in juli 2024 de eerste evaluatie van het DPF plaatsgevonden.6 De EC stelde daarin vast dat de Amerikaanse overheid de voor het adequaatheidsbesluit
en decreet 14086 noodzakelijke structuren, processen en procedures heeft ingericht.
De recente ontwikkelingen met betrekking tot het ontslaan van bepaalde leden van de
toezichthouder op de inlichtingendiensten, de Privacy and Civil liberties Oversight
Board (PCLOB),7 doen daaraan niet noodzakelijk afbreuk. De PCLOB heeft in het DPF de taak om de werking
van het mechanisme overeenkomstig decreet 14086 te monitoren en te evalueren. Het
ontslag van leden staat, zelfs als dit leidt tot het ontbreken van een quorum8, de uitvoering van deze taak van dit orgaan niet onmiddellijk in de weg.9 De EC heeft in haar eerste periodieke rapport van de DPF aangegeven dat het de relevante
ontwikkelingen rondom de reeds verwachte invulling van de posities van de PCLOB, de
uitwerkingen van haar rol, en rapportage over de implementatie van decreet 1408610 zal blijven monitoren.11
Indien zou blijken dat bij de structurele doorgifte van persoonsgegevens naar de VS
onder het DPF niet langer een passend en met de AVG vergelijkbaar beschermingsniveau
wordt geboden, dient de EC, voor zover dat nodig is, bij uitvoeringshandeling, over
te gaan tot intrekking, wijziging of (tijdelijke) schorsing van (een deel van) het
adequaatheidsbesluit.12 Dit betreft een unilateraal besluit van de EC. In voorkomende gevallen dient de EC
een dergelijk besluit met de lidstaten, waaronder Nederland, in het op artikel 93
AVG gebaseerde comité in het kader van de comitologieprocedure te bespreken. Uw Kamer
zal daarover dan worden geïnformeerd. De doorgifte van persoonsgegevens naar diensten
in de VS kan dan, vanzelfsprekend, niet langer plaats vinden op basis van het DPF.
Doorgifte onder voorwaarden van passende waarborgen
Bij afwezigheid van een adequaatheidsbesluit, bijvoorbeeld in het geval dat het DPF
niet meer van kracht zou zijn, schrijft de AVG voor dat doorgifte aan een derde land
slechts mag plaatsvinden indien daarbij passende waarborgen worden geboden zoals bedoeld
in artikel 46, lid 2, AVG. Ook moeten de betrokkenen beschikken over afdwingbare rechten
en doeltreffende rechtsmiddelen.13 Bij gegevensdoorgifte naar individuele leveranciers in de VS ten behoeve van de cloud,
kunnen passende waarborgen bijvoorbeeld worden gevonden in bindende bedrijfsvoorschriften
die zijn toegestaan door een toezichthoudende autoriteit en modelcontractbepalingen
(SCC’s) inzake gegevensbescherming die zijn vastgesteld door de EC of die zijn vastgesteld
door een toezichthoudende autoriteit. In de contracten met de grote cloudleveranciers
afgesloten door SLM rijk zijn deze SCC reeds opgenomen. In de bestaande situatie wordt
al rekening gehouden met aanvullende waarborgen die bij het gebruik van SCC’s benodigd
zijn. Mocht het DPF komen te vervallen, dan zal mogelijk middels een DTIA14 gekeken moeten worden naar de vraag of er (en zo ja welke) aanvullende waarborgen
of maatregelen moeten worden genomen om de in de AVG vereiste rechtsbescherming voor
natuurlijke personen te waarborgen.
Daarnaast wordt via de lijn van de Agenda digitale open strategische autonomie (DOSA)
zoals deze met uw Kamer is gedeeld15, ingezet op het mogelijk maken om meer gebruik te maken van Nederlandse dan wel Europese
diensten. Dit zal in de komende tijd nader worden ingevuld.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
F.Z. Szabó
Indieners
F.Z. Szabó, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties