Antwoord schriftelijke vragen : Antwoord op vragen van het lid Lodders over het bericht ‘EU-hof: Amerikaanse privacybescherming onvoldoende’

Antwoord van Minister Dekker (Rechtsbescherming), mede namens de Staatssecretaris
van Financiën – Fiscaliteit en Belastingdienst en de Minister van Financiën (ontvangen
12 oktober 2020). Zie ook Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 4059.

Vraag 1

Bent u bekend met het bericht «EU-hof: Amerikaanse privacybescherming onvoldoende»?1

Antwoord 1

Ja.

Vraag 2

Klopt het dat organisaties in de EU reeds per 20 juli 2020 geen persoonsgegevens meer
kunnen doorgeven aan de VS op grond van het privacy shield?2 Zo nee, waarom niet? Zo ja, kunt u dit toelichten en geldt dit ook voor financiële
instellingen?

Antwoord 2

Het Hof van Justitie heeft in de zaak C-311/18 («Schrems II») het besluit van de Europese
Commissie om op basis van het zogeheten Privacy Shield persoonsgegevens aan de VS
te kunnen doorgeven, ongeldig verklaard. Dit heeft gevolgen voor de mogelijkheden
van organisaties, waaronder financiële instellingen, om persoonsgegevens aan de VS
te kunnen doorgeven. Ik verwijs verder naar mijn antwoord op vraag 8.

Vraag 3

Wat is het verschil tussen overeenkomsten volgens het privacy shield en modelcontractbepalingen?
Klopt het dat modelcontractbepalingen wel AVG-proof zijn in tegenstelling tot een
overeenkomst rond het privacy shield?3

Antwoord 3

Op grond van de Algemene Verordening Gegevensbescherming (AVG) is gegevensverkeer
met derde landen zoals de VS alleen onder bepaalde voorwaarden toegestaan. Daarbij
is van belang dat de verwerking van gegevens in het derde land EU-burgers vergelijkbare
waarborgen biedt als zij in de EU zouden hebben. De Europese Commissie kan besluiten
dat een land of een sector in een land een passend beschermingsniveau waarborgt, zoals
zij met betrekking tot de VS in het Privacy Shield, een adequaatheidsbesluit ten aanzien
van het gegevensbeschermingsniveau in de VS in de zin van artikel 45 AVG, had gedaan.

Als er ten aanzien van een derde land geen adequaatheidsbesluit is, zijn er ook andere
mogelijkheden om gegevens uit te wisselen. Bij een doorgifte op grond van modelcontractbepalingen,
worden tussen de gegevensexporteur en importeur bepaalde standaard contractuele waarborgen
opgenomen. Het verschil is dus dat in het ene geval besloten wordt dat een land of
sector waarborgen biedt, en in het andere geval waarborgen contractueel zijn vastgelegd.

Het Hof heeft zich uitgesproken over het Privacy Shield, dat naar zijn oordeel onvoldoende
waarborgen kent en om die reden ongeldig is verklaard. De modelcontractbepalingen
van de Europese Commissie kunnen volgens het Hof nog steeds «AVG-proof» zijn, doch
daarvoor zal wel vereist zijn dat de contractbepalingen een beschermingsniveau waarborgen
dat in grote lijnen overeenkomt met het niveau dat binnen de EU wordt gewaarborgd
en dat nationale regelingen de naleving van die contractbepalingen niet opzij kunnen
zetten. Zo nodig dienen de gegevensexporteur en de ontvanger van de gegevens aanvullende
waarborgen te treffen. De gezamenlijke Europese privacy toezichthouders werken samen
aan handvatten om bedrijven en organisaties te helpen welke aanvullende maatregelen
zij zouden kunnen treffen om een passend beschermingsniveau te waarborgen. Deze richtsnoeren
worden in oktober verwacht. Voor meer informatie, verwijs ik naar mijn brief van 1 oktober
2020, in reactie op de brief van NL-digital over de gevolgen van Schrems II.

Vraag 4

Kan de VS een met de EU, gelijkwaardig beschermingsniveau van persoonsgegevens op
alle niveaus in de praktijk waarborgen? Zo ja, op welke manier? Zo nee, waarom niet?

Antwoord 4

Het Hof heeft zijn oordeel dat het Privacy Shield onvoldoende waarborgen bevat voor
EU- burgers, onderbouwd met een verwijzing naar de rol die opsporings- en inlichtingendiensten
in de VS kunnen spelen nadat doorgifte had plaats gevonden, en de verplichtingen die
deze diensten kunnen opleggen aan organisaties die in de VS persoonsgegevens van EU-burgers
verwerken. Ook zijn er naar het oordeel van het Hof onvoldoende rechtsmiddelen beschikbaar
voor EU-burgers om zich tegen overheidsoptreden in de VS te verzetten. Met andere
woorden; de rechtsbescherming in de VS is niet adequaat omdat men er o.a. niet, zoals
in Nederland, naar de rechter kan stappen. Hoewel er wel een ombudsman is aangesteld
in de VS, is dit naar het oordeel van het Hof onvoldoende en geen alternatief.

Het arrest van het Hof heeft tot gevolg dat thans niet kan worden uitgegaan van de
beschermingswaarborgen voor persoonsgegevens die voor generieke verstrekking vereist
zijn. Wel is de Europese Commissie op dit moment in gesprek met de VS met het oog
op het nemen van een nieuw adequaatheidsbesluit ter reparatie van de door het Hof
geconstateerde gebreken in het Privacy Shield.

Het is ingewikkeld om een snelle oplossing voor het ongeldig verklaarde Privacy Shield
te bieden. Sinds Schrems II kan niet langer gezegd worden dat persoonsgegevens in
de VS voldoende beschermd worden en veilig zijn. Verwerkingsverantwoordelijken dienen
betrokkenen hierover duidelijk te informeren.

Vraag 5

Welke (praktische) gevolgen heeft het nietig verklaren van de Privacy Shield-overeenkomst
door het Europese Hof voor het doorgeven van persoonsgegevens van «accidental Americans»
door Nederlandse banken aan de Amerikaanse Belastingdienst (IRS) met betrekking tot
de wet naleving belastingplicht buitenlandse rekeningen (FATCA)?

Antwoord 5

De uitwisseling van persoonsgegevens van US Persons (waaronder «Accidental Americans»)
met de VS ten behoeve van belastingheffing vindt plaats op grond van Artikel 30 van
het bilaterale belastingverdrag tussen Nederland en de Verenigde Staten, en specifiek
op grond van het Verdrag tussen Nederland en de VS tot verbetering van de internationale
naleving van de belastingplicht en de tenuitvoerlegging van de FATCA (NL IGA). Financiële
instellingen verstrekken geen gegevens rechtstreeks aan de IRS, de uitwisseling van
informatie vindt plaats op overheidsniveau. Gegevens worden verstrekt onder de voorwaarde
van een geheimhoudingsplicht voor de ontvanger. Het Global Forum on Transparancy and
Exchange of Information for Tax Purposes (GF) beoordeelt periodiek of landen voldoen
aan de eisen van gegevensbescherming en geheimhouding. De VS heeft op dat gebied in
onafhankelijke peer reviews (2011 en 2018) van het GF optimaal gescoord. Dit geeft
de Minister van Financiën geen aanleiding om te veronderstellen dat de VS geen adequate
gegevensbescherming biedt als het gaat om het uitwisselen van persoonsgegevens op
basis van de NL IGA.

Vraag 6, 7

Klopt het dat informatie van organisaties, instellingen en politieke partijen, zonder
verdere (handels)relaties met de VS, gedeeld wordt met de VS alleen omdat de tekeningsbevoegdheid
ligt bij een Nederlands persoon met ook een Amerikaanse nationaliteit (US person)?
Zo ja, vindt u dit wenselijk? Wat gaat u eraan doen om dit te voorkomen? Zo nee, kunt
u dit toelichten?

Op welke manier wordt een US person die tekeningsbevoegd is voor een Europese/Nederlandse
organisatie, instelling of politieke partij beschermd door Europese en/of Nederlandse
regelgeving?

Antwoord 6, 7

Het oordeel van het Hof ziet op alle gevallen waarin dataverkeer tussen de Europese
Unie en de Verenigde Staten persoonsgegevens bevat. Wanneer organisaties, om welke
reden ook, dergelijke data met de VS willen delen, dan zal voldaan moeten worden aan
de voorwaarden van de AVG. Binnen de EU gevestigde personen die mede de Amerikaanse
nationaliteit houden, vallen bij hun werkzaamheden onder de werking van de AVG.

Vraag 8

Zijn in de EU juridisch gevestigde bedrijven, organisaties, instellingen of politieke
partijen, waarbij een US person tekeningsbevoegd is, voldoende beschermd voor het
doorgeven van rekeninggegevens of privacygevoelige informatie aan de VS? Zo ja, kunt
u uitgebreid toelichten welke informatie wel en welke niet met de VS kan worden gedeeld
alleen omdat de tekeningsbevoegdheid ligt bij een US person? Zo nee, waarom niet?

Antwoord 8

De waarborgen die de AVG biedt, gelden voor alle in de vraag genoemde entiteiten,
ongeacht de nationaliteit van de aan hen verbonden personen. Welke precieze informatie
op dit moment wel en niet kan worden gedeeld, zal afhangen van de aard van de gegevens
en de omstandigheden rondom de verstrekking.

Vraag 9

Hoe gaat u ervoor zorgen dat organisaties, instellingen en politieke partijen erop
gewezen worden dat indien een US person tekeningsbevoegd is, deze informatie gedeeld
wordt met de VS?

Antwoord 9

Als persoonsgegevens gedeeld worden met de VS, moeten organisaties dit kenbaar maken
aan betrokkenen. Indien sprake is van onrechtmatige verstrekking van gegevens aan
de VS, dan is een melding of klacht bij de AP de geëigende weg om een onderzoek in
gang te zetten. Het Hof heeft geoordeeld dat de toezichthoudende autoriteit verplicht
is om onrechtmatige doorgifte op te schorten of te verbieden als blijkt dat de bescherming
van de gegevens niet kan worden gewaarborgd. Bij aangelegenheden die ook andere lidstaten
raken, zal afstemming plaatsvinden met de toezichthoudende autoriteiten van andere
Europese landen, die samenkomen in de European Data Protection Board (EDPB). De AP
beschikt over een eigen repertoire aan bevoegdheden, daaronder begrepen het opleggen
van een bestuurlijke boete, wanneer strijdig met de AVG wordt gehandeld. Als de AP
tot een dergelijke conclusie komt, dan laat ik mij daarover graag door de AP informeren.
Aan de hand daarvan zal ik vervolgens bezien in hoeverre Nederland op Europees niveau
kan bijdragen aan een oplossing.