[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [🧑mijn] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Kabinetsreactie over de houdbaarheid van de EU-VS afspraken over privacy en mogelijke gevolgen voor migraties van gevoelige persoonsgegevens naar Amerikaanse diensten

Verwerking en bescherming persoonsgegevens

Brief regering

Nummer: 2025D11340, datum: 2025-03-17, bijgewerkt: 2025-03-20 13:15, versie: 3 (versie 1, versie 2)

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-32761-316).

Gerelateerde personen: Bijlagen:

Onderdeel van kamerstukdossier 32761 -316 Verwerking en bescherming persoonsgegevens.

Onderdeel van zaak 2025Z04895:

Onderdeel van activiteiten:

Preview document (🔗 origineel)

Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2024-2025

32 761 Verwerking en bescherming persoonsgegevens

26 643 Informatie- en communicatietechnologie (ICT)

Nr. 316 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 17 maart 2025

Hierbij zend ik uw Kamer, mede namens de Staatssecretaris Rechtsbescherming (Justitie en Veiligheid), de in uw brief van 5 februari gevraagde kabinetsreactie met betrekking tot: de houdbaarheid van de EU-VS afspraken over privacy en de mogelijke gevolgen voor migraties van gevoelige persoonsgegevens naar Amerikaanse diensten, naar aanleiding van het bericht «Trump dismantles surveillance watchdog, triggering Europe’s privacy PTSD 1» de dato 23 januari 2025.

Achtergrond

In het Rijksbreed cloudbeleid 2022 (Kamerstuk 26 643, nr. 904) en het bijbehorende implementatiekader is opgenomen dat de verwerking en opslag van alle persoonsgegevens moet voldoen aan geldende gegevensbeschermingsvereisten uit de Algemene verordening gegevensbescherming (AVG). De Rijksoverheid is verantwoordelijk voor de verwerking van persoonsgegevens in het kader van een clouddienst. De AVG bepaalt dat doorgifte van persoonsgegevens aan derde landen, zoals de Verenigde Staten (VS), alleen onder bepaalde voorwaarden is toegestaan. Daarbij is steeds van belang dat bij doorgifte naar het derde land een niveau van persoonsgegevensbescherming wordt gewaarborgd dat vergelijkbaar is met het niveau in de Europese Unie (EU) of bij ontstentenis van een adequaatheidsbesluit wordt voldaan aan de overige voorwaarden van Hoofdstuk V van de AVG.

Doorgifte onder het Data Privacy Framework

Doorgifte van persoonsgegevens zonder aanvullende waarborgen naar een derde land mag plaatsvinden als de Europese Commissie (EC) heeft besloten dat dit derde land voor doorgifte van persoonsgegevens een passend en met de AVG en andere EU wetgeving vergelijkbaar beschermingsniveau biedt.2 Sinds juli 2023 geldt voor de VS weer een adequaatheidsbesluit.3 Volgens dit besluit biedt de VS een adequaat niveau van gegevensbescherming – dat wil zeggen vergelijkbaar met de Europese Unie (EU) – voor de structurele doorgifte van persoonsgegevens van de EU naar de VS, indien en voor zover die doorgifte in lijn is met het Data Privacy Framework (DPF). Ten behoeve van dit adequaatheidsbesluit zijn door de VS verschillende concrete maatregelen op het gebied van persoonsgegevensbescherming geïmplementeerd, in het bijzonder door het decreet (executive order) 14086 dat de toenmalige president van de VS in 2022 ten behoeve van het DPF heeft uitgevaardigd.4 Dit decreet introduceert bindende waarborgen die de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten verder beperken tot wat noodzakelijk en evenredig is. Ook wordt een verhaalmechanisme ingericht, met onder meer een Data Protection Review Court (DPRC) dat klachten van EU-burgers onafhankelijk onderzoekt en oplost, onder meer door bindende herstelmaatregelen te nemen. Zo kunnen op basis van het adequaatheidsbesluit persoonsgegevens veilig worden doorgegeven van de EU naar bedrijven en organisaties in de VS die zijn gecertificeerd onder het DPF, zonder dat daarvoor aanvullende gegevensbeschermingswaarborgen hoeven te worden geïmplementeerd.

De EC houdt doorlopend toezicht op ontwikkelingen in derde landen die mogelijk gevolgen hebben voor het functioneren van adequaatheidsbesluiten.5 Zo heeft in juli 2024 de eerste evaluatie van het DPF plaatsgevonden.6 De EC stelde daarin vast dat de Amerikaanse overheid de voor het adequaatheidsbesluit en decreet 14086 noodzakelijke structuren, processen en procedures heeft ingericht. De recente ontwikkelingen met betrekking tot het ontslaan van bepaalde leden van de toezichthouder op de inlichtingendiensten, de Privacy and Civil liberties Oversight Board (PCLOB),7 doen daaraan niet noodzakelijk afbreuk. De PCLOB heeft in het DPF de taak om de werking van het mechanisme overeenkomstig decreet 14086 te monitoren en te evalueren. Het ontslag van leden staat, zelfs als dit leidt tot het ontbreken van een quorum8, de uitvoering van deze taak van dit orgaan niet onmiddellijk in de weg.9 De EC heeft in haar eerste periodieke rapport van de DPF aangegeven dat het de relevante ontwikkelingen rondom de reeds verwachte invulling van de posities van de PCLOB, de uitwerkingen van haar rol, en rapportage over de implementatie van decreet 1408610 zal blijven monitoren.11

Indien zou blijken dat bij de structurele doorgifte van persoonsgegevens naar de VS onder het DPF niet langer een passend en met de AVG vergelijkbaar beschermingsniveau wordt geboden, dient de EC, voor zover dat nodig is, bij uitvoeringshandeling, over te gaan tot intrekking, wijziging of (tijdelijke) schorsing van (een deel van) het adequaatheidsbesluit.12 Dit betreft een unilateraal besluit van de EC. In voorkomende gevallen dient de EC een dergelijk besluit met de lidstaten, waaronder Nederland, in het op artikel 93 AVG gebaseerde comité in het kader van de comitologieprocedure te bespreken. Uw Kamer zal daarover dan worden geïnformeerd. De doorgifte van persoonsgegevens naar diensten in de VS kan dan, vanzelfsprekend, niet langer plaats vinden op basis van het DPF.

Doorgifte onder voorwaarden van passende waarborgen

Bij afwezigheid van een adequaatheidsbesluit, bijvoorbeeld in het geval dat het DPF niet meer van kracht zou zijn, schrijft de AVG voor dat doorgifte aan een derde land slechts mag plaatsvinden indien daarbij passende waarborgen worden geboden zoals bedoeld in artikel 46, lid 2, AVG. Ook moeten de betrokkenen beschikken over afdwingbare rechten en doeltreffende rechtsmiddelen.13 Bij gegevensdoorgifte naar individuele leveranciers in de VS ten behoeve van de cloud, kunnen passende waarborgen bijvoorbeeld worden gevonden in bindende bedrijfsvoorschriften die zijn toegestaan door een toezichthoudende autoriteit en modelcontractbepalingen (SCC’s) inzake gegevensbescherming die zijn vastgesteld door de EC of die zijn vastgesteld door een toezichthoudende autoriteit. In de contracten met de grote cloudleveranciers afgesloten door SLM rijk zijn deze SCC reeds opgenomen. In de bestaande situatie wordt al rekening gehouden met aanvullende waarborgen die bij het gebruik van SCC’s benodigd zijn. Mocht het DPF komen te vervallen, dan zal mogelijk middels een DTIA14 gekeken moeten worden naar de vraag of er (en zo ja welke) aanvullende waarborgen of maatregelen moeten worden genomen om de in de AVG vereiste rechtsbescherming voor natuurlijke personen te waarborgen.

Daarnaast wordt via de lijn van de Agenda digitale open strategische autonomie (DOSA) zoals deze met uw Kamer is gedeeld15, ingezet op het mogelijk maken om meer gebruik te maken van Nederlandse dan wel Europese diensten. Dit zal in de komende tijd nader worden ingevuld.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
F.Z. Szabó

  1. Trump dismantles surveillance watchdog, triggering Europe’s privacy PTSD – POLITICO.↩︎

  2. Artikel 45 lid 1 AVG.↩︎

  3. Kamerstukken II 2022/23, 32 317, nr. 845.↩︎

  4. Executive Order 14086 – Policy and Procedures - United States Department of State.↩︎

  5. Artikel 45, lid 3 e.v., AVG.↩︎

  6. Report on the first periodic review of the functioning of the adequacy decision on the EU-US Data Privacy Framework | European Commission.↩︎

  7. Trump dismantles surveillance watchdog, triggering Europe’s privacy PTSD – POLITICO.↩︎

  8. Het PCLOB heeft eerder twee sub-quorum periodes gekend: in 2017–2018, en 2021–2022. https://documents.pclob.gov/prod/Documents/StrategicPlans/14/PCLOB%20Strategic%20Plan_2022-2026-5.25.2022-FINAL%20BOARD%20APPROVED-07142022-Completed%20508.pdf, p. 8–9.↩︎

  9. Adequacy decision for the EU-US Data Privacy Framework | European Commission, overweging 194.↩︎

  10. Office of Privacy and Civil Liberties | Executive Order 14086.↩︎

  11. EU-US Data Privacy Framework: report of the Commission on how the framework is functioning.↩︎

  12. Artikel 45 lid 5 AVG.↩︎

  13. Artikel 46, lid 1, AVG.↩︎

  14. Het EU Hof van Justitie heeft in het Schrems II-arrest van 16 juli 2020 geoordeeld dat het noodzakelijk kan blijken om de in de standaardbepalingen vervatte waarborgen aan te vullen, omdat de standaardcontractbepalingen overheidsinstanties van derde landen niet kunnen binden, maar wel is vereist dat het door de AVG (en in verband daarmee ook het in artikelen 7, 8 en 47 van het Handvest van de EU) gewaarborgde beschermingsniveau voor natuurlijke personen niet in gevaar mag worden gebracht (HvJ EU 16 juli 2020, ECLI:EU:C:2020:559 (Schrems II), r.o. 132). Voor de beoordeling daarvan, heeft het Europees Comité voor gegevensbescherming (EDPB) een zogenaamde transfer impact assessment (DTIA) aangeraden (EDPB, Aanbevelingen 01/2020).↩︎

  15. https://www.rijksoverheid.nl/documenten/rapporten/2023/10/17/bijlage-agenda-dosa-tgpdfa↩︎