BIJLAGE I

7 juli 2016

Mw. Věra Jourová

Commissaris voor Justitie, Consumentenzaken en Gendergelijkheid

Europese Commissie

Wetstraat 200

1049 Brussel

BELGIË

Geachte commissaris Jourová:

Namens de Verenigde Staten heb ik de eer u hierbij te doen toekomen een pakket documenten inzake het EU-VS-privacyschild dat het resultaat is van twee jaar productieve besprekingen tussen onze teams. Dit pakket biedt, samen met andere documenten waarover de Commissie de beschikking heeft via openbare bronnen, een zeer sterke basis voor een nieuwe vaststelling van gepastheid door de Europese Commissie (1).

We kunnen beiden trots zijn op de verbeteringen in de kaderregeling. Het privacyschild is gebaseerd op Beginselen die aan beide kanten van de Atlantische Oceaan een brede steun genieten, en wij hebben de werking van deze beginselen versterkt. Door samen te werken, hebben wij een reële kans om de bescherming van de privacy in de hele wereld te beschermen.

Het privacyschildpakket omvat de Beginselen inzake het privacyschild, alsook een brief, opgenomen als bijlage 1, van de Dienst voor Internationale Handel van het ministerie van Handel, die het programma beheert. Hierin worden de toezeggingen beschreven die onze ministerie heeft gedaan om ervoor te zorgen dat het privacyschild effectief functioneert. Bijlage 2 bij het pakket bevat onder andere toezeggingen van het ministerie van Handel met betrekking tot het nieuwe arbitrale model in het kader van het privacyschild.

Ik heb mijn ambtenaren opdracht gegeven alle nodige middelen in te zetten om het kader van het privacyschild snel en volledig in te voeren en ervoor te zorgen dat op tijd aan de in bijlage 1 en bijlage 2 neergelegde verplichtingen wordt voldaan.

Het privacyschildpakket bevat tevens documenten van andere Amerikaanse instanties, namelijk:

—	een brief van de Federal Trade Commission (FTC) waarin de tenuitvoerlegging van het privacyschild wordt beschreven;

—	een brief van het ministerie van Vervoer waarin zijn tenuitvoerlegging van het privacyschild wordt beschreven;

—	twee door het bureau van de directeur van de nationale inlichtingendienst (ODNI) opgestelde brieven met betrekking tot waarborgen en beperkingen die van toepassing zijn op de nationale veiligheidsautoriteiten van de VS;

—

een brief van het Amerikaanse ministerie van Buitenlands Zaken en een bijbehorend memorandum, waarin de toezegging van het ministerie van Buitenlandse Zaken wordt beschreven met betrekking tot het instellen van een nieuwe privacyschildombudsman voor het indienen van vragen met betrekking tot de Amerikaanse „signal intelligence”-praktijken, en

—	een brief opgesteld door het Amerikaanse ministerie van Justitie met betrekking tot de waarborgen en beperkingen inzake de toegang van de Amerikaanse overheid ten behoeve van rechtshandhaving en het algemeen belang.

U kunt ervan verzekerd zijn dat de Verenigde Staten deze toezeggingen ernstig neemt.

Binnen 30 dagen na de definitieve goedkeuring van de vaststelling van het beschermingsniveau wordt het volledige privacyschildpakket ingediend bij het Federal Register voor de bekendmaking ervan.

Wij kijken ernaar uit met u samen te werken wanneer het privacyschild is geïmplementeerd en we samen aan de volgende fase van dit proces beginnen.

---

(1)  Op voorwaarde dat het besluit van de Commissie inzake de gepastheid van de door het EU-VS-privacyschild geboden bescherming van toepassing is op IJsland, Liechtenstein en Noorwegen, zal het privacyschild-pakket op zowel de Europese Unie als deze drie landen van toepassing zijn.

BIJLAGE II

BEGINSELEN INZAKE HET EU-VS-PRIVACYSCHILDKADER OPGESTELD DOOR HET AMERIKAANSE MINISTERIE VAN HANDEL

I.   OVERZICHT

1.

Terwijl de Verenigde Staten en de Europese Unie beide de privacybescherming willen verbeteren, benaderen de Verenigde Staten privacy anders dan de Europese Unie. De Verenigde Staten hebben een sectorale aanpak die is gebaseerd op een mix van wetgeving, regelgeving en zelfregulering. Gezien deze verschillen en teneinde organisaties in de Verenigde Staten een betrouwbaar mechanisme te bieden om persoonsgegevens vanuit de Europese Unie naar de Verenigde Staten door te geven, waarbij gewaarborgd wordt dat de betrokkenen in de EU blijven profiteren van effectieve waarborgen en bescherming zoals vereist door de Europese wetgeving ten aanzien van de verwerking van hun persoonsgegevens die zijn doorgegeven aan derde landen, heeft het ministerie van Handel deze Beginselen inzake het privacyschild opgesteld, met inbegrip van de aanvullende Beginselen (gezamenlijk „de Beginselen” genoemd) in het kader van zijn wettelijke bevoegdheid om de internationale handel te bevorderen en te ontwikkelen (15 U.S.C. § 1512). De Beginselen zijn ontwikkeld in overleg met de Europese Commissie, het bedrijfsleven en andere belanghebbenden om de handel tussen de Verenigde Staten en de Europese Unie te bevorderen. Ze zijn uitsluitend bestemd voor gebruik door organisaties in de Verenigde Staten die persoonsgegevens uit de Europese Unie ontvangen om in aanmerking te kunnen komen voor het privacyschild en aldus te profiteren van het adequaatheidsbesluit van de Europese Commissie (1). De Beginselen hebben geen invloed op de toepassing van de nationale bepalingen ter uitvoering van Richtlijn 95/46/EG („de richtlijn”) die van toepassing zijn op de verwerking van persoonsgegevens in de lidstaten. Evenmin vormen de Beginselen een beperking van de privacyverplichtingen die voor het overige van toepassing zijn krachtens de Amerikaanse wet.

2.

Om erop te kunnen vertrouwen dat in het kader van het privacyschild de doorgifte van persoonsgegevens uit de EU wordt geëffectueerd, moet een organisatie tegenover het ministerie van Handel (of de door deze aangewezen instantie) („het ministerie”) verklaren dat zij door middel van zelfcertificering de Beginselen onderschrijft. Hoewel de beslissingen van organisaties om aldus deel te nemen aan het privacyschild geheel vrijwillig zijn, is de effectieve naleving ervan verplicht: organisaties die een zelfcertificeringsverklaring indienen bij het ministerie en in het openbaar verklaren de verplichting aan te gaan om zich aan de Beginselen te houden, moeten de beginselen volledig in acht nemen. Teneinde deel te kunnen nemen aan het privacyschild moet een organisatie a) onderworpen zijn aan de onderzoeks- en handhavingsbevoegdheden van de Federal Trade Commission (de „FTC”), het ministerie van Vervoer of een andere officiële instantie die de effectieve naleving van de Beginselen zal waarborgen (andere Amerikaanse officiële instanties organen die door de EU zijn erkend kunnen in de toekomst in bijlage worden opgenomen); b) in het openbaar verklaren de verplichting aan te gaan om zich aan de Beginselen te houden; c) haar privacybeleid overeenkomstig deze Beginselen openbaar maken; en d) dit beleid volledig uitvoeren. Wanneer een organisatie een en ander niet naleeft, kan handhavend worden opgetreden grond van artikel 5 van de Federal Trade Commission Act die oneerlijke en misleidende handelingen verbiedt op het gebied van of met invloed op de handel (15 U.S.C. § 45(a)) of op grond van andere wet- of regelgeving die dergelijke handelingen verbiedt.

3.

Het ministerie van Handel zal een gezaghebbende lijst bijhouden en ter beschikking van het publiek stellen, van Amerikaanse organisaties die bij het ministerie een zelfcertificeringsverklaring hebben ingediend en die hebben verklaard de Beginselen te onderschrijven („de privacyschildlijst”). De voordelen van het privacyschild zijn gegarandeerd vanaf de datum dat het ministerie de organisatie op de privacyschildlijst plaatst. Het ministerie zal een organisatie van de privacyschildlijst verwijderen als zij zich vrijwillig terugtrekt uit het privacyschild of als ze nalaat haar jaarlijkse hercertificering bij het ministerie in te dienen. De verwijdering van een organisatie van de privacyschildlijst betekent dat zij niet langer kan profiteren van het adequaatheidsbesluit van de Europese Commissie om persoonsgegevens uit de EU te ontvangen. De organisatie moet de Beginselen blijven toepassen op de persoonsgegevens die zij heeft ontvangen toen zij aan het privacyschild deelnam, en elk jaar bij het ministerie opnieuw bevestigen dat zij dit zal blijven doen zolang zij dergelijke gegevens bewaart; anders moet de organisatie de gegevens teruggeven, verwijderen of „passende” bescherming van de informatie bieden met andere erkende middelen. Het ministerie zal ook de organisaties van de privacyschildlijst verwijderen die permanent nalaten om zich aan de Beginselen te houden; deze organisaties komen niet in aanmerking voor de privacyschildvoordelen en moeten de persoonsgegevens die zij op grond van het privacyschild hebben ontvangen, terugsturen of verwijderen.

4.

Het ministerie zal tevens een gezaghebbende lijst bijhouden en ter beschikking van het publiek stellen van Amerikaanse organisaties die eerder wel bij het ministerie een zelfcertificeringsverklaring hadden ingediend, maar die van de privacyschildlijst zijn verwijderd. Het ministerie zal een duidelijke waarschuwing verstrekken dat deze organisaties geen deelnemer aan het privacyschild zijn, dat verwijdering van de privacyschildlijst betekent dat deze organisaties niet mogen beweren dat ze aan het privacyschild voldoen en zich moeten onthouden van alle verklaringen of misleidende praktijken waarmee wordt geïmpliceerd dat zij deelnemen aan het privacyschild, en dat dergelijke organisaties niet langer gerechtigd zijn om te profiteren van het adequaatheidsbesluit van de Europese Commissie dat die organisaties in staat zou stellen om persoonsgegevens uit de EU te ontvangen. Een organisatie die blijft beweren dat zij deelneemt aan het privacyschild of een andere aan het privacyschild gerelateerde verkeerde voorstellingen van zaken geeft nadat zij van de privacyschildlijst is verwijderd, kan worden onderworpen aan handhavend optreden van de FTC, het ministerie van Vervoer of andere handhavingsinstanties.

5.

De onderschrijving van deze Beginselen kan worden beperkt: a) voor zover nodig om te voldoen aan vereisten inzake nationale veiligheid, het algemeen belang of rechtshandhaving; b) op grond van de wet, overheidsreglementering of jurisprudentie die tegenstrijdige verplichtingen of uitdrukkelijke bevoegdheden creëert, op voorwaarde dat een organisatie bij het uitoefenen van een dergelijke bevoegdheid kan aantonen dat haar niet-naleving van de Beginselen niet verder gaat dan nodig is om te voldoen aan de dwingende legitieme belangen die door een dergelijke bevoegdheid worden bevorderd; of c) indien met de richtlijn of de wetgeving van de lidstaat wordt beoogd uitzonderingen of afwijkingen toe te staan, mits deze uitzonderingen of afwijkingen in vergelijkbare situaties worden toegepast. In overeenstemming met het doel de privacybescherming te verbeteren, moeten organisaties ernaar streven om deze Beginselen volledig en op transparante wijze uit te voeren, en daarbij in hun privacybeleid vermelden in welke gevallen uitzonderingen op de Beginselen als toegestaan onder b) hierboven, regelmatig van toepassing zullen zijn. Om dezelfde reden wordt, wanneer deze optie is toegestaan krachtens de Beginselen en/of de Amerikaanse wet, van organisaties verwacht dat zij waar mogelijk kiezen voor de hogere mate van bescherming.

6.

Organisaties zijn verplicht om de Beginselen toe te passen op alle persoonsgegevens die op basis van het privacyschild zijn doorgegeven nadat zij zich voor het privacyschild hebben laten registreren. Een organisatie die ervoor kiest om de voordelen van het privacyschild uit te breiden naar personeelsbeheersinformatie die vanuit de EU wordt doorgegeven voor gebruik in het kader van een arbeidsverhouding, moet dit aangeven wanneer ze een zelfcertificeringsverklaring indient bij het ministerie en dient aan de in het aanvullende beginsel inzake zelfcertificering gestelde vereisten te voldoen.

7.

De Amerikaanse wetgeving zal van toepassing zijn op kwesties inzake de interpretatie en naleving van de Beginselen en het relevante privacybeleid door de privacyschildorganisaties, behalve wanneer deze organisaties hebben toegezegd om samen te werken met de Europese gegevensbeschermingsautoriteiten. Tenzij anders aangegeven, zijn alle bepalingen van de Beginselen van toepassing waar deze relevant zijn.

8.

Definities: a)   „Persoonsgegevens” en „persoonlijke informatie”: de gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon die binnen het toepassingsgebied van de richtlijn vallen en door een organisatie in de Verenigde Staten vanuit de Europese Unie worden ontvangen, en in welke vorm dan ook worden vastgelegd. b)   „Verwerking” van persoonsgegevens: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken of verspreiden en wissen of vernietigen. c)   „Verwerkingsverantwoordelijke”: een persoon of organisatie die, alleen of samen met anderen, het doel van en middelen voor de verwerking van persoonsgegevens bepaalt.

9.

De datum van inwerkingtreding van de Beginselen is de datum van de definitieve goedkeuring van het adequaatheidsbesluit van de Europese Commissie.

II.   BEGINSELEN

1.   Kennisgeving

a)

Een organisatie moet particulieren informeren over: i) haar deelname aan het privacyschild en een link verstrekken naar, of het webadres vermelden van, de privacyschildlijst, ii) de aard van de verzamelde persoonsgegevens en, indien van toepassing, de entiteiten of dochterondernemingen van de organisatie die de Beginselen ook onderschrijven, iii) haar inzet om de Beginselen toe te passen op alle persoonsgegevens die in vertrouwen op het privacyschild vanuit Europa zijn ontvangen. iv) het doel waarvoor zij persoonlijke informatie over hen verzamelt en gebruikt, v) de wijze waarop in geval van vragen of klachten contact kan worden opgenomen met de organisatie, met inbegrip van elke relevante vestiging in de EU die kan reageren op dergelijke vragen of klachten, vi) het soort of de identiteit van derden aan wie zij persoonsgegevens meedeelt, en het doel waarvoor zij dat doet, vii) het recht van personen van toegang tot hun persoonsgegevens, viii) de keuzes en de middelen die de organisatie aan particulieren aanbiedt ter beperking van het gebruik en de openbaarmaking van hun persoonsgegevens, ix) het onafhankelijke orgaan voor geschillenbeslechting dat is aangewezen om klachten te behandelen en te voorzien in passende, kosteloze verhaalmogelijkheden voor de betrokken persoon, en of dat: 1) het panel is dat door gegevensbeschermingsautoriteiten is opgericht, 2) een alternatieve geschillenbeslechtingsinstantie is die in de EU gevestigd is, of 3) een alternatieve geschillenbeslechtingsinstantie in de Verenigde Staten is, x) het onderworpen zijn aan de onderzoeks-en handhavingsbevoegdheden van de FTC, het ministerie van Vervoer of een andere gemachtigde VS overheidsinstantie, xi) de mogelijkheid voor de natuurlijke persoon om onder bepaalde voorwaarden een beroep op bindende arbitrage te doen, xii) de verplichting om persoonlijke informatie bekend te maken als reactie op een gerechtvaardigd verzoek van openbare instanties, onder meer ter voldoening aan de eisen in verband met veiligheid of rechtshandhaving, en xiii) haar aansprakelijkheid in geval van verdere doorgifte aan derde partijen.

b)

Deze kennisgeving moet in duidelijke en ondubbelzinnige bewoordingen worden gedaan als de betrokkenen voor de eerste keer wordt gevraagd de organisatie persoonlijke informatie te verstrekken of zo spoedig mogelijk daarna, maar in ieder geval voordat de organisatie dergelijke informatie gebruikt voor een ander doel dan waarvoor deze oorspronkelijk is verzameld of door de doorgevende organisatie is verwerkt, of voor de eerste keer aan een derde bekendmaak.

2.   Keuzemogelijkheden

a)

Een organisatie moet betrokkenen de mogelijkheid geven zich ertegen te verzetten (opt-out) dat hun persoonlijke informatie i) aan derden bekend zal worden gemaakt of ii) zal worden gebruikt voor een doel dat materieel verschilt van het (de) doel(en) waarvoor deze informatie oorspronkelijk is verzameld of waarvoor de betrokkene achteraf zijn toestemming heeft gegeven. Aan de betrokkene moeten duidelijke en opvallende, direct beschikbare mechanismen worden geboden om deze keuze te maken.

b)

In afwijking van de vorige paragraaf is het niet nodig om een keuze te bieden als de informatie wordt bekendgemaakt aan een derde die optreedt als vertegenwoordiger van een organisatie om uit haar naam en in haar opdracht een of meer taken uit te voeren. Een organisatie moet echter altijd een overeenkomst met de vertegenwoordiger sluiten.

c)

Voor gevoelige informatie (d.w.z. persoonlijke informatie over de gezondheid, raciale of etnische afkomst, politieke opvattingen, godsdienstige of filosofische overtuigingen, lidmaatschap van een vakbond of informatie over het seksleven van de betrokkene) moeten organisaties van de betrokkene positieve, expliciete toestemming (opt-in) krijgen, wil dergelijke informatie i) aan een derde bekend kunnen worden gemaakt of ii) kunnen worden gebruikt voor een ander doel dan waarvoor deze oorspronkelijk is verzameld of waarvoor de betrokkene achteraf zijn toestemming heeft gegeven via de uitoefening van zijn keuze voor opt-in. Bovendien moet een organisatie alle informatie die zij van een derde ontvangt en die deze derde als gevoelig aanmerkt en behandelt, als gevoelig behandelen.

3.   Verantwoording voor de verdere doorgifte

a)

Wanneer een organisatie persoonlijke informatie doorgeeft aan een derde die optreedt als verwerkingsverantwoordelijke, moet zij het kennisgevingsbeginsel en het keuzebeginsel in acht nemen. Organisaties moeten ook een overeenkomst sluiten met de derde verwerkingsverantwoordelijke waarin wordt bepaald dat dergelijke gegevens uitsluitend mogen worden verwerkt voor beperkte en welomschreven doeleinden die stroken met de door de betrokkene gegeven toestemming en dat de ontvanger hetzelfde beschermingsniveau zal bieden als de Beginselen en, wanneer hij vaststelt niet langer aan deze verplichting te kunnen voldoen, de organisatie daarvan in kennis stelt. In de overeenkomst wordt bepaald dat wanneer een dergelijke vaststelling plaatsvindt de derde verwerkingsverantwoordelijke de verwerking staakt of andere redelijke en passende stappen neemt om tot een oplossing te komen.

b)

In geval van doorgifte van persoonsgegevens aan een derde partij die als vertegenwoordiger handelt, mogen organisaties: i) deze gegevens uitsluitend voor beperkte en specifieke doeleinden doorgeven, en moeten zij: ii) zich ervan vergewissen dat de vertegenwoordiger verplicht is om ten minste hetzelfde niveau van privacybescherming te bieden als de Beginselen voorschrijven; iii) redelijke en passende maatregelen nemen om ervoor te zorgen dat de vertegenwoordiger de doorgegeven persoonlijke informatie daadwerkelijk verwerkt op een manier die strookt met de verplichtingen van de organisatie krachtens de Beginselen; iv) de vertegenwoordiger ertoe verplichten de organisatie in kennis te stellen van het feit dat hij vaststelt niet langer te kunnen voldoen aan de verplichting hetzelfde niveau van privacybescherming te bieden als de Beginselen voorschrijven; v) na kennisgeving, onder meer in de zin van punt iv), redelijke en passende maatregelen nemen om de niet toegestane verwerking te stoppen en te herstellen; en vi) aan het ministerie op verzoek een samenvatting of een betrouwbare copie overleggen van de relevante privacybepalingen van de overeenkomst met die vertegenwoordiger.

4.   Beveiliging

a)

Organisaties die persoonlijke informatie creëren, bewaren, gebruiken of verspreiden moeten redelijke en passende maatregelen nemen om deze te beschermen tegen verlies, misbruik en onbevoegde toegang, bekendmaking, wijziging of vernietiging, daarbij rekening houdend met de specifieke risico's in verband met de verwerking van en de aard van persoonlijke informatie.

5.   Integriteit van gegevens en doelbinding

a)

Overeenkomstig de Beginselen moet persoonlijke informatie worden beperkt tot de informatie die relevant is voor de doeleinden van verwerking (2). Een organisatie mag geen persoonlijke informatie verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor deze is verzameld of waarmee de betrokkene achteraf heeft ingestemd. Voor zover dit voor deze doeleinden noodzakelijk is, moet een organisatie redelijke stappen ondernemen om ervoor te zorgen dat de persoonsgegevens betrouwbaar zijn voor het beoogde gebruik en correct, volledig en actueel zijn. Zolang zij dergelijke informatie bewaart, moet een organisatie de Beginselen in acht nemen.

b)

Informatie mag worden bewaard in een vorm die het individu slechts zolang identificeert of indentificeerbaar maakt (3) als dienstig is voor het doel van verwerking in de zin van punt 5, onder a). Deze verplichting belet organisaties niet om persoonlijke informatie gedurende langere perioden te verwerken voor zolang en voor zover deze verwerking dienstig is ten behoeve van het archiveren in het algemeen belang, journalistiek, literatuur en kunst, wetenschappelijk of historisch onderzoek en statistische analyse. In deze gevallen zijn op deze verwerking de andere Beginselen en bepalingen van het kader van toepassing. Organisaties moeten redelijke en passende maatregelen nemen om aan deze bepaling te voldoen.

6.   Toegang

a)

Particulieren moeten toegang hebben tot de persoonlijke informatie die een organisatie over hen in bezit heeft, en deze informatie, voor zover deze onjuist is of werd verwerkt in strijd met de Beginselen, kunnen corrigeren, wijzigen of verwijderen, tenzij de lasten of de kosten voor het verlenen van toegang niet in verhouding staan tot het risico voor de persoonlijke levenssfeer van de betrokkene, of de rechten van andere personen dan de betrokkene worden geschonden.

7.   Verhaal, handhaving en aansprakelijkheid

a)

Een doeltreffende privacybescherming moet ook krachtige mechanismen omvatten om de naleving van de Beginselen te garanderen, alsmede verhaalsmogelijkheden voor degenen die nadeel ondervinden van de niet-naleving van de Beginselen, en consquenties voor een organisatie die zich niet aan de Beginselen houdt. Deze mechanismen moeten ten minste het volgende omvatten: i) direct beschikbare, onafhankelijke en kosteloze verhaalsmechanismen voor het onderzoek en de snelle afhandeling, aan de hand van de Beginselen, van klachten en geschillen van particulieren en de toekenning van schadevergoedingen wanneer het toepasselijke recht of initiatieven van de particuliere sector hierin voorzien; ii) vervolgprocedures om na te gaan of de attesten en verklaringen van organisaties over hun privacybeleid waar zijn en of het voorgelegde beleid ter zake ook ten uitvoer is gebracht zoals is voorgesteld, met name met betrekking tot gevallen van niet-naleving; en iii) verplichtingen om problemen op te lossen die ontstaan doordat de Beginselen niet worden nageleefd door organisaties die hebben verklaard deze na te leven en consequenties voor dergelijke organisaties. De sancties moeten zwaar genoeg zijn om naleving door de organisaties te garanderen.

b)

Organisaties en hun geselecteerde onafhankelijke verhaalmechanismen zullen onmiddellijk reageren op vragen en informatieverzoeken van het ministerie van Handel in verband met het privacyschild. Alle organisaties moeten snel reageren op klachten over de naleving van de Beginselen die door de autoriteiten van de EU-lidstaten via het ministerie worden ingediend. Organisaties die hebben besloten om samen te werken met de gegevensbeschermingsautoriteiten, met inbegrip van organisaties die personeelsgegevens verwerken, moeten dergelijke autoriteiten direct antwoorden wanneer het om het onderzoek en de afwikkeling van klachten gaat.

c)

Organisaties zijn verplicht klachten aan arbitrage te onderwerpen en de voorwaarden zoals uiteengezet in bijlage I na te leven, op voorwaarde dat de betrokkene door een kennisgeving aan betrokken organisatie en in overeenstemming met de procedures en de voorwaarden van bijlage I een beroep heeft gedaan op bindende arbitrage.

d)

In het kader van een verdere doorgifte is de privacyschildorganisatie verantwoordelijk voor de verwerking van de persoonlijke informatie die zij ontvangt in het kader van het privacyschild en vervolgens doorgeeft aan een derde partij die in haar naam als vertegenwoordiger optreedt. De privacyschildorganisatie blijft aansprakelijk op grond van de Beginselen wanneer haar vertegenwoordiger dergelijke persoonlijke informatie verwerkt op een manier die niet verenigbaar is met de Beginselen, tenzij de organisatie bewijst dat zij niet verantwoordelijk is voor de gebeurtenis die de schade veroorzaakt.

e)

Wanneer jegens een organisatie een FTC- of een rechterlijke beslissing wordt genomen op grond van een niet-naleving, moet de organisatie alle relevante op het privacyschild betrekking hebbende passages in een bij de FTC ingediend nalevings-of beoordelingsverslag openbaar maken, voor zover dat strookt met de vereisten van vertrouwelijkheid. Het ministerie heeft een speciaal contactpunt voor gegevensbeschermingsautoriteiten opgericht voor problemen inzake naleving door privacyschildorganisaties. Het FTC zal verwijzingen inzake niet-naleving van de Beginselen door het ministerie en autoriteiten van EU-lidstaten bij voorrang in overweging nemen, en tijdig informatie over de verwijzing uitwisselen met de autoriteiten van de verwijzende staat, met inachtneming van de bestaande beperkingen inzake vertrouwelijkheid.

III.   AANVULLENDE BEGINSELEN

1.   Gevoelige gegevens

a)

Een organisatie is niet verplicht om de uitdrukkelijke bevestigende toestemming (opt in) te verkrijgen voor gevoelige gegevens, wanneer de verwerking: i) van vitaal belang is voor de betrokkene of voor iemand anders; ii) noodzakelijk is om rechtsvorderingen geldend te maken of om zich tegen een rechtsvordering te verweren; iii) noodzakelijk is voor het verstrekken van medische zorg of het stellen van een diagnose; iv) door een stichting, een vereniging of een andere instelling zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, wordt verricht in het kader van haar rechtmatige activiteiten, mits de verwerking uitsluitend betrekking heeft op de leden van die instelling of op degenen die in verband met haar doelstellingen regelmatig contact met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen aan derden beschikbaar worden gesteld; v) noodzakelijk is met het oog op de uitvoering van de arbeidsrechtelijke verplichtingen van de organisatie; of vi) betrekking heeft op gegevens waarvan duidelijk is dat ze door de betrokkene zelf openbaar zijn gemaakt.

2.   Uitzonderingen voor journalistieke doeleinden

a)

Gezien de in de grondwet van de Verenigde Staten neergelegde bescherming van de persvrijheid en de in de richtlijn neergelegde vrijstelling voor journalistiek materiaal moet, wanneer de rechten van een vrije pers, die zijn opgenomen in het eerste amendement op de grondwet van de Verenigde Staten, botsen met de belangen inzake de privacybescherming, op grond van het eerste amendement ten aanzien van de activiteiten van burgers of organisaties uit de Verenigde Staten een evenwicht tussen deze belangen worden gevonden.

b)

Persoonlijke informatie die wordt verzameld voor publicatie, uitzending of een andere vorm van openbare communicatie van journalistiek materiaal, ook al wordt dit niet gebruikt, en informatie uit eerder gepubliceerd materiaal dat via media-archieven wordt verspreid, is niet onderworpen aan de eisen van de privacyschildbeginselen.

3.   Secundaire aansprakelijkheid

a)

Aanbieders van internetdiensten, telecommunicatiebedrijven of andere organisaties zijn niet aansprakelijk uit hoofde van de privacybeginselen wanneer zij namens een andere organisatie informatie enkel overbrengen, routeren, schakelen of opslaan. Evenmin als de richtlijn zelf voorziet het privacyschild in secundaire aansprakelijkheid. Voor zover een organisatie enkel fungeert als doorgeefluik voor door derde partijen doorgegeven gegevens, zonder de doeleinden van en middelen voor de verwerking van die persoonsgegevens vast te stellen, is zij niet aansprakelijk.

4.   Uitvoeren van due diligence-onderzoek en audits

a)

De activiteiten van accountants en investeringsbankiers kunnen de verwerking van persoonsgegevens met zich brengen zonder dat de betrokkene dit weet of hiervoor toestemming heeft gegeven. Onder de hieronder beschreven omstandigheden is dit volgens de Beginselen van kennisgeving, keuze en toegang toelaatbaar.

b)

Naamloze en besloten vennootschappen, met inbegrip van privacyschildorganisaties, worden regelmatig aan audits onderworpen. Dergelijke audits, met name die waarbij naar mogelijke onrechtmatigheden wordt gezocht, kunnen in gevaar komen als zij voortijdig bekendgemaakt worden. Zo zal ook een privacyschildorganisatie die betrokken is bij een mogelijke fusie of overname een „due diligence”-onderzoek moeten uitvoeren of ondergaan. Dit zal vaak leiden tot de verzameling en verwerking van persoonsgegevens, zoals informatie over het hoger management en ander belangrijk personeel. Een te vroege bekendmaking zou de transactie kunnen belemmeren of zelfs toepasselijke effectenregelgeving kunnen schenden. Investeringsbankiers en advocaten die zich bezighouden met diligence, of accountants die een audit uitvoeren, mogen alleen informatie verwerken zonder dat de betrokkene hiervan op de hoogte is voor zover, en gedurende de periode waarin, dit in verband met wettelijke verplichtingen of het openbaar belang noodzakelijk is, alsmede onder omstandigheden waarin toepassing van deze Beginselen de legitieme belangen van de organisatie zou schaden. Deze legitieme belangen omvatten het toezicht op de naleving door organisaties van hun wettelijke verplichtingen en wettelijk toegestane boekhoudactiviteiten, alsmede de noodzakelijke vertrouwelijkheid in verband met mogelijke aankopen, fusies, joint ventures of andere soortgelijke transacties uitgevoerd door investeringsbankiers of accountants.

5.   De rol van de gegevensbeschermingsautoriteiten

a)

Organisaties zullen hun toezeggingen om met de gegevensbeschermingsautoriteiten van de Europese Unie samen te werken zoals hieronder beschreven gestand doen. In het kader van het privacyschild zijn organisaties uit de Verenigde Staten die persoonsgegevens uit de Europese Unie ontvangen, verplicht effectieve mechanismen aan te wenden om de naleving van de privacyschildbeginselen te waarborgen. Meer bepaald moeten de deelnemende organisaties, zoals uiteengezet in het Beginsel inzake verhaal, handhaving en aansprakelijkheid voorzien in: (a)(i) verhaalsmogelijkheden voor degenen op wie de gegevens betrekking hebben; (a)(ii) vervolgprocedures om na te gaan of de attesten en verklaringen die zij over hun beleid inzake de privacybescherming hebben afgegeven, waar zijn; en (a)(iii) verplichtingen om problemen op te lossen die ontstaan doordat organisaties de Beginselen niet naleven, en consequenties hiervan voor dergelijke organisaties. Een organisatie kan aan de punten (a)(i) en (a)(iii), van het Beginsel inzake verhaal, handhaving en aansprakelijkheid voldoen, indien zij zich houdt aan de hier genoemde vereisten voor de samenwerking met de gegevensbeschermingsautoriteiten.

b)

Een organisatie verplicht zich ertoe met de gegevensbeschermingsautoriteiten samen te werken door bij de indiening van haar zelfcertificering inzake het privacyschild bij het ministerie van Handel te verklaren (zie het aanvullend Beginsel inzake zelfcertificering) dat zij: i) ervoor kiest aan de verplichtingen van de punten (a)(i) en (a)(iii), van het privacyschildbeginsel inzake verhaal, handhaving en aansprakelijkheid te voldoen door te beloven met de gegevensbeschermingsautoriteiten samen te werken; ii) met de gegevensbeschermingsautoriteiten zal samenwerken bij het onderzoek en de oplossing van klachten die in het kader van het privacyschild worden ingediend; en iii) gevolg zal geven aan elk door de gegevensbeschermingsautoriteiten verstrekt advies als deze van oordeel zijn dat de organisatie specifieke maatregelen moet nemen om aan de privacyschildbeginselen te voldoen, daaronder begrepen corrigerende en compenserende maatregelen ten gunste van personen die schade ondervinden door niet-naleving van de Beginselen, en de gegevensbeschermingsautoriteiten schriftelijk zal bevestigen dat dergelijke maatregelen zijn genomen.

c)

Functioneren van panels van gegevensbeschermingsautoriteiten i) De gegevensbeschermingsautoriteiten zullen op de volgende wijze hun medewerking verlenen in de vorm van informatie en advies: 1. Het advies van de gegevensbeschermingsautoriteiten zal worden verstrekt via een informeel Europees panel van gegevensbeschermingsautoriteiten, dat onder meer zal helpen een geharmoniseerde en samenhangende aanpak te waarborgen. 2. Het panel zal aan de betrokken organisaties uit de Verenigde Staten advies uitbrengen over onopgeloste klachten van personen over de behandeling van persoonlijke informatie die vanuit de Europese Unie in het kader van het privacyschild is doorgegeven. Dit advies zal zo zijn opgesteld dat ervoor wordt gezorgd dat de privacyschildbeginselen correct worden toegepast en het zal de rechtsmiddelen voor de betrokkene(n) noemen die volgens de gegevensbeschermingsautoriteiten passend zijn. 3. Het panel zal dit advies uitbrengen naar aanleiding van verwijzingen door de betrokken organisaties en/of van rechtstreeks van personen ontvangen klachten tegen organisaties die zich ertoe verplicht hebben om in het kader van de privacyschilddoelstellingen met de gegevensbeschermingsautoriteiten samen te werken. Het zal deze personen in eerste instantie aanmoedigen gebruik te maken van eventueel door de organisatie aangeboden interne regelingen voor de behandeling van klachten en hen hierbij zo nodig helpen. 4. Het panel zal pas advies uitbrengen nadat beide partijen in een geschil een redelijke kans hebben gekregen om commentaar te geven en alle gewenste bewijzen te leveren. Het zal proberen dit advies zo snel te geven als een eerlijke rechtsgang toelaat. In de regel zal het panel ernaar streven advies te verstrekken binnen 60 dagen na ontvangst van een klacht of verwijzing en zo mogelijk sneller. 5. Het panel zal de resultaten van zijn onderzoek van ingediende klachten openbaar maken als het dit gepast acht. 6. Het panel en de afzonderlijke gegevensbeschermingsautoriteiten zijn in generlei opzicht aansprakelijk voor het advies dat het panel geeft. ii) Zoals hierboven vermeld, moeten Organisaties die deze optie voor de oplossing van geschillen kiezen, zich ertoe verplichten gevolg te geven aan het advies van de gegevensbeschermingsautoriteiten. Als een organisatie niet binnen 25 dagen nadat een advies is uitgebracht, gevolg geeft aan dit advies en hiervoor geen bevredigende verklaring geeft, zal het panel kennis geven van zijn voornemen om hetzij — in gevallen van bedrog of onjuiste verklaringen — de zaak voor te leggen aan de Federal Trade Commission, het ministerie van Vervoer of een andere instantie op federaal of staatsniveau met wettelijke bevoegdheden om dwangmaatregelen te nemen, hetzij te concluderen dat de samenwerkingsovereenkomst ernstig is geschonden en bijgevolg nietig is. In het laatste geval zal het panel het ministerie van Handel hiervan op de hoogte brengen zodat de privacyschildlijst dienovereenkomstig kan worden gewijzigd. Elke niet-nakoming van de verplichting om met de gegevensbeschermingsautoriteiten samen te werken, alsmede elke niet-naleving van de privacyschildbeginselen kan op grond van sectie 5 van de FTC-wet of andere soortgelijke wetten als misleidende praktijk worden vervolgd.

d)

Een organisatie die wil dat haar privacyschildbepalingen van toepassing zijn op personeelsgegevens die vanuit de EU zijn doorgegeven in het kader van een arbeidsverhouding, moet zich ertoe verplichten om met de gegevensbeschermingsautoriteiten samen te werken in verband met dergelijke gegevens (zie het aanvullend Beginsel inzake personeelsgegevens).

e)

Organisaties die deze mogelijkheid kiezen, betalen een jaarlijkse vergoeding ter dekking van de administratieve kosten van het panel. Wanneer het panel verwijzingen of klachten tegen de betrokken organisatie in overweging neemt, kan het bovendien een vergoeding van de kosten van eventueel noodzakelijke vertalingen verlangen. De jaarlijkse vergoeding bedraagt maximaal 500 USD, maar zal lager zijn voor kleinere ondernemingen.

6.   Zelfcertificering

a)	De voordelen van het privacyschild zijn gegarandeerd vanaf de datum waarop het ministerie op de privacyschildlijst heeft vermeld dat de zelfcertificering is ingediend, na te hebben geoordeeld dat de indiening volledig is.

b)

Voor zelfcertificering in het kader van het privacyschild moet een organisatie bij het ministerie een zelfcertificering indienen, die door een directielid is ondertekend namens de organisatie die tot het privacyschild toetreedt en die ten minste de volgende informatie bevat: i) naam van de organisatie, postadres, e-mailadres, telefoon-en fax; ii) beschrijving van de activiteiten van de organisatie met betrekking tot de persoonslijke informatie die zij uit de EU ontvangt; en iii) beschrijving van het privacybeleid van de organisatie ten aanzien van dergelijke persoonlijke informatie, waaronder: 1. indien de organisatie een publiek toegankelijke website heeft, het desbetreffende internetadres waar het privacybeleid beschikbaar is, of indien de organisatie geen publiek toegankelijke website heeft, de mededeling waar het publiek het privacybeleid kan inzien; 2. de datum van inwerkingtreding; 3. een instantie waartoe men zich kan wenden voor de behandeling van klachten, verzoeken om toegang en alle andere kwesties die zich voordoen in het kader van het privacyschild; 4. de officiële instantie die bevoegd is om tegen de organisatie ingediende claims in verband met eventuele oneerlijke of misleidende praktijken en schendingen van wetten of regelingen betreffende de privacybescherming te behandelen (en die wordt vermeld in de bijlage van de Beginselen of een toekomstige bijlage van de Beginselen); 5. de naam van privacyprogramma's waaraan de organisatie deelneemt; 6. de wijze van controle (bijv., intern, door derden) (zie het aanvullend Beginsel inzake verificatie); en 7. het onafhankelijk verhaalsmechanisme dat onopgeloste klachten kan onderzoeken.

c)

Als een organisatie wil dat personeelsgegevens die vanuit de Europese Unie in het kader van een arbeidsverhouding zijn doorgegeven, eveneens onder de voordelen van het privacyschild vallen, kan zij dit bewerkstelligen indien een in de bijlage of toekomstige bijlage van de Beginselen vermelde officiële instantie bevoegd is om tegen de organisatie ingebrachte klachten in verband met de verwerking van personeelsgegevens te behandelen. Bovendien moet de organisatie dit bij de indiening van haar zelfcertificering aangeven en verklaren zich ertoe te verplichten samen te werken met de EU-autoriteiten of de betrokken autoriteiten in overeenstemming met de aanvullende Beginselen inzake personeelsgegevens en de rol van de gegevensbeschermingsautoriteiten, waar van toepassing, en dat zij de adviezen van deze autoriteiten zal naleven. De organisatie moet het ministerie ook een kopie verstrekken van haar privacybeleid inzake personeelsbeheer en meedelen waar het privacybeleid door de betrokken werknemers kan worden ingezien.

d)

Het ministerie zal een privacyschildlijst bijhouden van organisaties die volledige zelfcertificeringen hebben ingediend en zo in het genot komen van de voordelen van het privacyschild, en de lijst bijwerken aan de hand van jaarlijkse hercertificeringen en kennisgevingen die worden ontvangen ingevolge het aanvullend Beginsel inzake geschillenbeslechting en handhaving. Dergelijke zelfcertificeringen moeten minstens een keer per jaar worden ingediend; zo niet dan wordt de organisatie van de privacyschildlijst verwijderd en zijn de voordelen van het privacyschild niet langer gegarandeerd. Zowel de privacylijst als de door de organisaties ingediende zelfcertificeringen zullen voor het publiek toegankelijk worden gemaakt. Alle organisaties die door het ministerie op de privacyschildlijst zijn geplaatst, moeten in de verklaringen die zij publiceren over hun privacybeleid ook aangeven dat zij de privacyschildbeginselen onderschrijven. In het privacybeleid van een organisatie moet, indien dat online beschikbaar is, een link staan naar de privacywebsite van het ministerie en een link naar de website of het klachtenformulier van het onafhankelijke verhaalsmechanisme dat beschikbaar is voor het onderzoeken van onopgeloste klachten.

e)

De privacybeginselen zijn onmiddellijk na de certificering van toepassing. Gelet op het feit dat de Beginselen invloed zullen hebben op de commerciële betrekkingen met derde partijen, moeten organisaties die door middel van certificering aan het privacyschildkader deelnemen in de eerste twee maanden na de datum van inwerkingtreding van het kader de bestaande commerciële relaties met derde partijen in overeenstemming brengen met het Beginsel van de aansprakelijkheid voor verdere doorgifte, en dat zo spoedig mogelijk en in elk geval uiterlijk negen maanden na de datum waarop zij door middel van certificering aan het privacyschild deelnemen. In die tussenliggende periode moeten organisaties wanneer zij gegevens aan een derde doorgeven i) het kennisbeginsel en het keuzebeginsel toepassen, en ii), wanneer persoonsgegevens worden doorgegeven aan een derde die als vertegenwoordiger optreedt, zich ervan vergewissen dat de vertegenwoordiger verplicht is ten minste hetzelfde beschermingsniveau te bieden als door de Beginselen wordt vereist.

f)

Een organisatie moet op alle vanuit de EU op basis van het privacyschild ontvangen persoonsgegevens de privacyschildbeginselen toepassen. Voor persoonsgegevens die worden ontvangen tijdens de periode waarin de organisatie de voordelen van het privacyschild geniet, is de verplichting de privacyschildbeginselen na te leven niet in de tijd beperkt. Deze Beginselen blijven op die gegevens van toepassing zolang de organisatie ze opslaat, gebruikt of openbaar maakt, zelfs indien de organisatie nadien om enigerlei reden niet langer aan het privacyschild deelneemt. Een organisatie die niet langer deelneemt aan het privacyschild, maar dergelijke gegevens wenst te behouden, moet jaarlijks aan het ministerie bevestigen dat zij zich ertoe verbindt de Beginselen te zullen blijven naleven of op een andere geautoriseerde wijze „passende” bescherming voor de informatie bieden (bijvoorbeeld met behulp van een overeenkomst die de voorschriften van de door de Commissie vastgestelde relevante modelcontractbepalingen volledig weergeeft); anders moet de organisatie de informatie terugsturen of wissen. Een organisatie die niet langer deelneemt aan het privacyschild moet waar relevant, in haar privacybeleid alle verwijzingen naar het privacyschild verwijderen die de indruk wekken dat ze nog steeds actief deelneemt aan privacyschild en recht heeft op de voordelen ervan.

g)

Een organisatie die ten gevolge van een fusie of overname haar rechtspersoonlijkheid als zelfstandige onderneming zal verliezen, moet het ministerie hiervan vooraf in kennis stellen. In deze kennisgeving moet ook worden vermeld of de overnemende onderneming of de onderneming die door de fusie ontstaat i) op grond van de wetgeving die op de overname of fusie van toepassing is, nog steeds verplicht is zich aan de privacyschildbeginselen te houden of ii) verkiest de privacyschildbeginselen zelf te onderschrijven of andere garanties biedt, zoals een schriftelijke verklaring dat zij de privacyschildbeginselen zal naleven. Als noch i), noch ii) van toepassing is, moeten alle persoonsgegevens die in het kader van het privacyschild zijn verkregen, onmiddellijk worden verwijderd.

h)

Wanneer een organisatie om welke reden dan ook niet langer aan het privacyschild deelneemt, moet zij alle verklaringen verwijderen waarmee wordt gesuggereerd dat zij aan het privacyschild blijft deelnemen of recht heeft op de voordelen ervan. Het EU-VS-privacyschildkeurmerk, indien gebruikt, moeten eveneens worden geschrapt. De FTC of een andere bevoegde overheidsinstantie kan actie ondernemen tegen iedere onjuiste verklaring aan het grote publiek met betrekking tot de naleving van de privacybeginselen door een organisatie. In geval van onjuiste verklaringen tegenover het ministerie kan vervolging worden ingesteld op grond van de False Statements Act (18 U.S.C. § 1001).

7.   Controle

a)

Organisaties moeten in vervolgprocedures voorzien om na te gaan of de attesten en verklaringen die zij over hun beleid inzake privacybescherming in het kader van het privacyschild afleggen, waar zijn en of dit beleid is uitgevoerd zoals het is voorgesteld en of het beantwoordt aan de privacyschildbeginselen.

b)	Teneinde aan de controle-eisen van het Beginsel inzake verhaal, handhaving en aansprakelijkheid te voldoen, moet een organisatie de naleving van dergelijke attesten en verklaringen door middel van zelfbeoordeling of door externe nalevingscontroles nagaan.

c)

Bij de zelfbeoordelingsmethode moet uit de controle blijken dat het gepubliceerde privacybeleid van een organisatie inzake uit de Europese Unie ontvangen persoonlijke informatie zorgvuldig en allesomvattend is, duidelijk wordt bekendgemaakt, volledig wordt uitgevoerd en toegankelijk is. Voorts moet blijken dat dit beleid in overeenstemming is met de privacyschildbeginselen, dat particulieren in kennis worden gesteld van interne regelingen voor de behandeling van klachten en van de onafhankelijke mechanismen om klachten in te dienen, dat de organisatie haar werknemers opleidt op het gebied van de uitvoering van het beleid en dat er disciplinaire maatregelen tegen hen worden genomen indien zij dit beleid niet volgen, en dat er voorts interne procedures zijn om periodiek objectief na te gaan of het bovenstaande ook wordt nageleefd. Een verklaring ter controle van de zelfbeoordeling moet minstens eens per jaar door een directielid of een andere daartoe bevoegde vertegenwoordiger van de organisatie worden ondertekend en op verzoek aan particulieren of in het kader van een onderzoek of een klacht wegens niet-naleving ter beschikking worden gesteld.

d)

Indien de organisatie voor een externe controle van de naleving heeft gekozen, moet hieruit blijken dat het beleid inzake privacybescherming met betrekking tot uit de Europese Unie ontvangen persoonlijke informatie in overeenstemming is met de privacyschildbeginselen, dat het beleid wordt nageleefd en dat particulieren in kennis worden gesteld van de mechanismen om klachten in te dienen. De controlemethoden mogen zonder beperking audits, steekproeven, het gebruik van „valstrikken” of het gebruik van technologische middelen omvatten. Een verklaring omtrent de uitvoering van de externe controle moet eens per jaar door de controleur of een directielid of een andere daartoe bevoegde vertegenwoordiger van de organisatie worden ondertekend en op verzoek aan particulieren of in het kader van een onderzoek of een klacht wegens niet-naleving ter beschikking worden gesteld.

e)

Organisaties moeten hun informatiebestanden over de tenuitvoerlegging van hun beleid inzake de bescherming van de privacy in het kader van het privacyschild bewaren en deze bij een onderzoek of een klacht wegens niet-naleving op verzoek ter beschikking stellen aan het onafhankelijke orgaan dat met het onderzoek van klachten belast is of aan de instantie die oneerlijke en misleidende praktijken moet onderzoeken. Ook moeten organisaties onmiddellijk reageren op vragen en andere informatieverzoeken van het ministerie in verband met de onderschrijving door de organisatie van de Beginselen.

8.   Toegang

a)   Het Beginsel van toegang in de praktijk

i)

Volgens de privacyschildbeginselen is het recht van toegang fundamenteel voor de privacybescherming. Met name geeft dit recht de betrokkene de mogelijkheid om de juistheid van de informatie die over hem wordt bijgehouden, na te gaan. Het Beginsel van toegang houdt in dat natuurlijke personen het recht hebben om: 1. van een organisatie een bevestiging te ontvangen of de organisatie al dan niet persoonsgegevens verwerkt die op hen betrekking hebben (4); 2. dergelijke gegevens aan hen te doen meedelen opdat zij kunnen controleren of zij nauwkeurig zijn en de verwerking ervan rechtmatig is; en 3. de gegevens te laten corrigeren, wijzigen of schrappen wanneer ze niet nauwkeurig zijn of werden verwerkt in strijd met de Beginselen.

ii)

Particulieren behoeven een verzoek om toegang tot hun eigen gegevens niet te motiveren. Organisaties moeten zich bij hun reactie op een verzoek van een particulier om toegang om te beginnen afvragen waarom de betrokkene zijn verzoek heeft ingediend. Indien een verzoek bijvoorbeeld in vage of algemene bewoordingen is gesteld, kan de organisatie beter een dialoog met de betrokkene aangaan om de achterliggende reden voor het verzoek beter te begrijpen, om aldus vast te stellen welke informatie relevant is. De organisatie kan bijvoorbeeld nagaan met welke afdeling(en) van de organisatie de betrokkene contact heeft gehad of voor welk soort informatie of gebruik daarvan toegang wordt gevraagd.

iii)

Gezien het fundamentele karakter van toegang, mogen organisaties de toegang nooit zonder meer beperken. Als bijvoorbeeld bepaalde informatie moet worden beschermd, maar probleemloos kan worden gescheiden van andere persoonlijke informatie waarvoor toegang is gevraagd, moet de organisatie de beschermde informatie bewerken en de andere informatie beschikbaar stellen. Indien een organisatie besluit dat de toegang in een bepaald geval moet worden beperkt, dient zij de betrokkene die om toegang verzoekt uit te leggen waarom zij tot dit besluit is gekomen en een contactadres op te geven waar de betrokkene met vragen terecht kan.

b)   Lasten of kosten inzake het verschaffen van toegang

i)

Het recht op toegang tot persoonsgegevens kan in uitzonderlijke omstandigheden worden beperkt en wel indien de wettelijke rechten van andere personen dan de betrokkene zouden worden geschonden of wanneer de aan het verschaffen van toegang verbonden lasten en kosten onevenredig zouden zijn gelet op de risico's in de zaak in kwestie voor de privacy van de betrokkene. Kosten en lasten zijn belangrijke factoren die in overweging moeten worden genomen, maar zij zijn geen doorslaggevende factoren bij een beslissing over de redelijkheid van toegang.

ii)

Indien de persoonlijke informatie bijvoorbeeld gebruikt wordt voor beslissingen die voor de betrokkene van groot belang zijn (zoals het weigeren of toekennen van belangrijke voordelen, zoals een verzekering, een hypotheek of een baan), dan moet de organisatie, in overeenstemming met de andere bepalingen van deze aanvullende Beginselen, deze informatie ter beschikking stellen, ook al is dit vrij moeilijk of duur. Indien de gevraagde persoonlijke informatie niet gevoelig is of niet wordt gebruikt voor beslissingen die voor de betrokkene van groot belang zijn, maar meteen beschikbaar is en zonder noemenswaardige kosten kan worden gegeven, dan moet de organisatie toegang tot dergelijke informatie verlenen.

c)   Vertrouwelijke commerciële informatie

i)

Vertrouwelijke commerciële informatie is informatie die door een organisatie tegen openbaarmaking wordt beschermd en waarvan de openbaarmaking concurrenten op de markt zou helpen. Organisaties kunnen de toegang tot informatie ontzeggen of beperken voor zover het verlenen van volledige toegang zou leiden tot onthulling van hun eigen vertrouwelijke commerciële informatie, zoals door de organisatie opgestelde marketingconclusies of classificaties, of van de vertrouwelijke commerciële informatie van een andere organisatie waarop een contractuele geheimhoudingsplicht van toepassing is.

ii)	Wanneer het mogelijk is vertrouwelijke commerciële informatie probleemloos te scheiden van andere persoonlijke informatie waarvoor toegang is gevraagd, moet de organisatie de vertrouwelijke commerciële informatie bewerken en de niet-vertrouwelijke informatie beschikbaar stellen.

d)   Organisatie van databanken

i)	Toegang kan worden verleend doordat een organisatie de betrokken persoon de betreffende persoonlijke informatie ter beschikking stelt en vereist niet dat de betrokken persoon toegang krijgt tot de databank van een organisatie.

ii)	Een organisatie behoeft alleen toegang tot door haar opgeslagen persoonlijke informatie te verlenen. Het toegangsbeginsel houdt geen verplichting in om bestanden met persoonlijke informatie te bewaren, te onderhouden, te reorganiseren of te herstructureren.

e)   Wanneer kan de toegang worden beperkt

i)

Aangezien organisaties zich altijd te goeder trouw moeten inspannen om natuurlijke personen toegang tot hun persoonsgegevens te geven, is er maar een bepaald aantal situaties waarin zij een dergelijke toegang mogen beperken en moeten er concrete redenen voor een dergelijke beperking zijn. Net zoals in het kader van de richtlijn kan een organisatie toegang tot informatie beperken, wanneer belangrijke openbare belangen, zoals de nationale of openbare veiligheid, of de defensie hiermee in strijd zijn. Indien persoonlijke informatie uitsluitend wordt verwerkt voor statistische of onderzoeksdoeleinden kan de toegang eveneens worden geweigerd. Andere redenen om de toegang te weigeren of te beperken zijn: 1. de openbaarmaking belemmert de uitvoering of de handhaving van de wet of van civielrechtelijke procedures, inclusief het voorkomen, onderzoeken of opsporen van misdrijven, of van het recht op een eerlijk proces; 2. de openbaarmaking schendt de legitieme rechten of gewichtige belangen van anderen; 3. de openbaarmaking schendt beroepsrechten of -plichten die al dan niet voortvloeien uit de wet; 4. de openbaarmaking conflicteert met veiligheidsonderzoeken of klachtenprocedures waarbij werknemers zijn betrokken of in verband met personeelsbeleid en bedrijfsherstructureringen; of 5. aantasting van de geheimhouding die noodzakelijk is voor toezichthoudende of regulerende taken in verband met een gezond beheer of bij toekomstige of lopende onderhandelingen met betrekking tot de organisatie.

ii)	Een organisatie die zich op een uitzondering beroept, moet aantonen dat die uitzondering noodzakelijk is en aan betrokkenen de redenen voor het beperken van de toegang meedelen alsook een contactadres opgeven waar zij met verdere vragen terecht kunnen.

f)   Het recht om een bevestiging te krijgen en de kosten in rekening te brengen voor het verlenen van toegang

i)

Een natuurlijk persoon heeft het recht om een bevestiging te verkrijgen of een organisatie al of niet persoonsgegevens over hem heeft. Een natuurlijk persoon heeft er eveneens recht op dat haar of hem de haar of hem betreffende persoonsgegevens worden meegedeeld. Een organisatie mag alleen een vergoeding vragen die niet buitensporig is.

ii)	Het vragen van een vergoeding kan bijvoorbeeld gerechtvaardigd zijn wanneer verzoeken om toegang kennelijk buitensporig zijn, met name vanwege hun repetitief karakter.

iii)	De toegang kan niet op grond van de kosten worden geweigerd als de betrokkene aanbiedt deze kosten te betalen.

g)   Repetitieve of vexatoire verzoeken om toegang

Een organisatie kan het aantal keren dat binnen een bepaalde periode aan verzoeken van een bepaalde persoon gevolg wordt gegeven, binnen redelijke grenzen beperken. Bij het vaststellen van deze beperkingen moet een organisatie rekening houden met factoren als de frequentie waarmee de informatie wordt bijgewerkt, het doel waarvoor de gegevens worden gebruikt en de aard van de informatie.

h)   Frauduleuze verzoeken om toegang

Een organisatie behoeft alleen toegang te verlenen wanneer het verzoek gepaard gaat met voldoende informatie om haar in staat te stellen de identiteit van de verzoeker vast te stellen.

i)   Tijdschema voor reacties

Op verzoeken om toegang moeten organisaties reageren binnen een redelijke termijn, op een redelijke wijze en in een vorm die voor de betrokken eenvoudig te begrijpen is. Een organisatie die met regelmaat informatie aan de betrokkenen verstrekt, kan aan een individueel verzoek om toegang voldoen via deze regelmatige openbaarmaking mits dat geen buitensporige vertraging met zich brengt.

9.   Personeelsgegevens

a)   Dekking door het privacyschild

i)

Wanneer een organisatie in de EU persoonlijke informatie over zijn (voormalige of huidige) werknemers, die zij in het kader van een arbeidsverhouding heeft verzameld, doorgeeft aan een moederorganisatie, dochterorganisatie of een niet-geaffilieerde dienstverlener in de Verenigde Staten die aan het privacyschild deelneemt, zijn de privacyschildbeginselen op deze doorgifte van toepassing. In deze gevallen was de nationale wetgeving van het EU-land waar de informatie werd verzameld, van toepassing op het verzamelen en verwerken van de doorgegeven informatie, zodat alle voorwaarden voor of restricties van de doorgifte die deze wetgeving stelt, in acht moeten worden genomen.

ii)

De privacyschildbeginselen zijn alleen van toepassing wanneer bestanden over individueel bepaalde of bepaalbare personen worden doorgegeven of toegankelijk worden gemaakt. Statistische informatie die berust op geaggregeerde personeelsgegevens en geen persoonsgegevens bevat of het gebruik van geanonimiseerde gegevens, geeft geen aanleiding tot problemen in verband met de bescherming van de persoonlijke levenssfeer.

b)   Toepassing van het kennisgevingsbeginsel en het keuzebeginsel

i)

Een organisatie in de Verenigde Staten die in het kader van het privacyschild personeelsgegevens uit de Europese Unie heeft ontvangen, mag deze informatie alleen in overeenstemming met het kennisgevings-en het keuzebeginsel aan derden bekendmaken of voor andere doeleinden gebruiken. Wanneer een organisatie in de Verenigde Staten bijvoorbeeld van plan is persoonlijke informatie die in het kader van een arbeidsverhouding is verzameld, te gebruiken voor doeleinden die niet met de arbeidsrelatie te maken hebben, zoals commerciële mededelingen, moet zij de betrokkenen vooraf de vereiste keuze laten, tenzij deze al toestemming hadden gegeven om de informatie voor dergelijke doeleinden te gebruiken. Een dergelijk gebruik mag niet onverenigbaar zijn met de doeleinden waarvoor de persoonlijke informatie is verzameld of waarmee de betrokkene achteraf heeft ingestemd. Bovendien mag hun keuze niet van invloed zijn op de carrièremogelijkheden van de werknemers en mag deze ook geen strafmaatregelen tot gevolg hebben.

ii)	Voor sommige EU-lidstaten geldt dat bepaalde algemeen geldende voorwaarden voor doorgifte een ander gebruik van dergelijke informatie uitsluit, zelfs wanneer de informatie naar een land buiten de Europese Unie is doorgegeven. Dergelijke voorwaarden moeten worden nageleefd.

iii)

Voorts moeten werkgevers zich redelijkerwijs inspannen om aan de wensen van hun werknemers inzake de bescherming van hun privacy tegemoet te komen. Zij kunnen bijvoorbeeld de toegang tot persoonsgegevens beperken, sommige gegevens anonimiseren of codes of pseudoniemen gebruiken wanneer de echte namen in het onderhavige geval niet nodig zijn voor beleidsdoeleinden.

iv)

Voor zover en zolang het noodzakelijk is om te voorkomen dat afbreuk wordt gedaan aan de mogelijkheid van een organisatie om besluiten inzake bevorderingen of benoemingen of andere besluiten ten aanzien van de werknemers te nemen, hoeft een organisatie het kennis- en het keuzebeginsel niet toe te passen.

c)   Toepassing van het toegangbeginsel

Het aanvullende toegangbeginsel verschaft richtsnoeren ten aanzien van de redenen op grond waarvan verzoeken om toegang tot personeelsgegevens kunnen worden afgewezen dan wel de toegang tot deze gegevens kan worden beperkt. Het spreekt vanzelf dat werkgevers in de Europese Unie er overeenkomstig de wetgeving van hun land voor moeten zorgen dat hun werknemers in de Europese Unie toegang hebben tot dergelijke informatie, ongeacht de plaats waar de gegevens worden verwerkt en opgeslagen. Overeenkomstig de privacyschildbeginselen moet een organisatie die dergelijke gegevens in de Verenigde Staten verwerkt, deze toegang direct of via de werkgever in de Europese Unie verlenen.

d)   Handhaving

i)

Voor zover persoonlijke informatie alleen in het kader van een arbeidsverhouding wordt gebruikt, ligt de primaire verantwoordelijkheid voor de gegevens ten opzichte van de werknemer bij de organisatie in de EU. Hieruit volgt dat Europese werknemers die over schendingen van hun rechten inzake gegevensbescherming klagen en niet tevreden zijn met de resultaten van interne controle-, klachten- en beroepsprocedures (of elke andere toepasselijke klachtenprocedure in het kader van een overeenkomst met een vakbond), zich moeten wenden tot de bevoegde deelstaat- of nationale gegevensbeschermingsautoriteit of arbeidsrechtbank in het rechtsgebied waar zij werken. Dit geldt ook voor gevallen waarin het beweerde misbruik van de persoonlijke informatie onder de verantwoordelijkheid valt van de organisatie in de Verenigde Staten die de informatie van de werkgever heeft ontvangen. In dergelijke gevallen gaat het dus om een schending van de privacyschildbeginselen. Dit is de efficiëntste manier om een oplossing te vinden voor de elkaar vaak overlappende rechten en verplichtingen uit hoofde van de lokale arbeidswetgeving en arbeidsovereenkomsten en de wetgeving inzake gegevensbescherming.

ii)

Een aan het privacyschild deelnemende organisatie in de Verenigde Staten die gebruikmaakt van in het kader van een arbeidsverhouding vanuit de Europese Unie doorgegeven gegevens over personeel in de Europese Unie en die wil dat dergelijke doorgiften onder het privacyschild vallen, moet zich er dus toe verplichten mee te werken aan onderzoeken van de bevoegde autoriteiten in de Europese Unie en hun advies in dergelijke gevallen op te volgen.

e)   Toepassing van het Beginsel van de aansprakelijkheid voor verdere doorgifte

Voor incidentele arbeidsgerelateerde operationele behoeften van de privacyschildorganisatie ten aanzien van in het kader van het privacyschild doorgegeven persoonsgegevens, zoals de boeking van een vlucht of een hotelkamer, of het afsluiten van een verzekering, kan de doorgifte van persoonsgegevens van een klein aantal werknemers aan verwerkingsverantwoordelijken plaatsvinden zonder het toegangsbeginsel toe te passen of een overeenkomst te sluiten met een derde verwerkingsverantwoordelijke, zoals anders vereist is op grond van het Beginsel van aansprakelijkheid voor verdere doorgifte, mits de privacyschildorganisatie het kennisgevingsbeginsel en het keuzebeginsel in acht heeft genomen.

10.   Verplichte overeenkomsten voor verdere doorgifte

a)   Gegevensverwerkingsovereenkomsten

i)	Wanneer persoonsgegevens alleen om ze te laten verwerken uit de Europese Unie naar de Verenigde Staten worden doorgegeven, is een overeenkomst vereist, ongeacht of de verwerker aan het privacyschild deelneemt.

ii)

De voor de verwerking verantwoordelijken in Europa moeten altijd een overeenkomst sluiten wanneer gegevens alleen voor verwerking worden doorgegeven, ongeacht of dit binnen de Europese Unie of daarbuiten gebeurt en ongeacht of de verwerker deelneemt aan het privacyschild. Het doel van de overeenkomst is ervoor te zorgen dat de verwerker: 1. slechts volgens instructies van de verwerkingsverantwoordelijke handelt; 2. passende technische en organisatorische veiligheidsmaatregelen treft om persoonsgegevens te beschermen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, verlies, vervalsing of niet-toegelaten verspreiding of toegang, en begrijpt of verdere doorgifte toegelaten is; en, 3. rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke bijstaat bij het antwoorden van de personen die hun rechten uit hoofde van de Beginselen uitoefenen.

iii)

Aangezien door de privacyschilddeelnemers passende bescherming wordt verleend, is er voor overeenkomsten met privacyschilddeelnemers die alleen de verwerking van gegevens ten doel hebben, geen voorafgaande toestemming nodig (of deze toestemming wordt automatisch door de EU-lidstaten verleend), hetgeen voor overeenkomsten met ontvangers die niet aan het privacyschild deelnemen of die geen passende bescherming bieden, wel vereist is.

b)   Doorgifte binnen een gecontroleerde groep van ondernemingen of entiteiten

Wanneer persoonlijke informatie wordt doorgegeven tussen twee verwerkingsverantwoordelijken binnen een gecontroleerde groep van ondernemingen of entiteiten, is een overeenkomst in het kader van het Beginsel van aansprakelijkheid voor verdere doorgifte niet altijd nodig. Voor de verwerking verantwoordelijken binnen een gecontroleerde groep van ondernemingen of entiteiten kunnen een dergelijke doorgifte baseren op andere instrumenten, zoals bindende EU-bedrijfsvoorschriften of andere intragroepsinstrumenten (bv. nalevings- en controle programma's), waarmee de voortzetting van de bescherming van persoonlijke informatie in het kader van de privacyschildbeginselen wordt gegarandeerd. In geval van een dergelijke doorgifte blijft de privacyschildorganisatie verantwoordelijk voor de naleving van de privacyschildbeginselen.

c)   Doorgifte tussen verwerkingsverantwoordelijken

Voor doorgifte tussen verwerkingsverantwoordelijken hoeft de ontvangende verwerkingsverantwoordelijke geen privacyschildorganisatie te zijn en niet te beschikken over een onafhankelijk verhaalsmechanisme. De privacyschildorganisatie moet een overeenkomst sluiten met de ontvangende derde verwerkingsverantwoordelijke, die dezelfde mate van bescherming biedt als beschikbaar is in het kader van het privacyschild, waarbij het niet vereist is dat de derde verwerkingsverantwoordelijke een privacyschildorganisatie is of beschikt over een onafhankelijke beroepsmechanisme, mits hij een gelijkwaardig mechanisme ter beschikking stelt.

11.   Geschillenbeslechting en handhaving

a)   Het Beginsel van verhaal, handhaving en aansprakelijkheid stelt de eisen vast waaraan handhaving van het privacyschild moet voldoen. Hoe aan de eisen van punt (a) (ii) van het Beginsel moet worden voldaan, wordt uiteengezet in het aanvullend beginsel inzake controle. Dit aanvullend Beginsel heeft betrekking op de punten (a)(i) en (a)(iii), die beide onafhankelijke verhaalsmechanismen vereisen. Deze mechanismen kunnen verschillende vormen aannemen, maar moeten voldoen aan de eisen van het Beginsel van verhaal, handhaving en aansprakelijkheid. Op de volgende wijze voldoen organisaties aan deze eisen: i) door naleving van programma's van de particuliere sector inzake privacybescherming die de privacyschildbeginselen in hun voorschriften integreren en doeltreffende handhavingsmechanismen omvatten zoals die welke in het Beginsel van verhaal, handhaving en aansprakelijkheid worden beschreven; ii) door zich te onderwerpen aan wettelijke of regulerende toezichthoudende autoriteiten die individuele klachten behandelen en geschillen afhandelen; of iii) door zich ertoe te verbinden met de gegevensbeschermingsautoriteiten in de Europese Gemeenschap of hun gemachtigde vertegenwoordigers samen te werken.

b)   Deze lijst is bedoeld ter illustratie en is niet uitputtend. De particuliere sector kan aanvullende handhavingsmechanismen ontwikkelen mits deze aan de eisen van het Beginsel van verhaal, handhaving en aansprakelijkheid en de aanvullende Beginselen voldoen. Er zij op gewezen dat de eisen van het Beginsel van verhaal, handhaving en aansprakelijkheid een aanvulling zijn op de eis dat bepalingen die het resultaat zijn van zelfregulering moeten kunnen worden gehandhaafd op grond van sectie 5 van de Federal Trade Commission Act, die oneerlijke en misleidende handelingen verbiedt, dan wel op grond van een andere wet of regeling die dergelijke handelingen verbiedt.

c)   Om te bevorderen dat de nakoming van hun toezeggingen in het kader van het privacyschild wordt garandeerd en het beheer van het programma te ondersteunen, moeten de organisaties evenals hun onafhankelijke beroepsmechanismen informatie over het privacyschild verstrekken wanneer het ministerie daarom vraagt. Bovendien moeten organisaties snel reageren op klachten over hun naleving van de Beginselen die gegevensbeschermingsautoriteiten via het ministerie indienen. In het antwoord moet worden aangegeven of de klacht gegrond is, en zo ja, hoe de organisatie het probleem zal verhelpen. Het ministerie zal de vertrouwelijkheid van de ontvangen informatie beschermen in overeenstemming met VS-wetgeving.

d)   Verhaalsmechanismen

i)

De consumenten moeten worden aangemoedigd eventuele klachten met de desbetreffende organisatie te bespreken alvorens een beroep te doen op onafhankelijke verhaalsmechanismen. Organisaties moeten een consument binnen 45 dagen na ontvangst van diens klacht een reactie doen toekomen. De onafhankelijkheid van een verhaalsmechanisme kan met name worden aangetoond op grond van onpartijdigheid, een transparante samenstelling en financiering en aantoonbare ervaring. Zoals het Beginsel van verhaal, handhaving en aansprakelijkheid vereist, moet het verhaalsmechanisme voor particulieren direct beschikbaar en kosteloos zijn. Instanties die geschillen afhandelen, moeten alle klachten van particulieren onderzoeken tenzij deze duidelijk ongegrond of onbeduidend zijn. Dit sluit niet uit dat de organisatie waar men verhaal moet halen, acceptatiecriteria vaststelt, maar deze moeten transparant en gerechtvaardigd zijn (bijvoorbeeld om klachten uit te sluiten die buiten het toepassingsgebied van het programma vallen of door een andere instantie moeten worden behandeld) en mogen er niet toe leiden dat de verplichting om gegronde klachten te onderzoeken, wordt ondermijnd. Bovendien moeten verhaalmechanismen particulieren die een klacht indienen, complete en direct beschikbare informatie verstrekken over de wijze waarop de procedure verloopt. Deze informatie moet ook betrekking hebben op de door het mechanisme overeenkomstig de privacyschildbeginselen toegepaste praktijken inzake de privacybescherming. Zij moeten ook meewerken bij de ontwikkeling van hulpmiddelen als gestandaardiseerde klachtenformulieren om de klachtenafhandelingsprocedure te vergemakkelijken.

ii)

Onafhankelijke verhaalsmechanismen moeten op hun openbare websites informatie opnemen over de privacyschildbeginselen en de diensten die zij in het kader van het privacyschild aanbieden. Deze informatie moet het volgende bevatten: 1) informatie over of een link naar de vereisten van privacyschildbeginselen voor onafhankelijke beroepsmechanismen; 2) een link naar de privacyschildwebsite van het ministerie; 3) een toelichting dat hun diensten inzake geschillenbeslechting in het kader van het privacyschild voor particulieren kosteloos zijn; 4) een beschrijving van de wijze waarop een klacht in verband met het privacyschild kan worden ingediend; 5) de termijnen waarbinnen klachten inzake het privacyschild worden behandeld; en 6) een beschrijving van de reeks van verhaalsmogelijkheden.

iii)

Onafhankelijke verhaalsmechanismen moeten een jaarverslag publiceren met geaggregeerde statistieken over hun geschillenbeslechtingsdiensten. Het jaarverslag moet het volgende bevatten: 1) het totale aantal tijdens het verslagjaar ontvangen klachten in verband met het privacyschild; 2) de soorten ontvangen klachten; 3) maatstaven inzake de kwaliteit van de geschillenbeslechting, zoals de tijd die met de verwerking van klachten gemoeid was; en 4) de resultaten van de ontvangen klachten, met name het aantal en de soorten genomen maatregelen of opgelegde sancties.

iv)

Zoals uiteengezet in bijlage I beschikken particulieren over een arbitrage-optie teneinde ten aanzien van resterende klachten te bepalen of een privacyschildorganisatie haar verplichtingen in het kader van de Beginselen tegenover hen heeft geschonden, en of een dergelijke schending in het geheel niet of maar gedeeltelijk werd verholpen. Deze optie is alleen beschikbaar voor deze doeleinden. Zij is bijvoorbeeld niet beschikbaar met betrekking tot de uitzonderingen op de Beginselen (5) of met betrekking tot een bewering over het passend karakter van het privacyschild. In het kader van deze arbitrage-optie is het privacyschildpanel (bestaande uit één of drie arbiters, zoals overeengekomen door de partijen) bevoegd om een individuele, specifieke, niet-geldelijke, billijke oplossing te gelasten (zoals toegang, correctie, schrapping of teruggave van de betrokken gegevens van de persoon) die nodig is om de schending van de Beginselen in verband met slechts deze persoon te verhelpen. Particulieren en privacyschildorganisaties kunnen op grond van de Federal Arbitration Act de rechterlijke toetsing en tenuitvoerlegging van de arbitragebeslissingen vorderen krachtens Amerikaans recht.

e)   Rechtsmiddelen en sancties

De rechtsmiddelen die de geschillenafhandelingsinstantie biedt, moeten ertoe leiden dat de gevolgen van de niet-naleving door de organisatie, voor zover mogelijk, ongedaan worden gemaakt of worden hersteld, dat de organisatie gegevens in de toekomst conform de Beginselen zal verwerken en dat, waar nodig, de verwerking van de persoonsgegevens van de klager wordt stopgezet. De sancties moeten zwaar genoeg zijn om de naleving van de Beginselen door de organisatie te waarborgen. Aan de hand van een scala van lichte tot zware sancties zullen geschillenafhandelingsinstanties op passende wijze kunnen reageren op in ernst variërende gevallen van niet-naleving. Tot de sancties moeten behoren bekendmaking van geconstateerde gevallen van niet-naleving en de eis gegevens in bepaalde omstandigheden te wissen (6). Andere mogelijke sancties zijn de opschorting en intrekking van een keurmerk, schadeloosstelling van personen voor verliezen die ze als gevolg van niet-naleving hebben geleden, en dwangmaatregelen. Particuliere geschillenbeslechtingsinstanties en zelfregulerende instanties moeten in voorkomend geval de rechter of de ter zake bevoegde overheidsinstantie in kennis stellen van de niet-inachtneming van hun uitspraken door privacyschildorganisaties, en het ministerie daarvan op de hoogte stellen.

f)   Actie van de FTC

De FTC zal prioriteit geven aan zaken die haar in verband met de niet-naleving van de Beginselen worden voorgelegd door: i) zelfregulerende organisaties voor privacybescherming en andere onafhankelijke geschillenbeslechtingsinstanties; ii) de EU-lidstaten; en iii) het ministerie, om na te gaan of er sprake is van schending van sectie 5 van de FTC Act, die oneerlijke of misleidende handelspraktijken verbiedt. Indien de FTC concludeert dat zij reden heeft om aan te nemen dat sectie 5 werd geschonden, kan zij de zaak oplossen door om een administratief verbod van de bestreden praktijken te verzoeken, of door bij een federale rechtbank een klacht in te dienen, die als zij wordt gehonoreerd, kan resulteren in een uitspraak die hetzelfde effect sorteert. Daarbij kan het gaan om valse verklaringen inzake de onderschrijving van de privacyschildbeginselen of deelname aan het privacyschild door organisaties die ofwel niet meer op de privacyschildlijst staan ofwel nooit bij het ministerie een zelfcertificeringsverklaring hebben ingediend. De FTC kan civielrechtelijk optreden wegens overtreding van een administratief verbod, dan wel civiel- of strafrechtelijk wegens niet-naleving van een uitspraak van een federale rechtbank. De FTC zal het ministerie van dergelijke acties in kennis stellen. Het ministerie moedigt andere overheidsinstanties ertoe aan hem van het uiteindelijke resultaat van dergelijke verwijzingen of andere uitspraken in verband met de naleving van de privacyschildbeginselen in kennis te stellen.

g)   Permanente niet-naleving

i)

Als een organisatie voortdurend de Beginselen overtreedt, komt ze niet langer in aanmerking voor de voordelen van het privacyschild. Een organisatie zal in geval van permanente niet-naleving van de privacybeginselen door het ministerie van de privacyschildlijst worden verwijderd en de in het kader van het privacyschild ontvangen persoonsgegevens moeten terugbezorgen of wissen.

ii)

Er is sprake van permanente niet-naleving indien een organisatie die bij het ministerie een zelfcertificeringsverklaring heeft ingediend, weigert zich te conformeren aan een definitieve uitspraak van een zelfregulerende, onafhankelijke geschillenbeslechtingsinstantie op het gebied van de privacy of van een overheidsinstantie of indien een dergelijke instantie constateert dat een organisatie zich vaak niet aan de Beginselen houdt en haar verklaring deze te zullen naleven niet langer geloofwaardig is. De organisatie moet het ministerie daarvan dan onverwijld in kennis stellen. Als zij dit niet doet, kan op grond van de False Statements Act (18 U.S.C. § 1001) vervolging tegen deze organisatie worden ingesteld. Wanneer een organisatie zich terugtrekt uit een particulier zelfreguleringsprogramma op het gebied van privacy of een onafhankelijk geschillenbeslechtingsmechanisme, ontslaat dat de organisatie niet van de verplichting om de Beginselen na te leven en kan van een permanente niet-naleving sprake zijn.

iii)

Het ministerie zal een organisatie van de privacyschildlijst verwijderen wanneer zij ervan in kennis wordt gesteld dat een organisatie de Beginselen permanent niet naleeft, ongeacht of deze kennisgeving uitgaat van de organisatie zelf, van een zelfregulerende instantie op het gebied van de privacy of een ander zelfstandig geschillenbeslechtingsmechanisme, of van een overheidsinstantie, maar pas na de organisatie daarvan 30 dagen van tevoren in kennis te hebben gesteld en de kans te hebben gegeven om te reageren. Uit deze door het ministerie bijgehouden privacyschildlijst blijkt derhalve welke organisaties verder voor de voordelen van het privacyschild in aanmerking komen en welke niet.

iv)	Een organisatie die zich bij een zelfregulerende instantie aansluit om opnieuw voor het privacyschild in aanmerking te komen, moet deze instantie volledige informatie over haar vroegere deelneming aan het privacyschild verstrekken.

12.   Keuze — Tijdstip van verzet (opt-out)

a)

Het keuzebeginsel heeft ten doel ervoor te zorgen dat persoonlijke informatie wordt gebruikt en bekend wordt gemaakt op een manier die tegemoetkomt aan de verwachtingen en de keuzes van de betrokkene. Daarom moet deze te allen tijde de mogelijkheid hebben zich tegen het gebruik van zijn persoonlijke informatie voor directe marketing te verzetten; hij dient dit wel te doen binnen door de organisatie vastgestelde, redelijke termijnen, zodat de organisatie de tijd heeft gevolg aan de keuze te geven. Een organisatie kan ook eisen dat haar voldoende informatie wordt verstrekt ter bevestiging van de identiteit van de persoon die zich verzet. In de Verenigde Staten kunnen particulieren dit recht uitoefenen via een centraal verzetprogramma zoals de Direct Marketing Association's Mail Preference Service. Organisaties die hieraan deelnemen, moeten de beschikbaarheid van deze dienst voor consumenten die geen commerciële informatie wensen te ontvangen, promoten. In ieder geval moet de betrokkene een beroep kunnen doen op een direct beschikbaar en betaalbaar mechanisme om dit keuzerecht uit te oefenen.

b)

Een organisatie kan ook informatie voor sommige direct-marketingactiviteiten gebruiken wanneer het praktisch onmogelijk is om de betrokkene de gelegenheid te geven verzet aan te tekenen voordat de informatie wordt gebruikt, op voorwaarde dat de organisatie de betrokkene meteen daarna (en op verzoek altijd) de mogelijkheid biedt om verdere ontvangst van direct-marketingmededelingen te weigeren (zonder dat dit voor de consument kosten met zich brengt) en op voorwaarde dat de organisatie tegemoetkomt aan de wensen van de betrokkene.

13.   Reisinformatie

a)

Informatie over boekingen van luchtvaartpassagiers en andere reisinformatie, bijvoorbeeld over bonusregelingen voor vaste klanten of hotelreserveringen, en speciale behandelingen, zoals aan religieuze vereisten aangepaste maaltijden of fysieke bijstand, mogen in een aantal verschillende omstandigheden aan organisaties buiten de Europese Unie worden doorgegeven. Ingevolge artikel 26 van de richtlijn mogen persoonsgegevens „naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt” worden doorgegeven op voorwaarde dat i) dit noodzakelijk is om de door de passagier gevraagde diensten te leveren of voor de uitvoering van de vervoersovereenkomst, zoals een bonusregeling; of ii) de passagier op ondubbelzinnige wijze met de doorgifte heeft ingestemd. Organisaties in de Verenigde Staten die aan het privacyschild deelnemen, zorgen voor een adequate bescherming van persoonsgegevens en kunnen daarom gegevens vanuit de Europese Unie ontvangen zonder te voldoen aan deze voorwaarden of aan andere in artikel 26 van de richtlijn genoemde voorwaarden. Aangezien het privacyschild specifieke regels voor gevoelige informatie omvat, kan dergelijke informatie (die soms moet worden verzameld, bijvoorbeeld omdat een passagier fysieke bijstand nodig heeft) naar deelnemers aan het privacyschild worden doorgegeven. In alle gevallen moet de organisatie die de informatie doorgeeft, zich echter houden aan de wet van de EU-lidstaat waar zij actief is; deze kan onder meer bijzondere voorwaarden aan de behandeling van gevoelige gegevens stellen.

14.   Farmaceutische en Medische Producten

a)   Toepassing van de wetgeving van de EU-lidstaten of de privacyschildbeginselen

De wetgeving van de EU-lidstaten is van toepassing op de verzameling van de persoonsgegevens, alsmede op de verwerking voor zover die plaatsvindt vóór de doorgifte aan de Verenigde Staten. De privacyschildbeginselen zijn op de gegevens van toepassing vanaf het moment dat zij naar de Verenigde Staten zijn doorgegeven. Gegevens die voor farmaceutisch onderzoek en andere doeleinden worden gebruikt, moeten indien nodig worden geanonimiseerd.

b)   Later wetenschappelijk onderzoek

i)

Persoonsgegevens uit specifiek medisch of farmaceutisch onderzoek spelen veelal een belangrijke rol bij later wetenschappelijk onderzoek. Als de voor een bepaald onderzoek verzamelde persoonsgegevens worden doorgegeven aan een organisatie in de Verenigde Staten die aan het privacyschild deelneemt, mag de organisatie de gegevens gebruiken voor nieuw wetenschappelijk onderzoek, mits de betrokkene hiervan in eerste instantie op de juiste wijze in kennis was gesteld en hij een keuzemogelijkheid had. Deze kennisgeving moet informatie bevatten over ieder specifiek gebruik van de gegevens in de toekomst, zoals periodieke follow-up, verwante studies of verkoopactiviteiten.

ii)

Het spreekt voor zich dat niet ieder toekomstig gebruik van de gegevens kan worden voorzien, aangezien het nieuwe onderzoek waarvoor de gegevens zullen worden gebruikt, kan voortvloeien uit op grond van de oorspronkelijke gegevens verworven nieuwe inzichten, nieuwe medische ontdekkingen en vorderingen en de ontwikkeling van de volksgezondheid en regelgeving. In voorkomende gevallen moet de kennisgeving dan ook een toelichting bevatten waarin is aangegeven dat de persoonsgegevens voor toekomstig, nog niet te voorzien medisch en farmaceutisch onderzoek kunnen worden gebruikt. Als dit gebruik afwijkt van de algemene onderzoeksdoelstelling(en) waarvoor de persoonsgegevens oorspronkelijk zijn verzameld of waarvoor het individu later toestemming heeft gegeven, is opnieuw toestemming vereist.

c)   Opzegging van medewerking aan een klinische proef

Deelnemers kunnen op ieder moment hun medewerking aan een klinische proef opzeggen, of hiertoe worden verzocht. Alle persoonsgegevens die voorafgaand aan deze terugtrekking zijn verzameld, mogen toch, samen met de overige verzamelde gegevens, in de klinische proef worden verwerkt, mits de deelnemer hiervan op het moment dat hij in deelname toestemde, in kennis is gesteld.

d)   Overdrachten met het oog op Regelgeving en Toezicht

Producenten van geneesmiddelen en medische apparatuur mogen persoonsgegevens uit in de Europese Unie uitgevoerde klinische proeven met het oog op regelgeving en toezicht doorgeven aan instanties in de Verenigde Staten. Een soortgelijke doorgifte is ook toegestaan aan andere partijen dan regelgevende instanties, zoals bedrijfsvestigingen en andere onderzoekers, mits dit in overeenstemming is met het kennisgevings- en het keuzebeginsel.

e)   „Blinde” tests

i)

Met het oog op de objectiviteit mogen deelnemers, en vaak ook onderzoekers, bij veel klinische proeven niet weten welke behandeling iedere deelnemer ondergaat. Als dit wel het geval was, zouden de validiteit van het onderzoek en de resultaten in gevaar komen. Deelnemers aan dergelijke klinische proeven (aangeduid als „blinde” tests) hoeven tijdens de proef geen toegang te krijgen tot de gegevens over hun behandeling indien deze beperking is aangegeven toen de deelnemer toestemde in deelname aan de proef en bekendmaking van dergelijke informatie de validiteit van het onderzoek in gevaar brengt.

ii)

Toestemming in deelname aan de proef onder deze voorwaarden geldt als het afzien van het recht op toegang tot deze informatie. Na de voltooiing van de proef en de analyse van de resultaten, moeten de deelnemers desgewenst toegang tot hun gegevens krijgen. Zij moeten zich hiervoor in eerste instantie wenden tot de arts of andere zorgverstrekker door wie zij in het kader van de medische proef zijn behandeld en in tweede instantie tot de opdrachtgever van de proef.

f)   Toezicht op productveiligheid en efficiëntie

Producenten van geneesmiddelen en medische apparatuur hoeven de privacyschildbeginselen niet toe te passen met betrekking tot de Beginselen inzake kennisgeving, keuze, aansprakelijkheid voor verdere doorgifte en toegang, wanneer zij maatregelen in verband met de controle op de veiligheid en doeltreffendheid van hun producten nemen, zoals rapportage van incidenten en het volgen van patiënten/proefpersonen die bepaalde geneesmiddelen of medische apparatuur gebruiken, voor zover de naleving van de Beginselen samenvalt met de naleving van de wettelijke voorschriften. Dit geldt zowel voor de rapportage door bijvoorbeeld zorgverstrekkers aan producenten van geneesmiddelen en medische apparatuur als voor de rapportage door producenten van geneesmiddelen en medische apparatuur aan overheidsinstanties, zoals de Food and Drug Administration.

g)   Gegevens met een unieke code

De hoofdonderzoeker voorziet de onderzoeksgegevens altijd al bij de bron van een unieke code, zodat de identiteit van de individuen waarop de gegevens betrekking hebben geheim blijft. De farmaceutische bedrijven die de opdracht voor het onderzoek hebben gegeven, krijgen niet de beschikking over de sleutel. Deze is uitsluitend bij de onderzoeker bekend, zodat hij onder bepaalde omstandigheden (bv. als achteraf nog medische zorg nodig is) de betrokkene kan identificeren. Een doorgifte van dusdanig gecodeerde gegevens van de EU naar de Verenigde Staten geldt niet als een doorgifte van persoonsgegevens waarop de privacyschildbeginselen van toepassing zijn.

15.   Informatie uit openbare bestanden of openbaar beschikbare informatie

a)

Een organisatie moet de privacyschildbeginselen van veiligheid, de integriteit van gegevens en doelbinding en verhaal, handhaving en aansprakelijkheid toepassen op persoonsgegevens uit openbare bronnen. Deze Beginselen gelden ook voor persoonsgegevens die worden verzameld uit openbare bestanden d.w.z., bestanden die door overheidsdiensten op alle mogelijke niveaus worden bewaard en die voor iedereen toegankelijk zijn.

b)

Het is niet nodig de Beginselen van kennisgeving, keuze of aansprakelijkheid voor verdere doorgifte toe te passen op informatie uit openbare bestanden, op voorwaarde dat deze informatie niet is gecombineerd met informatie uit niet-openbare bestanden en alle voorwaarden die de bevoegde instanties voor raadpleging stellen, worden nageleefd. In het algemeen is het evenmin nodig de Beginselen van kennisgeving, keuze of aansprakelijkheid voor verdere doorgifte toe te passen op openbaar beschikbare informatie, tenzij de Europese organisatie die de informatie doorgeeft, aangeeft dat voor deze informatie restricties gelden, op grond waarvan die Beginselen in verband met het gebruik dat zij van de informatie wil maken door de organisatie moeten worden toegepast. Organisaties zijn niet aansprakelijk voor de manier waarop dergelijke informatie wordt gebruikt door degenen die de informatie uit gepubliceerd materiaal hebben verkregen.

c)	Indien wordt geconstateerd dat een organisatie persoonlijke informatie opzettelijk in strijd met de Beginselen openbaar heeft gemaakt, zodat zij of anderen van deze uitzonderingen kunnen profiteren, komt zij niet langer voor het privacyschild in aanmerking.

d)

Het is niet nodig het toegangsbeginsel op informatie uit openbare bestanden toe te passen, voor zover deze niet wordt gecombineerd met andere persoonlijke informatie (tenzij het hierbij gaat om kleine hoeveelheden die worden gebruikt om informatie uit openbare bestanden te indexeren of te organiseren); de voorwaarden die de bevoegde instanties voor raadpleging stellen, moeten evenwel worden nageleefd. Wanneer daarentegen informatie uit openbare bestanden wordt gecombineerd met andere informatie uit niet-openbare bestanden (afgezien van bovengenoemd specifiek geval), dan moet een organisatie wel toegang tot al deze informatie verlenen, voor zover niet andere toegestane uitzonderingen op deze informatie van toepassing zijn.

e)

Net als voor informatie uit openbare bestanden is het niet nodig toegang te verlenen tot informatie die reeds voor iedereen beschikbaar is, voor zover deze niet wordt gecombineerd met niet-openbaar beschikbare informatie. Organisaties die openbaar beschikbare informatie verkopen, kunnen het voor hun organisatie gebruikelijke tarief in rekening brengen om aan de verzoeken tot toegang te voldoen. Particulieren kunnen echter ook toegang tot hun persoonsgegevens trachten te verkrijgen bij de organisatie die oorspronkelijk de gegevens heeft verzameld.

16.   Verzoeken om toegang door de overheid

a)

Met het oog op de transparantie inzake gerechtvaardigde verzoeken van openbare instanties om toegang tot persoonlijke informatie, kunnen privacyschildorganisaties op vrijwillige basis periodieke transparantieverslagen uitbrengen inzake het aantal verzoeken om persoonlijke informatie die zij van openbare instanties ontvangen om redenen van rechtshandhaving of nationale veiligheid, voor zover dergelijke bekendmakingen overeenkomstig het toepasselijke recht toegestaan zijn.

b)

De door de privacyschildorganisaties in deze verslagen verstrekte informatie kan samen met de informatie die werd vrijgegeven door inlichtingendiensten, alsook andere informatie, gebruikt worden ten behoeve van de jaarlijkse gezamenlijke evaluatie van de werking van het privacyschild overeenkomstig de Beginselen.

c)	Het ontbreken van een kennisgeving overeenkomstig punt (a)(xii), van het Kennisgevingsbeginsel mag de mogelijkheid voor een organisatie om te reageren op een gerechtvaardigd verzoek niet verhinderen of beperken.

---

(1)  Op voorwaarde dat het besluit van de Commissie inzake het passend karakter van de door het EU-VS-privacyschild geboden bescherming van toepassing is op IJsland, Liechtenstein en Noorwegen, zal het privacyschild-pakket op zowel de Europese Unie als deze drie landen van toepassing zijn. Bijgevolg moeten verwijzingen naar de EU en haar lidstaten ook worden gelezen als verwijzingen naar IJsland, Liechtenstein en Noorwegen.

(2)  Al naargelang de omstandigheden kan het bij voorbeelden van compatibele verwerkingsdoeleinden gaan om doeleinden die redelijkerwijze dienstig zijn voor de relatie met cliënten, overwegingen inzake naleving en juridische overwegingen, accountantscontrole, beveiliging en voorkoming van fraude, handhaving of verdediging van wettelijke rechten, of andere doeleinden die gelet op de context waarbinnen de informatie wordt verzameld, stroken met dat wat redelijkerwijs kan worden verwacht.

(3)  In dit verband is een individu „identificeerbaar” wanneer, gezien de identificatiemiddelen die naar alle waarschijnlijkheid zullen worden gebruikt (onder andere gelet op de kosten van en de hoeveel tijd die nodig is voor de identificatie en de ten tijde van de verwerking beschikbare technologie) en de vorm waarin de gegevens worden bewaard, het individu redelijkerwijze kan worden geïdentificeerd door de organisatie of een derde partij indien die toegang tot de gegevens zou hebben.

(4)  De organisatie moet antwoorden op vragen van natuurlijke personen over de doeleinden van de verwerking, de categorieën persoonsgegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt.

(5)  Sectie I, punt 5, van de Beginselen.

(6)  Geschillenbeslechtingsinstanties moeten een discretionaire bevoegdheid hebben ten aanzien van de omstandigheden waarin zij deze sancties opleggen. Bij een eis gegevens te wissen moet onder meer rekening worden gehouden met de gevoeligheid van de gegevens en met het feit of een organisatie flagrant in strijd met de privacyschildbeginselen gegevens heeft verzameld of gebruikt, dan wel openbaar heeft gemaakt.

BIJLAGE III

7 juli 2016

Geachte commissaris Jourová,

Ik ben blij dat wij overeenstemming hebben bereikt over het privacyschild tussen de Europese Unie — Verenigde Staten, dat een ombudsmanmechanisme zal bevatten door middel waarvan de autoriteiten in de EU verzoeken namens EU-burgers zullen kunnen indienen inzake praktijken in het kader van „inlichtingen uit berichtenverkeer” van de VS.

Op 17 januari 2014 heeft president Barack Obama belangrijke hervormingen van de inlichtingendienst aangekondigd, die zijn opgenomen in de Presidential Policy Directive 28 (Richtlijn Presidentieel Beleid — PPD-28). Krachtens PPD-28 heb ik Under Secretary of State Catherine A. Novelli, tevens belast met de functie van Senior Coordinator for International Information Technology Diplomacy, aangewezen als ons contactpunt voor buitenlandse regeringen die zaken aan te orde wensen te stellen in verband met activiteiten van de VS met betrekking tot inlichtingen uit het berichtenverkeer. Voortbouwend op deze taak heb ik een privacyschildombudsman-mechanisme ingesteld overeenkomstig de in bijlage A uiteengezette voorwaarden, welke sinds mijn brief van 22 februari 2016 zijn geactualiseerd. Ik heb Under Secretary Novelli met deze functie belast. Under Secretary Novelli is onafhankelijk van de VS inlichtingendiensten en brengt rechtstreeks verslag aan mij uit.

Ik heb mijn ambtenaren de opdracht gegeven de nodige middelen ter beschikking te stellen voor de uitvoering van dit nieuwe ombudsmanmechanisme en ik heb er alle vertrouwen in dat het een doeltreffend middel zal zijn om zorgen van EU-burgers weg te nemen.

BIJLAGE IV

7 juli 2016

Via e-mail

Věra Jourová

Commissaris voor Justitie, Consumentenrechten en Gendergelijkheid

Europese Commissie

Wetstraat 200

1049 Brussel

BELGIË

Geachte commissaris Jourová:

De Federal Trade Commission („FTC”) van de Verenigde Staten is blij met de kans om haar handhaving van het kader voor het nieuwe EU-VS-privacyschild (het „privacyschildkader” of „kader”) te beschrijven. Wij zijn van mening dat het kader een cruciale rol zal spelen bij het faciliteren van privacybeschermende commerciële transacties in een wereld waarin men steeds meer met elkaar verbonden raakt. Dankzij het kader kunnen bedrijven belangrijke activiteiten uitvoeren in de wereldeconomie, terwijl tegelijkertijd wordt verzekerd dat consumenten in de EU belangrijke bescherming op het gebied van privacy behouden. De FTC zet zich reeds lange tijd in voor de grensoverschrijdende bescherming van privacy en zal aan de handhaving van het nieuwe kader een hoge prioriteit geven. Hieronder zullen we de geschiedenis van de strikte privacyhandhaving door de FTC in het algemeen beschrijven, waaronder onze wijze van handhaving van het oorspronkelijke Veiligehavenprogramma, evenals de aanpak van de FTC ten aanzien van de handhaving van het nieuwe kader.

De FTC deed haar eerste publieke toezegging het Veiligehavenprogramma te handhaven in 2000. Toen stuurde de toenmalige voorzitter van de FTC, Robert Pitofsky, de Europese Commissie een brief met de toezegging van de FTC om de privacybeginselen in het kader van het Veiligehavenprogramma krachtig te handhaven. De FTC heeft zich aan deze toezegging gehouden tijdens bijna veertig handhavingsacties, talrijke aanvullende onderzoeken en samenwerking met afzonderlijke Europese gegevensbeschermingsautoriteiten over zaken van wederzijds belang.

Nadat de Europese Commissie in november 2013 haar zorgen uitte over het beheer en de handhaving van het Veiligehavenprogramma, werden door het ministerie van Handel van de VS en de FTC besprekingen begonnen met ambtenaren van de Europese Commissie over de wijze waarop het programma zou kunnen worden versterkt. Terwijl deze besprekingen plaatsvonden, wees het Hof van Justitie van de Europese Unie op 6 oktober 2015 een arrest in de zaak Schrems waarin, onder andere, de beschikking van de Europese Commissie over de gepastheid van het Veiligehavenprogramma ongeldig werd verklaard. Na deze uitspraak bleven we nauw samenwerken met het ministerie van Handel en de Europese Commissie om de privacybescherming voor particulieren in de EU te verbeteren. Het privacyschildkader is een resultaat van deze voortdurende besprekingen. Net als bij het Veiligehavenprogramma verplicht de FTC zich nu ertoe dit nieuwe kader krachtdadig te handhaven. Deze toezegging wordt in deze brief nog eens herhaald.

We bevestigen onze toezegging in het bijzonder op vier hoofdgebieden: 1) het geven van prioriteit aan verwijzingen en onderzoeken; 2) de aanpak van valse of misleidende verklaringen over de aansluiting bij het privacyschild; 3) voortdurend toezicht op uitvoering van beslissingen, en 4) verbeterde contacten en handhavingssamenwerking met de gegevensbeschermingsautoriteiten in de EU. Hieronder verstrekken we gedetailleerde informatie over elk van deze toezeggingen en relevante achtergrondinformatie over de rol van de FTC bij het beschermen van de privacy van consumenten en de handhaving van de veilige haven, alsook over het bredere privacylandschap in de Verenigde Staten (1).

I.   ACHTERGROND

A.   Handhaving door en beleidsactiviteiten van de FTC op het gebied van privacy

De FTC heeft op het gebied van civiele handhaving een brede bevoegdheid voor de bevordering van consumentenbescherming en mededinging op het gebied van handel. Als onderdeel van haar mandaat op het gebied van gegevensbescherming handhaaft de FTC een breed scala aan wetten ter bescherming van de privacy en beveiliging van consumentengegevens. De primaire wet die door de FTC wordt gehandhaafd, de FTC Act, verbiedt „oneerlijke” en „misleidende” handelingen of praktijken in het kader van of betrekking hebbend op handel (2). Een weergave, omissie of praktijk is misleidend als deze materieel is en consumenten die gezien de omstandigheden redelijk handelen waarschijnlijk zal misleiden (3). Een praktijk is oneerlijk wanneer deze consumenten aanzienlijke schade toebrengt of kan toebrengen die door hen redelijkerwijze niet kan worden vermeden en die niet wordt gecompenseerd door voordelen voor de consument of de concurrentie (4). Ook handhaaft de FTC specifieke wetten die informatie over gezondheid, krediet en andere financiële aangelegenheden, alsook online-gegevens van kinderen beschermen, en heeft zij regelgeving uitgevaardigd ter uitvoering van deze wetten.

De rechtsbevoegdheid van de FTC op grond van de FTC Act is van toepassing op aangelegenheden „in het kader van of betrekking hebbend op handel”. De FTC heeft geen rechtsbevoegdheid op het gebied van strafrechtelijke handhaving of zaken van nationale veiligheid. Evenmin heeft de FTC invloed op de meeste andere acties van overheidswege. Bovendien bestaan er uitzonderingen op de rechtsbevoegdheid van de FTC ten aanzien van commerciële activiteiten, onder meer met betrekking tot banken, luchtvaartmaatschappijen, het verzekeringswezen en de algemene transmissieactiviteiten van dienstverleners in de telecommunicatie. Ook heeft de FTC geen rechtsbevoegdheid over de meeste non-profitorganisaties, maar wel over frauduleuze liefdadige instellingen of andere non-profitorganisaties die in werkelijkheid met een winstoogmerk handelen. De FTC heeft ook rechtsbevoegdheid over non-profitorganisaties die commerciële activiteiten ontplooien ten behoeve van hun leden die winst beogen, bijvoorbeeld door die leden aanzienlijke economische voordelen te bieden (5). In sommige gevallen valt de rechtsbevoegdheid van de FTC samen met die van andere rechtshandhavingsinstanties.

We hebben een goede werkrelatie opgebouwd met federale en deelstaatsinstanties en werken nauw met deze instanties samen om onderzoeken te coördineren of zo nodig zaken ernaar te verwijzen.

Handhaving is de spil van de benadering van de FTC in het kader van privacybescherming. De FTC heeft tot op heden meer dan 500 zaken behandeld inzake de bescherming van privacy en de beveiliging van consumentengegevens. Deze zaken hebben betrekking op zowel online- als offline-informatie en omvatten handhavingsmaatregelen tegen zowel grote als kleine bedrijven die werd verweten dat zij niet naar behoren met gevoelige consumentengegevens zijn omgegaan, de persoonsgegevens van consumenten niet hebben beveiligd, op misleidende wijze consumenten online hebben gevolgd, consumenten spam hebben verzonden, spyware of andere kwaadaardige software hebben geïnstalleerd op de computers van consumenten, het bel-me-niet register en andere telemarketingregels niet in acht hebben genomen, of onrechtmatig consumenteninformatie op mobiele apparaten hebben verzameld en gedeeld. De handhavingsacties van de FTC — in zowel de fysieke als de digitale wereld — wijzen bedrijven met kracht op de noodzaak de privacy van consumenten te beschermen.

De FTC heeft ook meerdere beleidsinitiatieven genomen die gericht waren op het verbeteren van de privacy van consumenten en die bijdragen tot haar handhavingswerkzaamheden. De FTC heeft workshops georganiseerd en rapporten uitgebracht waarin beste praktijken werden aanbevolen die onder meer gericht waren op het verbeteren van de privacy in de mobiele omgeving, het verhogen van de transparantie van de handel in gegevens door gegevensmakelaars, het maximaliseren van de voordelen van „big data” onder gelijktijdige beperking van de risico's daarvan, met name voor consumenten met een laag inkomen of die onvoldoende voorzieningen genieten, en het benadrukken van de gevolgen op het gebied van privacy en veiligheid van gezichtsherkenning en het internet der dingen.

De FTC voert ook opleidingsactiviteiten uit voor consumenten en bedrijven om de impact van haar initiatieven op het gebied van handhaving en beleidsontwikkeling te verbeteren. De FTC heeft met een reeks van instrumenten — publicaties, onlinebronnen, workshops en sociale media — voorlichtingsmateriaal verstrekt over een breed scala aan onderwerpen, waaronder mobiele apps, de privacy van kinderen en gegevensbeveiliging. De FTC is recentelijk gestart met het initiatief „Start With Security”, dat nieuwe richtsnoeren voor bedrijven omvat, die zijn gebaseerd op de ervaring die de instantie heeft opgedaan met zaken over gegevensbeveiliging, alsook een reeks workshops in het hele land. Bovendien loopt de FTC al lange tijd voorop op het gebied van de voorlichting aan consumenten over elementaire computerbeveiliging. Vorig jaar werden onze website OnGuard Online en de Spaanstalige versie daarvan, Alerta en Linea, meer dan vijf miljoen keer bekeken.

B.   Juridische bescherming in de VS die ten goede komt aan EU-burgers

Het kader zal worden uitgevoerd in de context van het bredere privacylandschap van de VS, waarin EU-consumenten op een aantal manieren worden beschermd.

Het verbod op oneerlijke of misleidende handelingen of praktijken dat is opgenomen in de FTC Act is niet beperkt tot het beschermen van Amerikaanse consumenten tegen Amerikaanse bedrijven, aangezien het ook praktijken omvat die 1) redelijk voorzienbare schade veroorzaken of kunnen veroorzaken in de Verenigde Staten of 2) betrekking hebben op materiële gedragingen in de Verenigde Staten. Verder kan de FTC alle rechtsmiddelen, waaronder restitutie, die voor de bescherming van binnenlandse consumenten beschikbaar zijn, ook aanwenden ten behoeve van de bescherming van buitenlandse consumenten.

De handhavingsactiviteiten van de FTC hebben dus aanzienlijke voordelen voor zowel Amerikaanse als buitenlandse consumenten. Onze zaken ter handhaving van sectie 5 van de FTC Act hebben bijvoorbeeld de privacy van zowel Amerikaanse als buitenlandse consumenten beschermd. In een zaak tegen een informatiemakelaar, Accusearch, stelde de FTC dat de verkoop van vertrouwelijke telefoongegevens door het bedrijf aan derden zonder medeweten of toestemming van de consument een oneerlijke, met sectie 5 van de FTC Act strijdige praktijk was. Accusearch verkocht informatie over zowel Amerikaanse als buitenlandse consumenten (6). De rechtbank legde Accusearch een dwangmaatregel tot rechtsherstel op waarbij, onder andere, de marketing of verkoop van persoonsgegevens van consumenten zonder schriftelijke toestemming werd verboden, tenzij deze gegevens rechtmatig werden verkregen uit openbaar beschikbare informatie en gelastte de terugbetaling van bijna 200 000 USD (7).

De schikking van de FTC met TRUSTe is een ander voorbeeld. Deze verzekert dat consumenten, waaronder die in de Europese Unie, kunnen vertrouwen op verklaringen van een wereldwijd opererende zelfregulerende organisatie over haar beoordeling en certificering van binnenlandse en buitenlandse onlinediensten (8). Het is van belang dat ons optreden jegens TRUSTe ook in ruimere zin het zelfreguleringssysteem op het gebied van privacy versterkt door ervoor te zorgen dat entiteiten die een belangrijke rol spelen in zelfreguleringsstelsels, waaronder grensoverschrijdende privacykaders, verantwoording af moeten leggen.

De FTC handhaaft ook andere specifieke wetgeving die ook niet-Amerikaanse consumenten beschermt, zoals de Children's Online Privacy Protection Act (COPPA). De COPPA verplicht exploitanten van op kinderen gerichte websites en onlinediensten of websites voor het algemene publiek die doelbewust persoonsgegevens verzamelen van kinderen onder de 13 jaar, onder meer om de ouders in kennis te stellen en hun controleerbare toestemming te verkrijgen. Amerikaanse websites en diensten waarop de COPPA van toepassing is en door middel waarvan persoonsgegevens worden verzameld van buitenlandse kinderen, moeten de COPPA in acht nemen. Buitenlandse websites en onlinediensten moeten ook aan de COPPA-bepalingen voldoen als zij gericht zijn op kinderen in de Verenigde Staten of als daarmee doelbewust persoonsgegevens worden verzameld van kinderen in de Verenigde Staten. Naast de federale Amerikaanse wetten die door de FTC worden gehandhaafd kan bepaalde andere federale en deelstaatswetgeving inzake consumentenbescherming en privacy EU-consumenten nog meer voordelen bieden.

C.   Handhaving in het kader van de veilige haven

Als onderdeel van haar handhavingsprogramma inzake privacy en beveiliging heeft de FTC er ook naar gestreefd EU-consumenten te beschermen door handhavingsmaatregelen te nemen met betrekking tot schendingen van de veilige haven. De FTC heeft in het kader van de veilige haven 39 handhavingsactiviteiten uitgevoerd: in 36 zaken was er sprake van vermeend valse certificeringsverklaringen en in drie gevallen — tegen Google, Facebook en Myspace — ging het om vermeende schendingen van de Veiligehavenbeginselen (9). Deze zaken laten zien dat ten aanzien van certificering handhavend kan worden opgetreden en wat de gevolgen van niet-naleving zijn. Bij beschikking vastgestelde compromissen („consent orders”) met een geldigheidsduur van twintig jaar verplichten Google, Facebook en Myspace ertoe om uitgebreide privacyprogramma's uit te voeren die redelijkerwijs zo moeten zijn ontworpen dat zij de privacyrisico's in verband met de ontwikkeling en het beheer van nieuwe en bestaande producten en diensten aanpakken en de privacy en vertrouwelijkheid van persoonsgegevens beschermen. De uitgebreide privacyprogramma's waartoe op grond van deze beschikkingen opdracht is gegeven, moeten voorzienbare materiële risico's vaststellen en in controles voorzien om deze risico's aan te pakken. Ook moeten de bedrijven zich onderwerpen aan voortdurende, onafhankelijke beoordelingen van hun privacyprogramma's, die bij de FTC moeten worden ingediend. Voorts is het bedrijven op grond van deze beschikkingen verboden een verkeerde voorstelling te geven van hun privacypraktijken en hun deelname aan privacy- of beveiligingsprogramma's. Dit verbod zou op de handelingen en praktijken van bedrijven op grond van het nieuwe privacyschildkader ook van toepassing zijn. De FTC kan deze beschikkingen handhaven door middel van civiele sancties. Google betaalde in 2012 zelfs een civielrechtelijke recordboete van 22,5 miljoen USD naar aanleiding van beschuldigingen dat het bedrijf het haar betreffende besluit had geschonden. Deze FTC-beschikkingen dragen dus bij tot de bescherming van meer dan een miljard consumenten wereldwijd, waarvan er honderden miljoenen in Europa wonen.

Een ander aandachtspunt van FTC vormden valse of misleidende verklaringen over deelname aan het Veiligehavenprogramma. De FTC neemt deze beweringen zeer serieus. In 2011 bijvoorbeeld maakte de FTC in FTC v. Karnani een zaak aanhangig tegen een internetmarketeer in de Verenigde Staten en stelde dat hij en zijn bedrijf Britse consumenten op bedrieglijke wijze lieten geloven dat het bedrijf gevestigd was in het Verenigd Koninkrijk, onder meer door gebruik te maken van de internetextensie.uk en te verwijzen naar de Britse valuta en de Britse posterijen (10). Bij de ontvangst van de producten werden de consumenten echter geconfronteerd met onverwachte invoerheffingen, garanties die niet geldig waren in het Verenigd Koninkrijk en kosten in verband met het verkrijgen van terugbetaling. De FTC stelde tevens dat de gedaagden consumenten misleidden ten aanzien van hun deelname aan het Veiligehavenprogramma. Alle consumenten die het slachtoffer werden van deze praktijken woonden in het Verenigd Koninkrijk.

Veel van onze andere handhavingszaken in het kader van de veilige haven hadden betrekking op organisaties die zich aansloten bij het Veiligehavenprogramma, maar die nalieten hun jaarlijkse certificering te vernieuwen terwijl ze zich toch bleven voordoen als lid. Zoals hierna verder zal worden besproken, verplicht de FTC zich er ook toe om valse beweringen van deelname aan het privacyschildkader aan te pakken. Deze strategische handhavingsactiviteiten vormen een aanvulling op de toegenomen werkzaamheden van het ministerie van Handel om de naleving van de programmavereisten voor certificering en hercertificering te controleren, het toezicht door het ministerie op de daadwerkelijke naleving, onder meer door deelnemers aan het kader vragenlijsten voor te leggen, en de toegenomen inspanningen van het ministerie om de valsheid van beweringen over deelname aan het kader en misbruik van het keurmerk van het kader vast te stellen (11).

II.   HET VERLENEN VAN PRIORITEIT AAN VERWIJZINGEN EN ONDERZOEKEN

Net zoals bij het Veiligehavenprogramma zegt de FTC ook toe prioriteit te geven aan zaken die door de EU-lidstaten op grond van het privacyschild worden voorgelegd. Ook geven wij prioriteit aan kwesties in verband met de niet-naleving van zelfreguleringsrichtsnoeren in verband met het privacyschildkader die worden voorgelegd door op het gebied van privacy zelfregulerende organisaties en andere onafhankelijke instanties voor geschillenbeslechting.

Om verwijzingen van EU-lidstaten op grond van het kader te vereenvoudigen, werkt de FTC aan een gestandaardiseerd verwijzingsproces en het opstellen van richtsnoeren voor EU-lidstaten over de informatie die de FTC het best kan gebruiken bij haar onderzoek inzake een verwijzing. Een onderdeel hiervan is dat de FTC een contactpunt zal instellen voor verwijzingen uit EU-lidstaten. Het is bijzonder nuttig wanneer de verwijzende instantie een voorlopig onderzoek heeft uitgevoerd naar de vermeende schending en met de FTC kan samenwerken tijdens het onderzoek.

Na ontvangst van een verwijzing uit een EU-lidstaat of van een zelfregulerende organisatie kan de FTC een aantal acties ondernemen om de aangekaarte problemen aan te pakken. We kunnen bijvoorbeeld het privacybeleid van het bedrijf onderzoeken, rechtstreeks bij het bedrijf of bij derden nadere informatie opvragen, de verwijzende instantie nader raadplegen, beoordelen of er een patroon van schendingen bestaat of sprake is van een aanzienlijk aantal getroffen consumenten, vaststellen of de verwijzing implicaties heeft die binnen de bevoegdheid van het ministerie van Handel vallen, beoordelen of voorlichting van consumenten en bedrijven nuttig kan zijn en, in voorkomend geval, een handhavingsprocedure starten.

De FTC zegt tevens toe informatie uit te wisselen over verwijzingen met verwijzende handhavingsinstanties, onder meer over de stand van zaken met betrekking tot de verwijzing, met inachtneming van de wetgeving en de beperkingen op het gebied van vertrouwelijkheid. Voor zover mogelijk gelet op het aantal en het soort ontvangen verwijzingen, omvat de te verstrekken informatie een beoordeling van de verwezen zaken, waaronder een beschrijving van belangrijke kwesties die worden aangekaart en eventuele maatregelen die in het kader van de bevoegdheid van de FTC zijn genomen om schending van de wet aan te pakken. De FTC verstrekt ook feedback aan de verwijzende instantie over de soorten verwijzingen die zijn ontvangen om zo de doeltreffendheid van inspanningen om onrechtmatige gedrag aan te pakken, te verhogen. Wanneer een verwijzende handhavingsinstantie met het oog op het instellen van zijn eigen handhavingsprocedure informatie wil over de stand van zaken met betrekking tot een specifieke verwijzing, zal de FTC, rekening houdend met het aantal in behandeling zijnde verwijzingen en onder voorbehoud van vertrouwelijkheid en andere wettelijke vereisten, reageren.

De FTC zal ook nauw samenwerken met de gegevensbeschermingsautoriteiten in de EU voor het verlenen van bijstand bij de handhaving. In passende gevallen kan het daarbij ook gaan om het delen van informatie en het verlenen van bijstand bij onderzoek op grond van de U.S. Safe WEB Act, die de FTC de bevoegdheid verleent om buitenlandse rechtshandhavingsinstanties bij te staan wanneer deze wetgeving handhaven die praktijken verbiedt die in materiële zin vergelijkbaar zijn met die welke worden verboden door wetten die de FTC handhaaft (12). Als onderdeel van deze bijstand kan de FTC informatie delen die is verkregen in verband met een FTC-onderzoek, een getuigenoproeping gelasten namens de Europese gegevensbeschermingsautoriteiten die hun eigen onderzoek uitvoeren, en een mondelinge getuigenis afnemen van getuigen of gedaagden in verband met de handhavingsprocedure van de gegevensbeschermingsautoriteit, met inachtneming van de vereisten in de U.S. Safe WEB Act. De FTC maakt regelmatig gebruik van deze bevoegdheid om andere instanties waar ook ter wereld bij te staan in zaken aangaande privacy en consumentenbescherming (13).

De FTC geeft niet alleen voorrang aan verwijzingen in het kader van het privacyschild van EU-lidstaten en op het gebied van privacy zelfregulerende organisaties (14), maar verplicht zich ook ertoe om mogelijke schendingen van het kader in voorkomend geval op eigen initiatief te onderzoeken met behulp van een reeks hulpmiddelen.

Gedurende meer dan tien jaar heeft de FTC een solide programma uitgevoerd inzake onderzoeken naar privacy- en beveiligingskwesties waarbij commerciële organisaties betrokken zijn. Als onderdeel van deze onderzoeken heeft de FTC stelselmatig onderzocht of de desbetreffende entiteit beweringen deed met betrekking tot het Veiligehaveprogramma. Als de entiteit dergelijke beweringen deed en uit het onderzoek bleek dat de Veiligehavenbeginselen inzake de privacy kennelijk waren geschonden, dan nam de FTC de beschuldigingen van schending van de Veiligehavenbeginselen in aanmerking bij haar handhavingsmaatregelen. We zullen deze proactieve aanpak binnen het nieuwe kader voortzetten. Het moet worden benadrukt dat de onderzoeken die uiteindelijk tot publieke handhavingsacties leiden maar een klein deel zijn van het totale aantal onderzoeken dat door de FTC wordt uitgevoerd. Veel FTC-onderzoeken worden gesloten omdat er geen duidelijke schending van de wet kan worden geconstateerd. Aangezien FTC-onderzoeken niet-openbaar en vertrouwelijk zijn, wordt het sluiten van een onderzoek vaak niet openbaar gemaakt.

De bijna veertig handhavingsacties die door de FTC zijn uitgevoerd met betrekking tot het Veiligehavenprogramma vormen het bewijs dat deze instantie zich inzet om grensoverschrijdende privacyprogramma's proactief te handhaven. De FTC doet onderzoek naar mogelijke schendingen van het kader als onderdeel van de privacy- en veiligheidsonderzoeken die we regelmatig uitvoeren.

III.   AANPAK VAN VALSE OF MISLEIDENDE VERKLARINGEN OVER HET LIDMAATSCHAP VAN HET PRIVACYSCHILD

Zoals hiervoor al is opgemerkt, onderneemt de FTC actie tegen entiteiten die onjuiste verklaringen afleggen over hun deelname aan het kader. De FTC geeft prioriteit aan verwijzingen van het ministerie van Handel over organisaties waarvan het ministerie vaststelt dat zij ten onrechte voorgeven aan het kader deel te nemen of die het keurmerk van het kader zonder toestemming gebruiken.

Daarnaast merken we op dat indien in het kader van het privacybeleid van een organisatie wordt beloofd dat zij voldoet aan de privacyschildbeginselen, het feit dat de organisatie zich niet bij het ministerie van Handel registreert of haar registratie daar niet verlengt, op zichzelf waarschijnlijk geen reden vormt om de organisatie te vrijwaren van de handhaving door de FTC van deze toezegging.

IV.   TOEZICHT OP DE UITVOERING VAN BESLUITEN

De FTC bevestigt tevens haar toezeggingen om toezicht te houden op de uitvoering van handhavingsbesluiten teneinde de naleving van het privacyschildkader te verzekeren.

We zullen tot naleving van het kader verplichten door in de toekomst in besluiten van de FTC in de context van het privacyschild een verscheidenheid aan dwingende bepalingen op te nemen. Daarbij gaat het onder meer om het verbod van onjuiste verklaringen met betrekking tot het kader en andere privacyprogramma's wanneer deze de basis vormen voor de onderliggende FTC-maatregelen.

De zaken van de FTC waarin het oorspronkelijke Veiligehavenprogramma werd gehandhaafd, zijn in dit opzicht leerzaam. In de 36 gevallen waarin sprake was van valse of misleidende beweringen over de certificering in het kader van de Veilige Haven werd de gedaagde telkens verboden om misleidende verklaringen af te leggen over zijn deelname aan het Veiligehavenprogramma of een ander privacy- of beveiligingsprogramma en werd het bedrijf ertoe verplicht de FTC nalevingsverslagen te overleggen. In gevallen waarin sprake was van schending van de Veiligehavenbeginselen inzake de privacybescherming zijn bedrijven ertoe verplicht uitgebreide privacyprogramma's uit te voeren en gedurende twintig jaar deze programma's jaarlijks door onafhankelijke derden te laten beoordelen en de FTC van deze beoordeling in kennis te stellen.

Schendingen van de administratieve bevelen van de FTC kunnen leiden tot civiele boeten tot maximaal 16 000 USD per schending of 16 000 USD per dag in geval van voortgaande schending (15), die in geval van praktijken waar veel consumenten bij betrokken zijn, kunnen oplopen tot miljoenen dollars. In elke consent order zijn tevens rapportage- en nalevingsbepalingen opgenomen. De entiteiten waarop deze uitspraak van kracht is, moeten gedurende een specifiek aantal jaren documenten bijhouden waaruit hun naleving blijkt. De uitspraken moeten ook worden verspreid onder de werknemers die ervoor moeten zorgen dat de uitspraak ten uitvoer wordt gelegd.

De FTC houdt stelselmatig toezicht op de naleving van veiligehavenbesluiten, net zoals bij al haar besluiten het geval is. De FTC neemt de handhaving van haar besluiten in het kader van privacy en gegevensbeveiliging serieus en neemt indien nodig handhavingsmaatregelen. Zo betaalde Google, zoals hierboven opgemerkt, een civielrechtelijke boete van 22,5 miljoen USD in het kader van een schikking, na beschuldigingen dat de onderneming het jegens haar genomen FTC-besluit had geschonden. We benadrukken dat FTC-besluiten wereldwijd alle consumenten die zaken doen met een bedrijf blijven beschermen, en niet slechts de consumenten die een klacht hebben ingediend.

Tot slot zal de FTC een onlinelijst blijven bijhouden van bedrijven waarop bevelen van toepassing zijn die zijn uitgevaardigd in verband met de handhaving van zowel het veiligehavenprogramma als het nieuwe privacyschildkader (16). Daarnaast verplichten de privacyschildbeginselen bedrijven waarop een FTC- of gerechtelijk bevel op grond van niet-naleving van de beginselen van toepassing is, er thans toe om eventuele in verband met het kader relevante passages in een bij de FTC ingediend nalevings- of beoordelingsverslag openbaar te maken, voor zover dat strookt met de wet- en regelgeving op het gebied van vertrouwelijkheid.

V.   INTERACTIE MET EUROPESE GEGEVENSBESCHERMINGSAUTORITEITEN EN SAMENWERKING OP HET GEBIED VAN HANDHAVING

De FTC erkent de belangrijke rol die Europese gegevensbeschermingsautoriteiten spelen met betrekking tot de naleving van het kader en moedigt meer raadpleging en samenwerking op het gebied van handhaving aan. De FTC zegt niet alleen toe om met de verwijzende gegevensbeschermingsautoriteiten te overleggen over op een specifieke zaak betrekking hebbende aangelegenheden, maar verplicht zich er ook toe om deel te nemen aan periodieke bijeenkomsten met daartoe aangewezen vertegenwoordigers van de Groep artikel 29 teneinde in het algemeen te bespreken hoe de samenwerking op het gebied van handhaving met betrekking tot het kader kan worden verbeterd. De FTC zal, samen met het ministerie van Handel, de Europese Commissie en vertegenwoordigers van de Groep artikel 29, ook deelnemen aan de jaarlijkse beoordeling van het kader, waarbij de uitvoering ervan zal worden besproken.

De FTC stimuleert tevens de ontwikkeling van instrumenten die de samenwerking op het gebied van handhaving bevorderen met Europese gegevensbeschermingsautoriteiten en andere handhavingsautoriteiten op het gebied van privacy wereldwijd. Met name heeft de FTC, samen met handhavingspartners in de Europese Unie en wereldwijd, vorig jaar een waarschuwingssysteem gelanceerd binnen het Global Privacy Enforcement Network („GPEN”) om informatie te delen over onderzoeken en coördinatie op het gebied van handhaving te bevorderen. Dit waarschuwingsinstrument van het GPEN kan bijzonder nuttig zijn in de context van het privacyschildkader. De FTC en Europese gegevensbeschermingsautoriteiten kunnen het gebruiken voor coördinatie in verband met het kader en andere privacyonderzoeken, onder meer als startpunt voor het delen van informatie, om zo burgers een gecoördineerde en doeltreffender privacybescherming te bieden. We kijken uit naar de voortzetting van de samenwerking met de deelnemende EU-instanties om het GPEN-waarschuwingssysteem breder in te zetten en andere instrumenten te ontwikkelen om de samenwerking te bevorderen op het gebied van handhaving in privacykwesties, waaronder die welke betrekking hebben op het kader.

De FTC is verheugd haar toezegging het privacyschildkader te zullen handhaven, te bevestigen. Ook kijken wij uit naar het voortzetten van de samenwerking met onze collega's uit de EU om de privacy van consumenten aan weerszijden van de Atlantische Oceaan te beschermen.

---

(1)  Aanvullende informatie over federale en deelstaatwetgeving op het gebied van privacy is beschikbaar in bijlage A en een overzicht van onze recente handhavingsmaatregelen op het gebied van privacy en veiligheid is beschikbaar op de website van de FTC: https://www.ftc.gov/reports/privacy-data-security-update-2015

(2)  15 U.S.C. § 45(a).

(3)  Zie FTC Policy Statement on Deception, bijlage bij Cliffdale Assocs., Inc., 103 F.T.C. 110, 174 (1984), beschikbaar op: https://www.ftc.gov/public-statements/1983/10/ftc-policy-statement-deception

(4)  Zie 15 U.S.C § 45(n); FTC Policy Statement on Unfairness, bijlage bij Int'l Harvester Co., 104 F.T.C. 949, 1070 (1984), beschikbaar op: https://www.ftc.gov/public-statements/1980/12/ftc-policy-statement-unfairness

(5)  Zie California Dental Ass'n v. FTC, 526 U.S. 756 (1999).

(6)  Zie Office of the Privacy Commissioner of Canada, Complaint under PIPEDA against Accusearch, Inc., doing business as Abika.com, https://www.priv.gc.ca/cf-dc/2009/20090090731_e.asp. Het bureau van de Privacy Commissioner van Canada diende een memorie in als amicus curiae in de beroepszaak tegen de FTC-maatregel en voerde een eigen onderzoek uit, naar aanleiding waarvan werd geconcludeerd dat de praktijken van Accusearch ook de Canadese wetgeving schonden.

(7)  Zie FTC v. Accusearch, Inc., No. 06CV015D (D. Wyo. Dec. 20, 2007), aff'd 570 F.3d 1187 (10th Cir. 2009).

(8)  Zie In the Matter of True Ultimate Standards Everywhere, Inc., No. C-4512 (F.T.C. 12 maart 2015) (decision and order), beschikbaar op: https://www.ftc.gov/system/files/documents/cases/150318trust-edo.pdf

(9)  Zie In the Matter of Google, Inc., No. C-4336 (F.T.C. Oct. 13 2011) (decision and order), beschikbaar op: https://www.ftc.gov/news-events/press-releases/2011/03/ftc-charges-deceptive-privacy-practices-googles-rollout-its-buzz; In the Matter of Facebook, Inc., No. C-4365 (F.T.C. July 27, 2012) (decision and order), beschikbaar op: https://www.ftc.gov/news-events/press-releases/2012/08/ftc-approves-final-settlement-facebook; In the Matter of Myspace LLC, No. C-4369 (F.T.C. Aug. 30, 2012) (decision and order), beschikbaar op: https://www.ftc.gov/news-events/press-releases/2012/09/ftc-finalizes-privacy-settlement-myspace

(10)  Zie FTC v. Karnani, No. 2:09-cv-05276 (C.D. Cal. May 20, 2011) (stipulated final order), beschikbaar op: https://www.ftc.gov/sites/default/files/documents/cases/2011/06/110609karnanistip.pdf; zie ook Lesley Fair, FTC Business Center Blog, Around the World in Shady Ways, http://www.business.ftc.gov/blog/2011/06/around-world-shady-ways (June 9, 2011).

(11)  Brief van Ken Hyatt, waarnemend onderminister van Handel voor Internationale Handel, International Trade Administration, aan Věra Jourová, Commissaris voor Justitie, Consumentenrechten en Gendergelijkheid.

(12)  Bij de bepaling of zij haar bevoegdheid op grond van de U.S. Safe WEB Act zal uitoefenen, neemt de FTC onder andere het volgende in overweging: „(A) of de verzoekende instantie heeft ingestemd met het verstrekken van wederzijdse bijstand aan de FTC of deze bijstand zal verstrekken; B) of het voldoen aan het verzoek het openbaar belang van de Verenigde Staten in het gedrang zal brengen; en (C) of de onderzoeks- of handhavingsprocedure van de verzoekende instantie betrekking heeft op handelingen of praktijken die aan een aanzienlijk aantal personen schade toebrengen of waarschijnlijk kunnen toebrengen.” 15 U.S.C. § 46(j)(3). Deze bevoegdheid is niet van toepassing op de handhaving van mededingingswetgeving.

(13)  In de boekjaren 2012-2015 maakte de FTC bijvoorbeeld gebruik van haar bevoegdheid op grond van de U.S Safe WEB Act om informatie te delen in reactie op bijna zestig verzoeken van buitenlandse instanties en deed zij bijna zestig civielrechtelijke onderzoeksverzoeken (vergelijkbaar met administratieve dagvaardingen) om te helpen bij 25 buitenlandse onderzoeken.

(14)  Hoewel de FTC geen individuele klachten van consumenten oplost of hierin bemiddelt, bevestigt de FTC dat zij van Europese gegevensbeschermingsinstanties afkomstige verwijzingen in het kader van het privacyschild prioriteit geeft. Daarnaast gebruikt de FTC klachten in haar Consumer Sentinel-databank, die voor veel andere wetshandhavingsinstanties toegankelijk is, om de richting van ontwikkelingen te bepalen, handhavingsprioriteiten vast te stellen en mogelijke onderzoeksdoelen vast te stellen. Particulieren in de EU kunnen gebruikmaken van hetzelfde klachtensysteem dat beschikbaar is voor Amerikaanse burgers om een klacht in te dienen bij de FTC op: www.ftc.gov/complaint. Voor individuele klachten in het kader van het privacyschild kan het voor particulieren in de EU echter zeer nuttig zijn om klachten in te dienen bij de gegevensbeschermingsinstantie in hun lidstaat of bij een alternatieve geschillenbeslechtingsinstantie.

(15)  15 U.S.C. § 45(m); 16 C.F.R. § 1.98.

(16)  Zie FTC, Business Center, Legal Resources, https://www.ftc.gov/tips-advice/business-center/legal-resources?type=case&field_consumer_protection_topics_tid=251

BIJLAGE V

19 februari 2016

Commissaris Vera Jourová

Europese Commissie

Wetstraat 200

1049 Brussel

BELGIË

Betreft: EU-VS-privacyschildkader

Geachte commissaris Jourová:

Het Amerikaanse ministerie van Vervoer (het „ministerie”) stelt het op prijs zijn rol bij de handhaving van het EU-VS-privacyschildkader te kunnen beschrijven. Dit kader speelt een cruciale rol bij de bescherming van persoonsgegevens die bij commerciële transacties worden verstrekt in wereld waar alles steeds nauwer verweven is. Dankzij het kader kunnen bedrijven belangrijke activiteiten uitvoeren in de wereldeconomie, terwijl tegelijkertijd wordt verzekerd dat consumenten in de EU belangrijke bescherming op het gebied van privacy behouden.

Het ministerie zegde meer dan vijftien jaar geleden in een brief aan de Europese Commissie voor het eerst in het openbaar toe te zullen meewerken aan de handhaving van het Veiligehavenkader. Het ministerie beloofde in die brief de Veiligehavenbeginselen voor de privacybescherming krachtig te zullen handhaven. Het ministerie blijft deze toezegging nakomen en in deze brief wordt zij nogmaals in herinnering gebracht.

Het ministerie hernieuwt zijn toezegging in het bijzonder op de volgende vier gebieden: 1) het verlenen van prioriteit aan het onderzoek van vermeende schendingen van het privacyschild; 2) passende handhavingsmaatregelen tegen entiteiten die valse of misleidende beweringen doen over privacyschildcertificering; en 3) het houden van toezicht op de uitvoering en de openbaarmaking van handhavingsbevelen inzake schendingen van het privacyschild. We verstrekken hier informatie over elk van deze toezeggingen en, voor de nodige context, tevens achtergrondinformatie over de rol van het ministerie bij de bescherming van de privacy van consumenten en de handhaving van het privacyschildkader.

I.   ACHTERGROND

A.   Bevoegdheid van het ministerie op het gebied van privacy

Het ministerie spant zich tot het uiterste in om de privacy te verzekeren inzake informatie die consumenten aan luchtvaartmaatschappijen en reisbureaus verstrekken. De bevoegdheid van het ministerie om op dit gebied actie te ondernemen, is neergelegd in 49.S.C. 41712, waarin het luchtvaartmaatschappijen en reisbureaus wordt verboden „oneerlijke of misleidende praktijken uit te voeren of een oneerlijke mededingingsmethode te gebruiken” bij de verkoop van luchtvervoer die leidt tot of kan leiden tot schade bij de consument. Sectie 41712 volgt hetzelfde patroon als sectie 5 van de Federal Trade Commission (FTC) Act (15 U.S.C. 45). Zoals wij de wet betreffende oneerlijke of misleidende praktijken uitleggen, is het een luchtvaartmaatschappij of reisbureau verboden om: 1) de voorwaarden van het eigen privacybeleid te schenden, of 2) persoonlijke informatie te verzamelen of openbaar te maken op een manier die in strijd is met openbaar beleid of goede zeden of die aanzienlijke schade veroorzaakt voor de consument, die niet wordt gecompenseerd door eventuele voordelen. Volgens onze interpretatie van sectie 41712 is het luchtvaartmaatschappijen en reisbureaus tevens verboden om: 1) een door het ministerie uitgevaardigd voorschrift te schenden waarin specifieke privacypraktijken als oneerlijk of misleidend worden aangemerkt; of 2) de Children's Online Privacy Protection Act (COPPA) of FTC-voorschriften ter de uitvoering van de COPPA te schenden. Op grond van federale wetgeving heeft het ministerie de exclusieve bevoegdheid om de privacypraktijken van luchtvaartmaatschappijen te reguleren en deelt het rechtsbevoegdheid met de FTC met betrekking tot de privacypraktijken van reisbureaus bij de verkoop van luchtvervoer.

Zodoende kan het ministerie, nadat een luchtvaartmaatschappij of een verkoper van luchtvervoer publiekelijk heeft toegezegd zich te houden aan de privacybeginselen van het privacyschildkader, de wettelijke bevoegdheden die zijn vastgesteld in sectie 41712 gebruiken om de naleving van deze beginselen te verzekeren. Zodra een passagier gegevens verstrekt aan een luchtvaartmaatschappij die of reisbureau dat heeft toegezegd zich te zullen houden aan de privacybeginselen van het privacyschildkader en dit vervolgens niet doet, handelt deze maatschappij of dit bureau dan ook in strijd met sectie 41712.

B.   Handhavingspraktijken

Het bureau voor handhaving en procedures betreffende de luchtvaart van het ministerie (bureau voor handhaving betreffende de luchtvaart) onderzoekt en vervolgt zaken op grond van 49 U.S.C. 41712. Het bureau handhaaft het wettelijk verbod in sectie 41712 op oneerlijke en misleidende praktijken voornamelijk door middel van onderhandelingen, het opstellen van administratieve verboden, en het opstellen van besluiten waarin civiele sancties worden beoordeeld. Informatie over mogelijke schendingen verkrijgt het bureau voornamelijk via klachten die worden ingediend door individuele personen, reisbureaus, luchtvaartmaatschappijen en Amerikaanse en buitenlandse overheidsinstanties. Consumenten kunnen de website van het ministerie gebruiken om privacyklachten in te dienen tegen luchtvaartmaatschappijen en reisbureaus 258 (1).

Indien er in een zaak geen redelijke en passende schikking wordt bereikt, heeft het bureau voor handhaving betreffende de luchtvaart de bevoegdheid om een handhavingsprocedure in te stellen in het kader waarvan een hoorzitting wordt georganiseerd voor een bestuursrechter van het ministerie. Deze rechter heeft de bevoegdheid om administratieve bevelen uit te vaardigen en civiele sancties op te leggen. Een schending van sectie 41712 kan leiden tot een verbod van dergelijke activiteiten en het opleggen van civielrechtelijke sancties tot 27 500 USD voor elke schending van sectie 41712.

Het ministerie heeft geen bevoegdheid om schadevergoeding toe te kennen of geldelijke genoegdoening te bieden aan individuele klagers. Het ministerie heeft echter wel de bevoegdheid om schikkingen goed te keuren naar aanleiding van onderzoek dat is gedaan door het bureau voor handhaving betreffende de luchtvaart en die rechtstreeks ten gunste komen aan consumenten (bv. contanten, coupons) in plaats van geldboetes die anders aan de Amerikaanse regering zouden moeten worden betaald. Dit is in het verleden voorgekomen en kan ook in het kader van de privacybeginselen van het privacyschild voorkomen, mochten de omstandigheden dat rechtvaardigen. Herhaalde schending van sectie 41712 door een luchtvaartmaatschappij leidt ook tot vragen met betrekking tot de nalevingsbepaling van de maatschappij die, in uitzonderlijke gevallen, ertoe kunnen leiden dat een maatschappij niet langer geschikt voor exploitatie wordt geacht en derhalve haar exploitatievergunning verliest.

Tot op heden heeft het ministerie relatief weinig klachten ontvangen over vermeende privacyschendingen door reisbureaus of luchtvaartmaatschappijen. Als deze zich voordoen, worden ze onderzocht overeenkomstig de voornoemde beginselen.

C.   Juridische bescherming door het ministerie ten behoeve van EU-consumenten

Op grond van sectie 41712 is het verbod op oneerlijke of misleidende praktijken in het luchtvervoer of de verkoop van luchtvervoer van toepassing op Amerikaanse en buitenlandse luchtvaartmaatschappijen en reisbureaus. Het ministerie onderneemt regelmatig actie tegen Amerikaanse en buitenlandse luchtvaartmaatschappijen voor praktijken die van invloed zijn op zowel buitenlandse als Amerikaanse consumenten voor zover de praktijken van de luchtvaartmaatschappij plaatsvonden tijdens het bieden van vervoer van en naar de Verenigde Staten. Het ministerie gebruikt alle rechtsmiddelen die het ter beschikking staat om zowel buitenlandse als Amerikaanse consumenten te beschermen tegen oneerlijke en misleidende praktijken in het luchtvervoer door gereguleerde entiteiten en zal dat ook blijven doen.

Het ministerie handhaaft met betrekking tot luchtvaartmaatschappijen tevens andere specifieke wetgeving waarvan de bescherming ook consumenten buiten de VS omvat, zoals de COPPA. De COPPA verplicht exploitanten van op kinderen gerichte websites en onlinediensten of websites voor het algemene publiek die doelbewust persoonlijke informatie verzamelen van kinderen onder de 13 jaar, onder meer om de ouders in kennis te stellen en hun controleerbare toestemming te verkrijgen. Amerikaanse websites en diensten waarop de COPPA van toepassing is en door middel waarvan persoonsgegevens worden verzameld van buitenlandse kinderen, moeten de COPPA in acht nemen. Buitenlandse websites en onlinediensten moeten ook aan de COPPA-bepalingen voldoen als zij gericht zijn op kinderen in de Verenigde Staten of als daarmee doelbewust persoonsgegevens worden verzameld van kinderen in de Verenigde Staten. Voor zover Amerikaanse of buitenlandse luchtvaartmaatschappijen die zaken doen in de VS de COPPA schenden, heeft het ministerie de bevoegdheid om handhavingsmaatregelen te treffen.

II.   HANDHAVING VAN HET PRIVACYSCHILD

Als een luchtvaartmaatschappij of reisbureau ervoor kiest deel te nemen aan het privacyschildkader en het ministerie een klacht ontvangt dat deze maatschappij of dit bureau het kader zou hebben geschonden, dan neemt het ministerie de volgende stappen om het kader krachtig te handhaven.

A.   Het geven van prioriteit aan het onderzoek van vermeende schendingen

Het bureau voor handhaving betreffende de luchtvaart van het ministerie onderzoekt elke klacht waarin wordt gesteld dat het privacyschild is geschonden (waaronder klachten van Europese gegevensbeschermingsautoriteiten) en neemt handhavingsmaatregelen wanneer er bewijs is voor de schending. Daarnaast werkt het bureau voor handhaving betreffende de luchtvaart samen met de FTC en het ministerie van Handel en geeft het prioriteit aan het onderzoek van beweringen dat de gereguleerde entiteiten zich niet houden aan de toezeggingen inzake privacy die als onderdeel van het privacyschildkader zijn gedaan.

Na ontvangst van een beschuldiging van schending van het privacyschildkader kan het bureau voor handhaving betreffende de luchtvaart van het ministerie als onderdeel van zijn onderzoek een reeks aan maatregelen nemen. Het kan bijvoorbeeld het privacybeleid van het reisbureau of de luchtvaartmaatschappij beoordelen, nadere informatie opvragen bij het bureau of de maatschappij of bij derden, de verwijzende entiteit nader raadplegen en beoordelen of er een patroon van schendingen bestaat of sprake is van een aanzienlijk aantal getroffen consumenten. Bovendien stelt het ministerie vast of de kwestie gevolgen heeft voor zaken die binnen de bevoegdheid van het ministerie van Handel of de FTC vallen, beoordeelt het of voorlichting van consumenten of bedrijven nuttig is en begint het, in voorkomend geval, een handhavingsprocedure.

Als het ministerie kennis krijgt van mogelijke schendingen van het privacyschild door reisbureaus, zorgt het voor afstemming dienaangaande met de FTC. Ook informeren we de FTC en het ministerie van Handel over de uitkomst van eventuele handhavingsmaatregelen in het kader van het privacyschild.

B.   Aanpak van valse of misleidende verklaringen over het lidmaatschap

Het ministerie blijft zich inspannen om schendingen van het privacyschild te onderzoeken, waaronder valse of misleidende verklaringen over het lidmaatschap van het privacyschildprogramma. We geven prioriteit aan verwijzingen van het ministerie van Handel inzake organisaties waarvan het ministerie vaststelt dat zij zich ten onrechte uitgeven als lid van het privacyschild of dat zij het keurmerk van het privacyschildkader zonder toestemming gebruiken.

Daarnaast merken we op dat indien in het kader van het privacybeleid van een organisatie wordt beloofd dat zij voldoet aan de materiële privacyschildbeginselen, het feit dat de organisatie zich niet bij het ministerie van Handel registreert of haar registratie daar niet verlengt, op zichzelf waarschijnlijk geen reden vormt om de organisatie te vrijwaren van de handhaving door het ministerie van Vervoer van deze toezegging.

C.   Toezicht op uitvoering en openbaarmaking van handhavingsbevelen inzake schendingen van het privacyschild

Het bureau voor handhaving betreffende de luchtvaart van het ministerie blijft zich ook inspannen om toezicht te houden op de uitvoering van handhavingsbevelen voor zover dat nodig is om de naleving van het privacyschildprogramma te verzekeren. Met name wanneer het bureau een bevel uitvaardigt waarbij een luchtvaartmaatschappij of reisbureau wordt gelast zich in de toekomst te onthouden van schendingen van het privacyschild en sectie 41712 zal het toezicht houden op de naleving door die entiteit van deze verbodsbepaling in het bevel. Daarnaast verzekert het bureau dat besluiten die voortvloeien uit privacyschildzaken beschikbaar zijn op zijn website.

We kijken uit naar het voortzetten van de samenwerking met onze federale partners en Europese belanghebbenden op het gebied van het privacyschild.

Ik hoop u hiermee voldoende te hebben geïnformeerd. Mocht u vragen hebben of meer informatie willen, dan kunt u altijd contact met mij opnemen.

---

(1)  http://www.transportation.gov/ai rconsumer/privacy-complaints

BIJLAGE VI

22 februari 2016

Dhr. Justin S. Antonipillai

Counselor

Amerikaans ministerie van Handel

1401 Constitution Ave., NW

Washington, DC 20230

Dhr. Ted Dean

Deputy Assistant Secretary

International Trade Administration

1401 Constitution Ave., NW

Washington, DC 20230

Geachte heren Antonipillai en Dean:

De afgelopen tweeënhalf jaar heeft de VS in het kader van de onderhandelingen over het EU-VS-privacyschild veel informatie verstrekt over de werking van de Amerikaanse inlichtingendiensten wat betreft hun activiteiten inzake het verzamelen van inlichtingen uit berichtenverkeer. Het ging onder meer om informatie over het toepasselijke rechtskader, het meerlagige toezicht op die activiteiten, de uitgebreide transparantie over deze activiteiten en de algemene waarborgen voor de privacy en burgerlijke vrijheden, om de Europese Commissie te helpen de adequaatheid te bepalen van deze waarborgen voor zover zij verband houden met de uitzondering op de privacyschildbeginselen op grond van de nationale veiligheid. In dit document wordt de verstrekte informatie samengevat.

I.   PPD-28 EN HET UITVOEREN VAN ACTIVITEITEN IN HET KADER VAN INLICHTINGEN UIT BERICHTENVERKEER DOOR DE VS

De Amerikaanse inlichtingendiensten verzamelen buitenlandse inlichtingen op een nauwkeurig gecontroleerde wijze, in strikte overeenstemming met het Amerikaanse recht en onderworpen aan meerdere toezichtslagen, waarbij de nadruk ligt op belangrijke buitenlandse inlichtingen en nationale veiligheidsprioriteiten. Op het verzamelen van inlichtingen uit berichtenverkeer door de VS is een veelheid aan wetgeving en beleid van toepassing, waaronder de Amerikaanse grondwet, de Foreign Intelligence Surveillance Act (50 U.S.C. § 1801 e.v.) (hierna „FISA” genoemd), Executive Order (uitvoeringsbevel) 12333 en de uitvoeringsprocedures daarvan, presidentiële richtlijnen en talrijke procedures en richtlijnen die zijn goedgekeurd door de FISA Court en de Attorney General waarin aanvullende voorschriften zijn vastgesteld die het verzamelen, bewaren, gebruiken en verspreiden van buitenlandse inlichtingen beperken (1).

a)   PPD 28 overzicht

In januari 2014 hield president Obama een toespraak waarin hij verscheidene hervormingen van de Amerikaanse activiteiten in het kader van inlichtingen uit berichtenverkeer aankondigde en vaardigde hij Presidential Policy Directive 28 (hierna „PPD-28” genoemd) uit die betrekking heeft op deze activiteiten (2). De president benadrukte dat de Amerikaanse activiteiten in het kader van inlichtingen uit berichtenverkeer niet alleen helpen ons land en onze vrijheden te beveiligen, maar ook de veiligheid en de vrijheden van andere landen helpen waarborgen, waaronder de EU-lidstaten, die vertrouwen op informatie van de Amerikaanse inlichtingendiensten om hun eigen burgers te beschermen.

In PPD-28 wordt een reeks beginselen en vereisten vastgesteld die van toepassing zijn op alle Amerikaanse activiteiten in het kader van inlichtingen uit berichtenverkeer en die gelden voor alle personen, ongeacht hun nationaliteit of de plaats waar zij zich bevinden. In de PPD-28 worden met name bepaalde vereisten vastgesteld voor procedures voor het verzamelen, bewaren en verspreiden van persoonsgegevens van niet-VS-burgers die zijn verkregen door middel van Amerikaanse inlichtingen uit berichtenverkeer. Deze vereisten worden verderop meer gedetailleerd beschreven, maar behelzen samengevat het volgende:

—	in de PPD-28 wordt herhaald dat de VS alleen inlichtingen uit berichtenverkeer verzamelt voor zover dat is toegestaan bij wet, uitvoeringsbevel of andere presidentiële richtlijn.

—	in PPD-28 worden procedures vastgesteld die moeten verzekeren dat activiteiten in het kader van inlichtingen uit berichtenverkeer uitsluitend worden uitgevoerd ter bevordering van rechtmatige en toegestane doeleinden in verband met nationale veiligheid.

—

de PPD-28 schrijft ook voor dat bij het plannen van activiteiten voor de verzameling van inlichtingen uit berichtenverkeer rekening moet worden gehouden met privacy en burgerlijke vrijheden. De VS verzamelt met name geen inlichtingen om kritiek of afwijkende meningen te onderdrukken of te bemoeilijken, om personen te benadelen op basis van hun etniciteit, ras, geslacht, seksuele gerichtheid of religie of om een concurrerend handelsvoordeel te verlenen aan Amerikaanse bedrijven en bedrijfssectoren.

—	in de PPD-28 is bepaald dat het verzamelen van inlichtingen uit berichtenverkeer zo gericht mogelijk moet plaatsvinden en dat bulksgewijs verzamelde inlichtingen uit berichtenverkeer uitsluitend voor bepaalde, specifiek opgesomde doeleinden kunnen worden gebruikt.

—

de PPD-28 bepaalt dat de inlichtingendiensten procedures vaststellen die redelijkerwijs zijn opgezet om de verspreiding en de opslag van persoonsgegevens die door middel van activiteiten in het kader van inlichtingen uit berichtenverkeer zijn verzameld, te beperken en die met name bepaalde waarborgen die van toepassing zijn op de persoonsgegevens van Amerikanen, uitbreiden naar persoonsgegevens van niet-Amerikanen.

—	voor overheidsinstanties zijn procedures ter uitvoering van PPD-28 vastgesteld en openbaar gemaakt.

De toepasselijkheid van de procedures en waarborgen die hierin zijn vastgesteld op het privacyschild, is duidelijk. Wanneer overeenkomstig het privacyschild, of via andere middelen, gegevens zijn overgedragen aan bedrijven in de Verenigde Staten, dan kunnen de Amerikaanse inlichtingendiensten die gegevens uitsluitend opvragen bij die bedrijven als het verzoek voldoet aan de FISA of wordt ingediend op grond van een van de wettelijke bepalingen van de National Security Letter, die hierna worden besproken (3). Bovendien zouden, zonder bevestiging of ontkenning van mediaverslagen waarin wordt gesteld dat de Amerikaanse inlichtingendiensten gegevens verzamelen van trans-Atlantische kabels, terwijl deze worden overgedragen naar de Verenigde Staten, de Amerikaanse inlichtingendiensten, mochten zij gegevens verzamelen via trans-Atlantische kabels, dan zouden zij dat doen onder toepassing van de beperkingen en waarborgen die hierin zijn vastgesteld, waaronder de vereisten van PPD-28.

b)   Beperkingen wat het verzamelen betreft

In PPD-28 wordt een aantal belangrijke algemene beginselen vastgesteld die van toepassing zijn op het verzamelen van inlichtingen uit berichtenverkeer:

—	het verzamelen van inlichtingen uit berichtenverkeer moet zijn toegestaan op grond van een wet of presidentiële goedkeuring en moet geschieden overeenkomstig de grondwet en de wetgeving.

—	de privacy en de burgerlijke vrijheden moeten integrale overwegingen zijn bij de planning van activiteiten in het kader van inlichtingen uit berichtenverkeer.

—	inlichtingen uit berichtenverkeer worden uitsluitend verzameld wanneer er een rechtmatig doeleinde is in het kader van buitenlandse inlichtingen of contra-inlichtingen.

—	de Verenigde Staten verzamelen geen inlichtingen uit berichtenverkeer met het oog op de onderdrukking of bemoeilijking van kritiek of een afwijkende mening.

—	de Verenigde Staten verzamelen geen inlichtingen uit berichtenverkeer om mensen te benadelen op basis van hun etniciteit, ras, geslacht, seksuele geaardheid of religie.

—	de Verenigde Staten verzamelen geen inlichtingen uit berichtenverkeer om een concurrerend voordeel te verlenen aan Amerikaanse bedrijven of bedrijfssectoren.

—

Amerikaanse activiteiten in het kader van inlichtingen uit berichtenverkeer moeten altijd zo gericht mogelijk plaatsvinden, rekening houdend met de beschikbaarheid van andere informatiebronnen. Dit houdt onder andere in dat, wanneer dat mogelijk is, activiteiten in het kader van de verzameling van inlichtingen uit berichtenverkeer gericht worden uitgevoerd en niet bulksgewijs.

Het vereiste dat activiteiten in het kader van inlichtingen uit berichtenverkeer „zo gericht mogelijk” moeten plaatsvinden, is van toepassing op de wijze waarop de inlichtingen uit berichtenverkeer worden verzameld en tevens op wat er daadwerkelijk wordt verzameld. Bij de beslissing om inlichtingen uit berichtenverkeer te gaan verzamelen, moeten de inlichtingendiensten bijvoorbeeld in overweging nemen of er andere informatie beschikbaar is, waaronder uit diplomatische of openbare bronnen, en de verzameling via deze bronnen prioriteit geven, indien dat passend en haalbaar is. Bovendien moeten onderdelen van de inlichtingendiensten,waar mogelijk, vereisen dat het verzamelen door middel van discriminanten (bv. specifieke voorzieningen, selectietermen en identificatoren) wordt gericht op specifieke doelwitten of onderwerpen van buitenlandse inlichtingen.

Het is belangrijk om de informatie die aan de Commissie wordt verstrekt als één geheel te beschouwen. Besluiten over wat „haalbaar” of „praktisch” is, worden niet overgelaten aan de beslissingsbevoegdheid van personen, maar zijn onderworpen aan beleidsmaatregelen die de instanties hebben vastgesteld op grond van PPD-28, en die openbaar zijn gemaakt, en aan andere hierin beschreven processen (4). Zoals in PPD-28 is bepaald, wordt onder het bulksgewijs verzamelen van inlichtingen uit berichtenverkeer verstaan: de verzameling die als gevolg van technische of operationele overwegingen wordt verkregen zonder het gebruik van discriminanten (bv. specifieke identificatoren, selectietermen enz.). In dit opzicht wordt in PPD-28 erkend dat onderdelen van de inlichtingendiensten in bepaalde omstandigheden inlichtingen uit berichtenverkeer bulksgewijs moeten verzamelen om nieuwe of opkomende dreigingen en andere informatie over de nationale veiligheid te identificeren die vaak verborgen is binnen het grote en complexe systeem van moderne wereldwijde communicatie. Tevens worden de zorgen op het gebied van privacy en burgerlijke vrijheden erkend die ontstaan bij het bulksgewijs verzamelen van inlichtingen uit berichtenverkeer. Daarom wordt de inlichtingendiensten in PPD-28 opgedragen alternatieven waarmee gerichte inlichtingen uit berichtenverkeer kunnen worden uitgevoerd voorrang te geven boven het bulksgewijs verzamelen van inlichtingen uit berichtenverkeer. Onderdelen van de inlichtingendiensten moeten derhalve, wanneer dat haalbaar is, gerichte activiteiten in het kader van het verzamelen van inlichtingen uit berichtenverkeer uitvoeren in plaats van activiteiten voor het bulksgewijs verzamelen van inlichtingen uit berichtenverkeer (5). Deze beginselen verzekeren dat de algemene regel niet wordt herroepen door de uitzondering voor bulksgewijs verzamelen.

Het concept „redelijkheid” is een ankerpunt in de Amerikaanse wetgeving. Het houdt in dat de onderdelen van de inlichtingendiensten niet elke theoretisch mogelijke maatregel hoeven te nemen, maar hun inspanningen ter bescherming van de rechtmatige belangen op het gebied van privacy en burgerlijke vrijheden in evenwicht moeten brengen met de praktische vereisten van activiteiten in het kader van inlichtingen uit berichtenverkeer. Ook hier zijn de beleidsmaatregelen van de instanties beschikbaar gemaakt en deze kunnen de verzekering bieden dat de term „redelijkerwijs ontworpen om de verspreiding en opslag van persoonsgegevens te beperken”, de algemene regel niet ondermijnt.

PPD-28 voorziet er tevens in dat bulksgewijs verzamelde inlichtingen uit berichtenverkeer uitsluitend kunnen worden gebruikt voor zes doeleinden: opsporen en bestrijden van bepaalde activiteiten van buitenlandse mogendheden; contra-terrorisme; bestrijding van wapendistributie; cyberveiligheid; opsporen en bestrijden van dreigingen tegen de Amerikaanse of geallieerde krijgsmacht; en de bestrijding van grensoverschrijdende criminele dreigingen, waaronder het ontwijken van sancties. De nationale veiligheidsadviseur van de president beoordeelt, in overleg met de Director for National Intelligence (directeur van het inlichtingenwerk, hierna „DNI” genoemd), jaarlijks het toegestane gebruik van bulksgewijs verzamelde inlichtingen uit berichtenverkeer om te zien of dit moeten worden gewijzigd. De DNI maakt deze lijst voor zover mogelijk en in overeenstemming met de nationale veiligheid openbaar beschikbaar. Dit biedt een belangrijke en transparante beperking van het gebruik van bulksgewijze verzameling van inlichtingen uit berichtenverkeer.

Daarnaast hebben de onderdelen van de inlichtingendiensten die PPD-28 hebben uitgevoerd bestaande analysepraktijken en normen voor het onderzoeken van niet-beoordeelde inlichtingen uit berichtenverkeer versterkt (6). Analisten moeten hun zoekopdrachten of andere zoektermen en -technieken zo vormgeven dat wordt verzekerd dat ze uitsluitend geschikt zijn om inlichtingen te identificeren die betrekking hebben op een geldige taak in het kader van buitenlandse inlichtingen of wetshandhaving. Hiervoor moeten onderdelen van de inlichtingendiensten zoekopdrachten over personen richten op de categorieën inlichtingen uit berichtenverkeer die het meest geschikt zin voor een vereiste in het kader van buitenlandse inlichtingen of wetshandhaving, om zo te voorkomen dat persoonsgegevens worden gebruikt die geen onderdeel vormen van vereisten in het kader van buitenlandse inlichtingen of wetshandhaving.

Er moet worden benadrukt dat eventuele bulksgewijze verzamelingsactiviteiten met betrekking tot internetcommunicatie die de Amerikaanse inlichtingendiensten door middel van inlichtingen uit berichtenverkeer uitvoeren, betrekking hebben op een klein deel van het internet. Daarnaast verzekert het gebruik van gerichte zoekopdrachten, zoals hiervoor beschreven, dat uitsluitend die onderdelen waarvan wordt aangenomen dat ze mogelijk van waarde zijn voor inlichtingen, ter onderzoek worden aangeboden aan analisten. Deze beperkingen zijn ingesteld om de privacy en burgerlijke vrijheden van eenieder te beschermen, ongeacht nationaliteit of verblijfplaats.

De Verenigde Staten hebben uitgebreide processen ingesteld om te verzekeren dat activiteiten in het kader van inlichtingen uit berichtenverkeer uitsluitend worden uitgevoerd ter bevordering van geschikte doeleinden op het gebied van de nationale veiligheid. Elk jaar stelt de president de hoogste prioriteiten van het land vast voor het verzamelen van buitenlandse inlichtingen, na een uitgebreid en formeel proces dat tussen de instanties plaatsvindt. De DNI is ervoor verantwoordelijk deze inlichtingenprioriteiten op te nemen in het nationaal kader voor inlichtingenprioriteiten, ofwel NIPF. PPD-28 heeft de processen tussen de instanties versterkt en verbeterd, om te verzekeren dat alle inlichtingenprioriteiten van de inlichtingendiensten worden beoordeeld en goedgekeurd door beleidsmakers op hoog niveau. Intelligence Community Directive 204 voorziet in nadere richtsnoeren over het NIPF en is in januari 2015 bijgewerkt om de vereisten van PPD-28 op te nemen (7). Hoewel het NIPF vertrouwelijk is, wordt informatie in verband met specifieke prioriteiten van de Amerikaanse buitenlandse inlichtingen jaarlijks opgenomen in de niet-vertrouwelijke Worldwide Threat Assessment, die ook beschikbaar is op de website van het ODNI.

De prioriteiten in het NIPF zijn redelijk algemeen geformuleerd. Ze omvatten onderwerpen als het onderzoeken van de mogelijkheden van ballistische en kernraketten door bepaalde buitenlandse opponenten, de gevolgen van corruptie door drugkartels en mensenrechtenschendingen in bepaalde landen. Ze zijn ook niet uitsluitend van toepassing op inlichtingen uit berichtenverkeer, maar op alle inlichtingenactiviteiten. De organisatie die verantwoordelijk is voor het vertalen van de prioriteiten in het NIPF naar de daadwerkelijke verzameling van inlichtingen uit berichtenverkeer is de National Signals Intelligence Committee (nationale commissie voor inlichtingen uit berichtenverkeer), oftewel SIGCOM. SIGCOM opereert onder toezicht van de directeur van het National Security Agency (NSA), die wordt aangewezen door uitvoeringsbevel 12333 als de „functioneel beheerder voor inlichtingen uit berichtenverkeer”, verantwoordelijk voor het toezicht op en de coördinatie van inlichtingen uit berichtenverkeer binnen de inlichtingendiensten onder toezicht van de minister van Defensie en de DNI. SIGCOM heeft vertegenwoordigers uit alle onderdelen van de inlichtingendiensten en, nadat de Verenigde Staten PPD-28 volledig hebben uitgevoerd, zal deze commissie tevens vertegenwoordigers hebben uit andere ministeries en instanties die beleidsbelang hebben bij inlichtingen uit berichtenverkeer.

Alle Amerikaanse ministeries en instanties die afnemers zijn van buitenlandse inlichtingen, dienen hun verzoeken voor verzameling in bij SIGCOM. SIGCOM beoordeelt deze verzoeken, waarborgt dat deze overeenstemmen met het NIPF en wijst prioriteiten toe aan de hand van criteria zoals:

—	kunnen inlichtingen uit berichtenverkeer in dit geval nuttige informatie bieden of zijn er betere of kostenefficiëntere informatiebronnen om dit vereiste aan te pakken, zoals afbeeldingen of informatie uit open bronnen?

—	hoe cruciaal is deze informatie? Als deze een hoge prioriteit heeft in het NIPF, heeft deze meestal ook een hoge prioriteit in het kader van inlichtingen uit berichtenverkeer.

—	welk soort inlichtingen uit berichtenverkeer kan worden gebruikt?

—	wordt er zo gericht mogelijk verzameld? Zijn er beperkingen, bijvoorbeeld in tijd of locatie?

In het proces voor de vereisten van Amerikaanse inlichtingen uit berichtenverkeer moet tevens expliciet aandacht worden besteed aan andere factoren, namelijk:

—	is het doelwit van de verzameling of de methodologie die voor het verzamelen wordt gebruikt, bijzonder gevoelig? Als dat het geval is, dan moet dit worden beoordeeld door senior beleidsmakers.

—	vormt de verzameling een ongeoorloofd risico voor de privacy en burgerlijke vrijheden, ongeacht de nationaliteit?

—	zijn er aanvullende waarborgen op het gebied van verspreiding en opslag noodzakelijk om de privacy of belangen in het kader van de nationale veiligheid te beschermen?

Tot slot bekijkt speciaal opgeleid NSA-personeel, aan het eind van het proces, de door SIGCOM en het onderzoek gevalideerde prioriteiten en stelt specifieke selectietermen vast, zoals telefoonnummers of e-mailadressen, waarvan wordt gedacht dat hiermee buitenlandse inlichtingen kunnen worden verzameld in het kader van deze prioriteiten. Elke selectieterm moet worden beoordeeld en goedgekeurd voordat deze wordt ingevoerd in de verzamelsystemen van de NSA. En zelfs dan is het de vraag of en wanneer de daadwerkelijke verzameling plaatsvindt afhankelijk van aanvullende overwegingen, zoals de beschikbaarheid van passende bronnen voor de verzameling. Dit proces waarborgt dat het verzamelen van inlichtingen uit berichtenverkeer door de VS een afspiegeling vormt van geldige en belangrijke behoeften op het gebied van buitenlandse inlichtingen. Daarnaast moeten de NSA en andere instanties, wanneer de verzameling wordt uitgevoerd overeenkomstig de FISA, zich natuurlijk houden aan aanvullende beperkingen die zijn goedgekeurd door de Foreign Intelligence Surveillance Court. Kortom, de NSA noch een andere Amerikaanse inlichtingeninstantie besluit zelfstandig wat er wordt verzameld.

Dit proces verzekert in het algemeen dat alle Amerikaanse inlichtingenprioriteiten worden vastgesteld door senior beleidsmakers die het beste in staat zijn om de vereisten in het kader van de buitenlandse inlichtingen van de VS te identificeren, en dat deze beleidsmakers niet alleen rekening houden met de mogelijke waarde van de verzamelde inlichtingen, maar ook met de risico's die samenhangen met de verzameling, waaronder risico's in het kader van privacy, nationale economische belangen en buitenlandse betrekkingen.

Met betrekking tot gegevens die naar de Verenigde Staten worden overgebracht overeenkomstig het privacyschild, kunnen de Verenigde Staten weliswaar geen specifieke inlichtingenmethoden of -activiteiten bevestigen of ontkennen, maar zijn de vereisten van PPD-28 van toepassing op alle activiteiten in het kader van inlichtingen uit berichtenverkeer die de Verenigde Staten uitvoeren, ongeacht de soort of de bron van de gegevens die worden verzameld. Bovendien zijn de beperkingen en waarborgen die van toepassing zijn op de verzameling van inlichtingen uit berichtenverkeer, ook van toepassing op inlichtingen uit berichtenverkeer die worden verzameld voor elk toegestaan gebruik, waaronder zowel buitenlandse betrekkingen als nationale veiligheidsdoelstellingen.

De hiervoor besproken procedures tonen aan dat er veel waarde wordt gehecht aan het voorkomen van de willekeurige en ongedifferentieerde verzameling van inlichtingen uit berichtenverkeer, en aan de uitvoering, vanuit onze hoogste regeringsniveaus, van het beginsel van redelijkheid. PPD-28 en uitvoeringsprocedures van de instanties verduidelijken nieuwe en bestaande beperkingen van en beschrijven specifieker het doeleinde waarvoor de Verenigde Staten inlichtingen uit berichtenverkeer verzamelen en gebruiken. Deze procedures moeten verzekeren dat activiteiten in het kader van inlichtingen uit berichtenverkeer uitsluitend worden uitgevoerd om rechtmatige doelstellingen op het gebied van buitenlandse inlichtingen te bevorderen.

c)   Beperkingen aan de opslag en verspreiding

In sectie 4 van PPD-28 wordt verplicht dat elk onderdeel van de inlichtingendiensten expliciete beperkingen invoert voor de opslag en verspreiding van persoonsgegevens over niet-Amerikanen die zijn verzameld met behulp van inlichtingen uit berichtenverkeer, die vergelijkbaar zijn met de beperkingen voor Amerikanen. Deze voorschriften zijn opgenomen in procedures voor elke inlichtingendienst die zijn vrijgegeven in februari 2015 en openbaar beschikbaar zijn. Om in aanmerking te komen voor opslag of verspreiding als buitenlandse inlichtingen, moeten persoonsgegevens verband houden met een toegestaan inlichtingenvereiste, zoals vastgesteld in de NIPF-procedure die hiervoor is beschreven; moet redelijkerwijs worden aangenomen dat zij het bewijs vormen van een misdrijf; of moeten zij voldoen aan een van de andere normen voor opslag van Amerikaanse persoonsgegevens, zoals vermeld in sectie 2.3 van uitvoeringsbevel 12333.

Informatie waarvoor een dergelijk vaststelling niet is gemaakt, mag niet worden opgeslagen voor een periode langer dan vijf jaar, tenzij de DNI expliciet vaststelt dat verlengde opslag noodzakelijk is in het belang van de nationale veiligheid van de Verenigde Staten. Derhalve moeten onderdelen van de inlichtingendiensten persoonsgegevens van niet-Amerikanen die zijn verzameld met behulp van inlichtingen uit berichtenverkeer vijf jaar na de verzameling verwijderen, tenzij bijvoorbeeld is vastgesteld dat de gegevens relevant zijn voor een toegestaan vereiste in het kader van buitenlandse inlichtingen of als de DNI bepaalt, na beoordeling van de standpunten van de functionarissen voor de bescherming van burgerlijke vrijheden van het ODNI en van de instellingen, dat langere opslag in het belang is van de nationale veiligheid.

Daarnaast wordt in alle beleidsmaatregelen van instanties die PPD-28 ten uitvoer leggen, expliciet vereist dat gegevens over een persoon niet mogen worden verspreid uitsluitend omdat een betrokkene geen Amerikaan is, en heeft het ODNI een richtlijn uitgevaardigd voor alle onderdelen van de inlichtingendiensten (8) waarin dit vereiste is opgenomen. Personeel van de inlichtingendiensten moet specifiek rekening houden met de privacybelangen van niet-Amerikanen wanneer zij inlichtingenrapporten opstellen en verspreiden. Inlichtingen uit berichtenverkeer worden met name met betrekking tot de routineactiviteiten van een buitenlandse persoon niet beschouwd als buitenlandse inlichtingen die kunnen worden verspreid of permanent bewaard op grond van dat enkele feit, tenzij dat is afgestemd op een toegestaan vereiste in het kader van buitenlandse inlichtingen. Hiermee wordt dit erkend als een belangrijke beperking en dit is een reactie op de zorgen van de Europese Commissie over de reikwijdte van de definitie van buitenlandse inlichtingen, zoals vastgesteld in uitvoeringsbevel 12333.

d)   Naleving en toezicht

Het Amerikaanse systeem van toezicht op buitenlandse inlichtingen voorziet in strikt en meerlagig toezicht om de naleving van toepasselijke wetgeving en procedures te waarborgen, waaronder die welke betrekking hebben op het verzamelen, opslaan en verspreiden van gegevens over niet-Amerikanen die zijn verkregen door middel van inlichtingen uit berichtenverkeer, zoals beschreven in PPD-28. Het gaat onder meer om de volgende gebieden:

—

bij de inlichtingendiensten zijn honderden mensen werkzaam als toezichthoudend personeel. Alleen al de NSA heeft 300 mensen in dienst die zich toeleggen op naleving, en de andere onderdelen hebben ook toezichtsafdelingen. Bovendien biedt het ministerie van Justitie uitgebreid toezicht op de inlichtingenactiviteiten, en vindt er tevens vanuit het ministerie van Defensie toezicht plaats.

—

elk onderdeel van de inlichtingendiensten heeft zijn eigen Office of the Inspector General (bureau van de inspecteur-generaal) dat verantwoordelijk is voor, onder andere, het toezicht op de buitenlandse inlichtingenactiviteiten. Een inspecteur-generaal is wettelijk onafhankelijk, heeft een ruime bevoegdheid om onderzoek, audits en evaluaties van programma's uit te voeren, onder meer op het gebied van fraude en misbruik of schending van de wet, en kan corrigerende maatregelen voorstellen. Hoewel aanbevelingen van een inspecteur-generaal niet bindend zijn, worden de verslagen van inspecteurs-generaal vaak openbaar gemaakt en zijn zij in elk geval beschikbaar voor het Congres. Dit omvat tevens follow-upverslagen voor het geval waarin correctieve maatregelen die zijn aanbevolen in eerdere verslagen, nog niet zijn voltooid. Het Congres wordt derhalve geïnformeerd over de niet-naleving en kan druk uitoefenen, onder meer door middel van de begroting, om een correctieve maatregel te bewerkstelligen. Een aantal rapporten van inspecteurs-generaal over inlichtingenprogramma's zijn openbaar gemaakt (9).

—

het Civil Liberties and Privacy Office (bureau voor burgerlijke vrijheden en privacy, hierna „CLPO” genoemd) van het ODNI is belast met het waarborgen dat de inlichtingendiensten zodanig opereren dat de nationale veiligheid wordt bevorderd, terwijl de burgerlijke vrijheden en privacyrechten worden beschermd (10). Andere onderdelen van de inlichtingendiensten hebben hun eigen privacyfunctionarissen.

—

de Privacy and Civil Liberties Oversight Board (raad van toezicht op de privacy en de burgerlijke vrijheden, hierna „PCLOB” genoemd) is een onafhankelijk orgaan dat bij wet is opgericht en is belast met de analyse en beoordeling van programma's en beleid in het kader van contra-terrorisme, waaronder het gebruik van inlichtingen uit berichtenverkeer, om te waarborgen dat deze de privacy en burgerlijke vrijheden toereikend beschermen. Deze raad heeft meerdere openbare verslagen over inlichtingenactiviteiten opgesteld.

—

zoals hierna in meer detail zal worden besproken, is het Foreign Intelligence Surveilance Court, een rechtbank die bestaat uit onafhankelijke federale rechters, verantwoordelijk voor het toezicht op en de naleving van activiteiten in het kader van het verzamelen van inlichtingen uit berichtenverkeer overeenkomstig de FISA.

—

tot slot heeft het Congres van de Verenigde Staten, met name de inlichtingen- en rechterlijke commissies van het Huis van afgevaardigden en de Senaat, aanzienlijke verantwoordelijkheden voor het toezicht op alle buitenlandse inlichtingenactiviteiten van de Verenigde Staten, met inbegrip van inlichtingen uit berichtenverkeer van de Verenigde Staten.

Afgezien van deze formele toezichtsmechanismen hebben de inlichtingendiensten meerdere mechanismen ingevoerd om te waarborgen dat de inlichtingendiensten voldoen aan de verzamelingsbeperkingen die hiervoor worden beschreven. Bijvoorbeeld:

—	kabinetsmedewerkers moeten hun vereisten inzake inlichtingen uit berichtenverkeer elk jaar valideren.

—

de NSA controleert doelwitten van inlichtingen uit berichtenverkeer gedurende het gehele verzamelproces om vast te stellen of ze daadwerkelijk waardevolle buitenlandse inlichtingen opleveren die overeenkomen met de prioriteiten, en stopt de verzameling bij doelwitten waarbij daar geen sprake van is. Aanvullende procedures verzekeren dat de selectietermen periodiek worden herzien.

—

op basis van een aanbeveling van een onafhankelijke herzieningsgroep die wordt benoemd door president Obama, heeft de directeur van de DNI een nieuw mechanisme ingesteld om toezicht te houden op de verzameling en verspreiden van inlichtingen uit berichtenverkeer die bijzonder gevoelig zijn als gevolg van de aard van het doelwit of de verzamelmethoden, om te verzekeren dat deze consistent is met de vaststellingen van beleidsmakers.

—

tot slot voert het bureau van de directeur van de nationale inlichtingendienst jaarlijks een herziening uit van de toewijzing van middelen van de inlichtingendiensten ten opzichte van de NIPF-prioriteiten en de inlichtingenmissie als geheel. Deze herziening omvat beoordelingen van de waarde van alle soorten van inlichtingenverzameling, waaronder inlichtingen uit berichtenverkeer, en kijkt zowel terug (hoe succesvol waren de inlichtingendiensten bij het bereiken van hun doelstellingen?) als vooruit (wat hebben de inlichtingendiensten in de toekomst nodig?) Zo wordt verzekerd dat bronnen van inlichtingen uit berichtenverkeer worden toegepast op de belangrijkste nationale prioriteiten.

Zoals blijkt uit dit uitgebreide overzicht, beslissen de inlichtingendiensten niet zelfstandig over welke gesprekken zij afluisteren, proberen zij niet alles te verzamelen en handelen zij niet zonder enige vorm van toezicht. De activiteiten zijn voornamelijk gericht op door beleidsmakers vastgestelde prioriteiten, waarbij een proces wordt gevolgd dat rekening houdt met input vanuit de gehele overheid en waarop toezicht wordt gehouden zowel binnen de NSA als door het ODNI, het ministerie van Justitie en het ministerie van Defensie.

PPD-28 bevat tevens vele andere bepalingen die waarborgen dat persoonsgegevens die zijn verzameld in het kader van inlichtingen uit berichtenverkeer, worden beschermd, ongeacht de nationaliteit. Zo wordt er in PPD-28 bijvoorbeeld voorzien in gegevensbeveiliging, toegang en kwaliteitsprocedures om persoonsgegevens te beschermen die door middel van inlichtingen uit berichtenverkeer zijn verzameld, en wordt voorzien in verplichte opleiding om te waarborgen dat het personeel de verantwoordelijkheid om persoonsgegevens, ongeacht nationaliteit, te beschermen, begrijpt. PPD-28 voorziet ook in aanvullende toezichts- en nalevingsmechanismen. Deze mechanismen bestaan uit periodieke audits en beoordelingen door de bevoegde toezichts- en nalevingsfunctionarissen van de praktijken voor de bescherming van persoonsgegevens die deel uitmaken van inlichtingen uit berichtenverkeer. De beoordelingen moeten tevens onderzoeken of de instanties de procedures voor de bescherming van dergelijke informatie naleven.

Daarnaast is in PPD-28 vastgelegd dat omvangrijke nalevingsproblemen met betrekking tot niet-Amerikanen in de hogere overheidsniveaus worden aangepakt. Mocht er zich een omvangrijk nalevingsprobleem voordoen met betrekking tot persoonsgegevens van een persoon die zijn verzameld als gevolg van activiteiten in het kader van inlichtingen uit berichtenverkeer, dan moet dit probleem, in aanvulling op eventuele bestaande rapportagevereisten, direct worden gemeld bij de DNI. Als het probleem betrekking heeft op een niet-Amerikaanse persoon, bepaalt de DNI, in overleg met de minister van Buitenlandse Zaken en het hoofd van het desbetreffende onderdeel van de inlichtingendiensten, of er stappen moeten worden genomen om de relevante buitenlandse overheid op de hoogte te stellen, in overeenstemming met de bescherming van bronnen en methoden en van Amerikaans personeel. Bovendien heeft de minister van Buitenlandse Zaken, zoals vastgesteld in PPD-28, een senior ambtenaar, Under Secretary Catherine Novelli, aangesteld als contactpunt voor buitenlandse overheden die problemen willen aankaarten in verband met de activiteiten in het kader van inlichtingen uit berichtenverkeer van de Verenigde Staten. Deze betrokkenheid op hoog niveau is een voorbeeld van de inspanningen die de Amerikaanse overheid in de laatste paar jaar heeft gedaan om vertrouwen te scheppen voor de vele en overlappende privacybeschermingen die gelden voor gegevens van Amerikanen en niet-Amerikanen.

e)   Samenvatting

De processen van de Verenigde Staten voor het verzamelen, opslaan en verspreiden van buitenlandse inlichtingen biedt belangrijke privacywaarborgen voor de persoonlijke gegevens van iedereen, ongeacht nationaliteit. Deze processen verzekeren in het bijzonder dat onze inlichtingendiensten zich richten op hun nationale veiligheidsmissie, zoals toegestaan door de toepasselijke wetgeving, uitvoeringsbevelen en presidentiële richtlijnen; gegevens beschermen tegen onbevoegde toegang, onbevoegd gebruik en onbevoegde openbaarmaking; en hun activiteiten uitvoeren overeenkomstig meerdere lagen van herziening en toezicht, waaronder door toezichtsommissies van het Congres. PPD-28 en de uitvoeringsprocedures daarvan geven onze inspanningen weer om bepaalde minimaliserings- en andere aanzienlijke beginselen op het gebied van gegevensbescherming uit te breiden naar de persoonsgegevens van eenieder, ongeacht nationaliteit. Op persoonsgegevens die worden verkregen door middel van de Amerikaanse verzameling van inlichtingen uit berichtenverkeer zijn de beginselen en vereisten van de Amerikaanse wetgeving en presidentiële sturing van toepassing, waaronder de in PPD-28 vastgestelde beschermingen. Deze beginselen en vereisten verzekeren dat iedereen met waardigheid en respect wordt behandeld, ongeacht nationaliteit of verblijfplaats, en erkennen dat eenieder rechtmatige privacybelangen heeft bij de verwerking van zijn persoonsgegevens.

II.   FOREIGN INTELLIGENCE SURVEILLANCE ACT — SECTIE 702

Verzameling op grond van sectie 702 van de Foreign Surveillance Act (11) gebeurt niet op „grote schaal en ongedifferentieerd”, maar is precies gericht op de verzameling van buitenlandse inlichtingen afkomstig van afzonderlijk geïdentificeerde rechtmatige doelwitten, wordt duidelijk toegestaan door expliciete wettelijke machtiging; en is onderworpen aan zowel onafhankelijk juridisch toezicht als omvangrijke herziening en toezicht binnen de uitvoerende macht en het Congres. Verzameling op grond van sectie 702 wordt beschouwd als inlichtingen uit berichtenverkeer, waarop de vereisten van PPD-28 van toepassing zijn (12).

Verzameling op grond van sectie 702 is een van de meest waardevolle bronnen van inlichtingen ter bescherming van zowel de Verenigde Staten als onze Europese partners. Uitgebreide informatie over de werking van en het toezicht op sectie 702 is openbaar beschikbaar. Er zijn vele gerechtsdocumenten, gerechtelijke besluiten en toezichtsverslagen in verband met het programma openbaar gemaakt en vrijgegeven op de website voor openbare bekendmaking van het ODNI: www.icontherecord.tumblr.com. Bovendien is sectie 702 uitgebreid geanalyseerd door het PCLOB, in een verslag dat beschikbaar is op https://www.pclob.gov/library/702-Report.pdf (13).

Sectie 702 is aangenomen als onderdeel van de FISA Amendments Act van 2008 (14), na uitgebreide openbare besprekingen in het Congres. Hierin wordt het verwerven van buitenlandse inlichtingen toegestaan door middel van het focussen op niet-Amerikaanse personen buiten de Verenigde Staten, met de gedwongen ondersteuning van Amerikaanse dienstverleners op het gebied van elektronische communicatie. In sectie 702 wordt de Attorney General en de DNI, twee functionarissen op kabinetsniveau die door de president worden benoemd en worden bevestigd door de Senaat, de bevoegdheid verleend om jaarlijkse certificaten te verstrekken aan de FISA-rechtbank (15). Deze certificaten identificeren specifieke categorieën buitenlandse inlichtingen die moeten worden verzameld, zoals inlichtingen over contra-terrorisme of massavernietigingswapens, die moeten vallen in een van de categorieën van buitenlandse inlichtingen die zijn gedefinieerd in de FISA (16). Zoals het PCLOB opmerkte „[s]taan deze beperkingen niet het onbeperkt verzamelen van informatie over buitenlanders toe” (17).

De certificeringen zijn ook vereist om de procedures met betrekking tot „gerichtheid” en „minimalisering” op te nemen, die moeten worden beoordeeld en goedgekeurd door de FISA-rechtbank (18). De gerichtheidsprocedures zijn ontworpen om te waarborgen dat de verzameling uitsluitend plaatsvindt zoals wettelijk is toegestaan en valt binnen de reikwijdte van de certificeringen; de minimaliseringsprocedures zijn ontworpen om de verwerving, verspreiding en opslag van informatie over Amerikaanse personen te beperken, maar bevatten tevens bepalingen die uitgebreide bescherming bieden aan de gegevens over niet-Amerikanen, zoals hierna wordt beschreven. Bovendien is, zoals hiervoor is beschreven, in PPD-28 door de president bepaald dat de inlichtingendiensten aanvullende waarborgen moeten verstrekken voor persoonsgegevens van niet-Amerikanen en dat deze waarborgen van toepassing zijn op gegevens die zijn verzameld op grond van sectie 702.

Zodra de rechtbank de gerichtheids- en minimaliseringsprocedures goedkeurt, wordt verzameling op grond van sectie 702 niet gezien als bulksgewijs of ongedifferentieerd, maar „is deze volledig gericht op specifieke personen over wie een geïndividualiseerd besluit is genomen”, zoals het PCLOB verklaarde (19). De verzameling wordt gericht door middel van het gebruik van afzonderlijke selectoren, zoals e-mailadressen of telefoonnummers, waarvan medewerkers van de Amerikaanse inlichtingendiensten hebben vastgesteld dat deze waarschijnlijk worden gebruikt om buitenlandse inlichtingen te communiceren van het type waarop de bij de rechtbank ingediende certificering van toepassing is (20). De basis voor de selectie van het doelwit moet schriftelijk worden vastgelegd en de documentatie voor elke selector wordt vervolgens beoordeeld door het ministerie van Justitie (21). De Amerikaanse overheid heeft informatie vrijgegeven waaruit blijkt dat er in 2014 ongeveer 90 000 personen werden onderzocht op grond van sectie 702, slechts een minuscule hoeveelheid van de meer dan drie miljard internetgebruikers wereldwijd (22).

Informatie die is verzameld op grond van sectie 702 is onderworpen aan door de rechtbank goedgekeurde minimaliseringsprocedures, waarmee bescherming wordt geboden aan zowel niet-Amerikanen als Amerikanen, en die openbaar zijn gemaakt (23). Communicatie die bijvoorbeeld is verkregen op grond van sectie 702, ongeacht of deze afkomstig is van Amerikanen of niet-Amerikanen, wordt opgeslagen in databanken met een strikte toegangscontrole. Deze communicatie mag alleen worden bekeken door medewerkers van de inlichtingendiensten die zijn opgeleid op het gebied van minimaliseringsprocedures in het kader van privacybescherming en die specifiek toestemming hebben gekregen voor die toegang om de functies uit te oefenen waartoe zij gemachtigd zijn (24). Het gebruik van de gegevens is beperkt tot de identificatie van buitenlandse inlichtingen of het bestaan van een misdrijf (25). Op grond van PPD-28 mag deze informatie uitsluitend worden verspreid als er een geldig doeleinde in het kader van buitenlandse inlichtingen of wetshandhaving bestaat; het enkele feit dat een partij bij de communicatie niet Amerikaans is, is onvoldoende (26). In de minimaliseringsprocedures en PPD-28 zijn ook beperkingen vastgesteld over hoe lang gegevens die zijn verzameld op grond van sectie 702, mogen worden bewaard (27).

Het toezicht op sectie 702 is uitgebreid en wordt uitgevoerd door alle drie de machten van onze overheid. Instanties die de wetgeving uitvoeren, beschikken over meerdere niveaus van interne beoordeling, waaronder door onafhankelijke inspecteurs-generaal, en technologische controles over toegang tot de gegevens. Het ministerie van Justitie en het bureau van de directeur van de nationale inlichtingendienst beoordelen en onderzoeken het gebruik van sectie 702 om de naleving met wettelijke voorschriften te verifiëren. Instanties hebben ook een onafhankelijke verplichting om mogelijke incidenten betreffende niet-naleving te rapporteren. Deze incidenten worden onderzocht en alle nalevingsincidenten worden gerapporteerd aan het Foreign Intelligence Surveillance Court, het Intelligence Oversight Board van de president, en het Congres en worden op passende wijze verholpen (28). Tot op heden hebben er geen incidenten of bewuste pogingen plaatsgevonden om de wetgeving te schenden of wettelijke vereisten te omzeilen (29).

De FISA-rechtbank speelt een belangrijke rol bij de uitvoering van sectie 702. Deze rechtbank bestaat uit onafhankelijke federale rechters die gedurende een termijn van zeven jaar zitting hebben in de FISA-rechtbank, maar die, net als alle federale rechters, voor het leven als rechter zijn benoemd. Zoals hiervoor is opgemerkt, moet deze rechtbank de jaarlijkse certificeringen en de gerichtheids- en minimaliseringsprocedures beoordelen op de naleving van de wet. Daarnaast is de overheid, zoals ook hiervoor al is opgemerkt, verplicht de rechtbank direct in kennis te stellen van nalevingsproblemen (30). Er zijn meerdere adviezen van de rechtbank openbaar gemaakt en vrijgegeven waaruit blijkt hoe nauwkeurig de onderzoeken plaatsvinden en hoe onafhankelijk de rechtbank functioneert in deze incidenten.

De veeleisende processen van de rechtbank zijn beschreven door de voormalige president van de rechtbank in een brief aan het Congres die openbaar is gemaakt (31). En als gevolg van de USA FREEDOM Act is de rechtbank, zoals hierna wordt beschreven, nu uitdrukkelijk bevoegd om een externe advocaat te benoemen als onafhankelijke pleitbezorger in het kader van de privacy in zaken waar nieuwe of belangrijke juridische kwesties aan de orde komen (32). Deze mate van betrokkenheid door de onafhankelijke rechterlijke macht van een land bij activiteiten in het kader van buitenlandse inlichtingen gericht op personen die geen burger zijn van dat land noch zich in dat land bevinden, is ongebruikelijk, zo niet ongekend, en helpt te waarborgen dat de verzameling in het kader van sectie 702 plaatsvindt binnen de toepasselijke juridische beperkingen.

Het Congres oefent toezicht uit op grond van wettelijk vereiste verslagen aan de inlichtingen- en rechterlijke commissies, en regelmatige mededelingen en hoorzittingen. Deze omvatten een halfjaarlijks verslag van de Attorney General waarin de toepassing van sectie 702 en eventuele nalevingsincidenten worden beschreven (33); en een afzonderlijke halfjaarlijkse beoordeling van de Attorney General en DNI waarin de naleving van de procedures voor het specificeren van het doelwit en de minimaliseringsprocedures wordt gedocumenteerd, inclusief de naleving van de procedures die ervoor moeten zorgen dat de verzameling een geldig doel op het gebied van buitenlandse inlichtingen dient (34); en een jaarverslag afkomstig van de hoofden van inlichtingenonderdelen, met de certificering dat de verzameling op grond van sectie 702 nog steeds buitenlandse inlichtingen oplevert (35).

Kortom, de verzameling op grond van sectie 702 is wettelijk toegestaan; is onderworpen aan meerdere beoordelingsniveaus, rechterlijke controle en toezicht; en wordt, zoals de FISA-rechtbank verklaarde in een recentelijk openbaar gemaakt advies „niet bulksgewijs of op ongedifferentieerde manier uitgevoerd”, maar „door middel van.. discrete gerichtheidsbesluiten voor afzonderlijke [communicatie]faciliteiten” (36).

III.   USA FREEDOM ACT

De USA FREEDOM Act, die in juni 2015 in werking is getreden, heeft de Amerikaanse surveillance- en andere nationale veiligheidsinstanties aanzienlijk gewijzigd en de publieke transparantie over het gebruik van deze instanties en over beslissingen van de FISA-rechtbank verhoogd, zoals hierna wordt toegelicht (37). Deze wet verzekert dat onze professionals op het gebied van inlichtingen en wetshandhaving beschikken over de benodigde bevoegdheden om het land te beschermen, terwijl voorts wordt gewaarborgd dat de privacy van personen op passende wijze wordt beschermd wanneer van deze bevoegdheden gebruik wordt gemaakt. De wet verbetert de privacy en burgerlijke vrijheden en verhoogt de transparantie.

De wet verbiedt het bulksgewijs verzamelen van gegevens, zowel van Amerikanen als van niet-Amerikanen, op grond van verschillende bepalingen in de FISA of door middel van het gebruik van National Security Letters, een vorm van wettelijk toegestane administratieve dagvaardingen (38). Dit verbod omvat specifiek telefonische metagegevens die verband houden met gesprekken tussen personen binnen en buiten de Verenigde Staten en omvat tevens de verzameling van informatie in het kader van het privacyschild op grond van deze bevoegdheden. In de wet wordt verplicht dat de overheid een verzoek om gegevens op grond van deze bevoegdheden baseert op een „specifieke selectieterm”, een term die een persoon, account, adres of persoonlijk apparaat specifiek identificeert op een manier die de omvang van de gewenste informatie zo ver als redelijk haalbaar is, beperkt (39). Zo wordt verder gewaarborgd dat de verzameling van informatie voor inlichtingendoeleinden zeer gericht is.

De wet brengt tevens aanzienlijke wijzigingen aan in de procedures voor de FISA-rechtbank, die zowel de transparantie verhogen als aanvullende waarborgen verstrekken dat de privacy wordt beschermd. Zoals hiervoor is opgemerkt, werd toestemming gegeven voor de oprichting van een permanent panel van geaccrediteerde advocaten met ervaring op het gebied van privacy en burgerlijke vrijheden, het verzamelen van inlichtingen, communicatietechnologie of andere relevante gebieden, die kunnen worden benoemd om voor de rechtbank te verschijnen als amicus curiae in gevallen waarin sprake is van omvangrijke of nieuwe rechtsinterpretaties. Deze advocaten hebben de bevoegdheid om juridische argumenten naar voren te brengen die de bescherming van de individuele privacy en burgerlijke vrijheden bevorderen, en hebben toegang tot alle informatie, waaronder vertrouwelijke informatie, die de rechtbank nodig acht voor het uitoefenen van hun taken (40).

De wet bouwt ook voort op de ongekende transparantie van de Amerikaanse overheid op het gebied van inlichtingenactiviteiten door de DNI, na raadpleging van de Attorney General, te verplichten elk besluit, bevel of advies dat is verstrekt door de FISA-rechtbank of het Foreign Intelligence Surveillance Court of Review openbaar te maken of een openbare samenvatting ervan te publiceren waarin een ingrijpende uitleg of interpretatie van een wetsbepaling is opgenomen.

Bovendien voorziet de wet in uitgebreide openbaarmakingen over verzoeken om verzameling in het kader van de FISA of National Security Letters. De Verenigde Staten moeten elk jaar aan het Congres en aan het publiek het aantal FISA-bevelen en certificeringen dat is aangevraagd en verleend, bekendmaken; schattingen van het aantal Amerikanen en niet-Amerikanen die het voorwerp zijn geweest van surveillance of waarop surveillance betrekking heeft gehad; en het aantal benoemingen van amici curiae, in aanvulling op andere soorten informatie (41). De wet bevat tevens verplichtingen over aanvullende openbare verslaglegging door de overheid over de hoeveelheid verzoeken in National Security Letters over zowel Amerikanen als niet-Amerikanen (42).

Met betrekking tot de transparantie van bedrijven biedt de wet bedrijven een reeks opties om openbaar verslag te doen van het samengevoegde aantal FISA-bevelen en -richtlijnen van National Security Letters dat zij ontvangen van de overheid, evenals het aantal klantaccounts waarop deze bevelen gericht zijn (43). Verschillende bedrijven hebben reeds dergelijke informatie bekendgemaakt, waaruit het geringe aantal klanten blijkt waarvan om gegevens is verzocht.

Deze transparantieverslagen van bedrijven tonen aan dat de Amerikaanse inlichtingenverzoeken slechts betrekking hebben op een minuscule hoeveelheid gegevens. Het recente transparantieverslag van een grote onderneming laat bijvoorbeeld zien dat deze verzoeken in het kader van de nationale veiligheid ontving (overeenkomstig FISA of National Security Letters) die betrekking hadden op minder dan 20 000 van zijn accounts op een moment waarop de onderneming minstens 400 miljoen abonnees had. Met andere woorden: alle door deze onderneming gerapporteerde Amerikaanse verzoeken in het kader van de nationale veiligheid hadden betrekking op minder dan 0,005 % van zijn abonnees. Zelfs als al deze verzoeken betrekking hadden gehad op Safe Harbor-gegevens, wat uiteraard niet het geval is, is duidelijk dat deze verzoeken gericht zijn en een passende omvang hebben en niet bulksgewijs noch ongedifferentieerd plaatsvinden.

Tot slot heeft de wetgeving waarin National Security Letters worden toegestaan, de omstandigheden waaronder een ontvanger van een dergelijke brief kan worden verboden deze openbaar te maken, weliswaar reeds beperkt, maar deze wet voorziet er verder in dat dergelijke geheimhoudingsvereisten periodiek moeten worden herzien en dat ontvangers van een National Security Letter worden geïnformeerd wanneer de feiten een geheimhoudinsgvereiste niet langer ondersteunen; en heeft de procedures gecodificeerd waarmee ontvangers beroep kunnen instellen tegen geheimhoudingsvereisten (44).

Kortom, de belangrijke wijzigingen die de USA FREEDOM Act heeft aangebracht in de bevoegdheden van Amerikaanse inlichtingendiensten zijn een duidelijk bewijs van de uitgebreide inspanningen die de Verenigde Staten hebben ondernomen om de bescherming van persoonsgegevens, privacy, burgerlijke vrijheden en transparantie bij alle Amerikaanse inlichtingenpraktijken op de voorgrond te plaatsen.

IV.   TRANSPARANTIE

In aanvulling op de transparantie die wordt voorgeschreven in de USA FREEDOM Act, verstrekken de Amerikaanse inlichtingendiensten het publiek nog veel meer informatie, zodat een sterk voorbeeld wordt gegeven ten aanzien van de transparantie in het kader van zijn inlichtingenactiviteiten. De inlichtingendiensten hebben veel van hun beleidsmaatregelen, procedures, besluiten van het Foreign Intelligence Surveillance Court en andere openbaar gemaakte inhoud gepubliceerd, zodat een uitzonderlijk hoge mate van transparantie is bereikt. Daarnaast hebben de inlichtingendiensten aanzienlijk meer statistieken bekendgemaakt over het gebruik door de overheid van de verzamelingsbevoegdheden in het kader van de nationale veiligheid. Op 22 april 2015 publiceerden de inlichtingendiensten hun tweede jaarverslag met statistieken over hoe vaak de overheid deze belangrijke bevoegdheden gebruikt. Het ODNI heeft op zijn website en op IC On the Record ook een reeks concrete transparantiebeginselen (45) en een uitvoeringsplan gepubliceerd dat de beginselen vertaalt naar concrete, meetbare initiatieven (46). In oktober 2015 gelastte de DNI dat elke inlichtingendienst een functionaris voor de transparantie van inlichtingen moest benomen om transparantie te bevorderen en leiding te geven aan transparantie-initiatieven (47). De transparantiefunctionaris werkt nauw samen met de functionaris voor privacy en burgerlijke vrijheden van elke inlichtingendienst om te verzekeren dat transparantie, privacy en burgerlijke vrijheden topprioriteiten blijven.

Als voorbeeld van deze inspanningen heeft de verantwoordelijke functionaris voor privacy en burgerlijke vrijheden van de NSA de afgelopen jaren meerdere niet-vertrouwelijke verslagen vrijgegeven, waaronder verslagen over activiteiten op grond van sectie 702, uitvoeringsbevel 12333 en de USA FREEDOM Act (48). Daarnaast werken de inlichtingendiensten nauw samen met het PCLOB, het Congres en de Amerikaanse privacybelangenvereniging om waar mogelijk nog meer transparantie te bieden in verband met de Amerikaanse inlichtingenactiviteiten en in overeenstemming met de bescherming van gevoelige informatiebronnen en -methoden. Als geheel genomen zijn de Amerikaanse inlichtingenactiviteiten net zo transparant als of transparanter dan die van elk ander land in de wereld en zijn ze zo transparant als mogelijk, rekening houdend met de behoefte om gevoelige bronnen en methoden te beschermen.

De uitgebreide transparantie van de Amerikaanse inlichtingenactiviteiten samengevat:

—

de inlichtingendiensten hebben duizenden pagina's aan rechtbankadviezen en procedures van instanties vrijgegeven en online geplaatst waarin de specifieke procedures en vereisten van onze inlichtingenactiviteiten worden beschreven. We hebben tevens verslagen vrijgegeven over de naleving door inlichtingendiensten van de toepasselijke beperkingen.

—	senior medewerkers van inlichtingendiensten spreken vaak in het openbaar over de rollen en activiteiten van hun organisaties, waaronder beschrijvingen van nalevingsregelingen en waarborgen die van toepassing zijn op hun werkzaamheden.

—	de inlichtingendiensten hebben meerdere aanvullende documenten vrijgegeven over de inlichtingenactiviteiten op grond van de Freedom of Information Act.

—	de president heeft PPD-28 uitgevaardigd, waarin in het openbaar aanvullende beperkingen uiteen werden gezet over onze inlichtingenactiviteiten en het ODNI heeft twee openbare verslagen opgesteld over de tenuitvoerlegging van deze beperkingen.

—	de inlichtingendiensten zijn nu wettelijk verplicht om belangrijke juridische adviezen die zijn verstrekt door de FISA-rechtbank of samenvattingen van deze adviezen, vrij te geven.

—	de overheid is verplicht om jaarlijks verslag te doen van de mate waarin gebruik wordt gemaakt van bepaalde bevoegdheden op het gebied van de nationale veiligheid en bedrijven mogen dat ook doen.

—	het PCLOB heeft verschillende gedetailleerde openbare verslagen opgesteld over inlichtingenactiviteiten en blijft dat ook doen.

—	de inlichtingendiensten verstrekken uitgebreide vertrouwelijke informatie aan toezichtscommissies van het Congres.

—	de DNI heeft transparantiebeginselen opgesteld die van toepassing zijn op de activiteiten van de inlichtingendiensten.

Deze uitgebreide transparantie wordt voortgezet. Eventuele informatie die openbaar wordt gemaakt, wordt uiteraard beschikbaar gemaakt voor zowel het ministerie van Handel als de Europese Commissie. De jaarlijkse herziening tussen het ministerie van Handel en de Europese Commissie over het privacyschild biedt mogelijkheden voor de Europese Commissie om eventuele vragen te stellen die zijn ontstaan naar aanleiding van nieuwe vrijgegeven informatie, evenals eventuele andere zaken die betrekking hebben op het privacyschild en de werking daarvan, en we begrijpen dat het ministerie, naar eigen goeddunken, vertegenwoordigers van andere instanties, waaronder de inlichtingendiensten, kan uitnodigen om deel te nemen aan deze herziening. Dit is uiteraard in aanvulling op het mechanisme van PPD-28 waarmee de lidstaten van de EU surveillancegerelateerde bekommernissen kenbaar kunnen maken aan een aangewezen functionaris van het ministerie van Buitenlandse Zaken.

V.   RECHTSMIDDELEN

De Amerikaanse wetgeving voorziet in een aantal mogelijke rechtsmiddelen voor betrokkenen die het voorwerp zijn geweest van onrechtmatige elektronische surveillance ten behoeve van de nationale veiligheid. Op grond van de FISA is het recht op rechtsmiddelen in de Amerikaanse rechtbank niet beperkt tot Amerikanen. Een betrokkene die kan aantonen dat hij belang heeft bij het aanhangig maken van een procedure, beschikt over de rechtsmiddelen om onrechtmatige elektronische surveillance in het kader van de FISA voor de rechter te laten komen. In de FISA is het personen die het voorwerp zijn geweest van onrechtmatige elektronische surveillance, bijvoorbeeld toegestaan Amerikaanse overheidsfunctionarissen in hun persoonlijke hoedanigheid aan te klagen voor geldelijke vergoedingen, waaronder schadeloosstelling en advocaatkosten. Zie 50 U.S.C. § 1810. Betrokkenen die kunnen aantonen dat zij belang hebben bij het aanhangig maken van een procedure, beschikken ook over civiele rechtsmiddelen voor schadevergoeding, waaronder proceskosten, tegen de Verenigde Staten wanneer informatie over hen die is verkregen door middel van elektronische surveillance in het kader van de FISA, onrechtmatig en bewust is gebruikt of openbaar gemaakt. Zie 18 U.S.C. § 2712. Indien de overheid voornemens is informatie te gebruiken of bekend te maken die is verkregen of is afgeleid uit elektronische surveillance van een benadeelde persoon in het kader van de FISA tegen die betrokkene tijdens juridische of administratieve procedures in de Verenigde Staten, dan moet de overheid vooraf deze intentie kenbaar maken aan de rechtbank en aan de betrokkene, die vervolgens de rechtmatigheid van de surveillance kan aanvechten en kan verzoeken om de informatie buiten beschouwing te laten. Zie 50 U.S.C. § 1806. Tot slot voorziet de FISA in strafrechtelijke sancties voor personen die bewust betrokken zijn bij onrechtmatige elektronische surveillance uit naam van de wet of die bewust informatie gebruiken of openbaar maken die is verkregen door middel van onrechtmatige surveillance. Zie 50 U.S.C. § 1809.

EU-burgers hebben andere mogelijkheden voor het aanwenden van rechtsmiddelen tegen Amerikaanse overheidsmedewerkers voor onrechtmatig gebruik door de overheid van of toegang tot gegevens, waaronder overheidsfunctionarissen die de wet schenden tijdens de onrechtmatige toegang tot of het gebruik van informatie voor vermeende doeleinden in het kader van de nationale veiligheid. De Computer Fraud en Abuse Act verbiedt de opzettelijke onbevoegde toegang (of het overschrijden van de bevoegde toegang) voor het verkrijgen van informatie van een financiële instelling, een computersysteem van de Amerikaanse overheid of een computer waartoe toegang wordt verkregen via internet, evenals dreigementen om beschermde computers te beschadigen in het kader van afpersing of fraude. Zie 18 U.S.C. § 1030. Iedereen, ongeacht nationaliteit, die schade of verlies lijdt als gevolg van een schending van deze wet kan de overtreder aanklagen (zo ook een overheidsfunctionaris) voor schadevergoeding en voorlopige of billijke genoegdoening op grond van sectie 1030(g), ongeacht of er strafrechtelijke vervolging is ingesteld, mits het gedrag minstens een van de in de wetgeving opgenomen omstandigheden omvat. De Electronic Communications Privacy Act (ECPA) reguleert de toegang van de overheid tot opgeslagen elektronische communicatie en transactiegegevens en informatie over abonnees in bezit van externe communicatieverleners. Zie 18 U.S.C. §§ 2701-2712. De ECPA staat een benadeelde persoon toe overheidsfunctionarissen aan te klagen voor opzettelijke onrechtmatige toegang tot opgeslagen gegevens. De ECPA is van toepassing op iedereen, ongeacht het staatsburgerschap en benadeelde personen kunnen schadevergoeding en advocaatkosten toegewezen krijgen. De Right to Financial Privacy Act (RFPA) beperkt de toegang van de Amerikaanse overheid tot gegevens van banken en makelaars-dealers van individuele personen. Zie 12 U.S.C. §§ 3401-3422. Op grond van de RFPA kan een klant van een bank of een makelaar-dealer de Amerikaanse overheid aanklagen voor wettelijke, daadwerkelijke en strafrechtelijke schade voor het onrechtmatig verkrijgen van toepassing tot de klantgegevens, en een oordeel dat deze onrechtmatige toegang opzettelijk was, leidt automatisch tot een onderzoek van mogelijke disciplinaire acties tegen de desbetreffende overheidsmedewerkers. Zie 12 U.S.C. § 3417.

Tot slot biedt de Freedom of Information Act (FOIA) middelen voor iedereen om toegang te vragen tot bestaande gegevens van federale instanties over elk voorwerp, behalve enkele uitzonderingscategorieën. Zie 5 U.S.C. § 552(b). Deze uitzonderingen zijn onder meer de toegang tot vertrouwelijke informatie over de nationale veiligheid, persoonlijke gegevens van derden en informatie over onderzoeken in het kader van rechtshandhaving en zijn vergelijkbaar met de beperkingen die door landen worden opgelegd in hun eigen wetgeving betreffende de toegang tot informatie. Deze beperkingen zijn gelijkelijk van toepassing op Amerikanen en niet-Amerikanen. In geschillen met betrekking tot de vrijgave van gegevens waarom is verzocht in het kader van de Freedom of Information Act, kan beroep worden ingesteld bij de administratieve rechtbank en vervolgens bij de federale rechter. De rechtbank moet opnieuw beoordelen of de gegevens terecht niet zijn vrijgegeven, 5 U.S.C. § 552(a)(4)(B), en kan de overheid dwingen toegang tot de gegevens te verlenen. De rechtbank heeft in sommige gevallen geoordeeld dat informatie die door de regering onterecht als vertrouwelijk werd aangemerkt, niet mocht worden achtergehouden (49). Hoewel er geen geldelijke compensatie beschikbaar is, kan de rechtbank wel de advocaatkosten toekennen.

VI.   CONCLUSIE

De Verenigde Staten erkennen dat onze activiteiten in het kader van inlichtingen uit berichtenverkeer en andere inlichtingenactiviteiten er rekening mee moeten houden dat eenieder respectvol en waardig moet worden behandeld, ongeacht zijn nationaliteit of verblijfplaats, en dat iedereen rechtmatige privacybelangen heeft bij de hantering van persoonsgegevens. De Verenigde Staten maken uitsluitend gebruik van inlichtingen uit berichtenverkeer ter bevordering van de nationale veiligheid en belangen in het kader van buitenlands beleid en ter bescherming van zijn burgers en de burgers van zijn bondgenoten en partners tegen onrecht. De inlichtingendiensten zijn kortom niet betrokken bij de willekeurige surveillance van wie dan ook, waaronder gewone Europese burgers. De verzameling van inlichtingen uit berichtenverkeer vindt uitsluitend plaats wanneer dat naar behoren is toegestaan en op een wijze die strikt voldoet aan deze beperkingen; uitsluitend na beoordeling van de beschikbaarheid van alternatieve bronnen, waaronder diplomatieke en openbare bronnen; en op een wijze waarop passende en haalbare alternatieven voorrang krijgen. En indien mogelijk vindt het verzamelen van inlichtingen uit berichtenverkeer uitsluitend plaats door deze te richten op specifieke doelwitten en onderwerpen van buitenlandse inlichtingen door middel van het gebruik van discriminanten.

Het Amerikaanse beleid in dit verband werd bevestigd in PPD-28. Binnen dit kader hebben de Amerikaanse inlichtingendiensten niet de wettelijke bevoegdheid, de middelen, de technische mogelijkheden of de wens om alle communicatie ter wereld te onderscheppen. Deze diensten lezen niet de e-mails van alle personen in de Verenigde Staten of wereldwijd. In overeenstemming met PPD-28 hebben de Verenigde Staten solide bescherming ingevoerd voor de persoonsgegevens van niet-Amerikanen die worden verzameld door middel van activiteiten in het kader van inlichtingen uit berichtenverkeer. Dit omvat, voor zover maximaal mogelijk en in overeenstemming met de nationale veiligheid, beleidsmaatregelen en procedures om de opslag en verspreiding van persoonsgegevens met betrekking tot niet-Amerikanen te minimaliseren, in vergelijking met de bescherming die wordt genoten door Amerikanen. Bovendien is, zoals hiervoor is besproken, de uitgebreide toezichtsregeling van de gerichte bevoegdheid in sectie 702 van de FISA ongekend. Tot slot verbeteren de omvangrijke wijzigingen in de Amerikaanse wetgeving ten aanzien van de inlichtingendiensten, zoals vastgesteld in de USA FREEDOM Act en de door het ODNI geleide initiatieven ter bevordering van de transparantie binnen de inlichtingendiensten, de privacy en burgerlijke vrijheden van eenieder aanzienlijk, ongeacht de nationaliteit van de betrokkene.

 

21 juni 2016

Dhr. Justin S. Antonipillai

Counselor

Amerikaans ministerie van Handel

1401 Constitution Avenue, N.W.

Washington, DC 20230

Dhr. Ted Dean

Deputy Assistant Secretary

International Trade Administration

1401 Constitution Avenue, N.W.

Washington, DC 20230

Geachte heren Antonipillai en Dean:

Ik schrijf u met nadere informatie over de wijze waarop de Verenigde Staten bulksgewijs inlichtingen uit berichtenverkeer verzamelen. Zoals toegelicht in voetnoot 5 van Presidential Policy Directive 28 (presidentiële richtlijn 28, hierna „PPD-28” genoemd), wordt met „bulksgewijze” verzameling bedoeld: het verkrijgen van een relatief groot volume informatie of gegevens uit berichtenverkeer onder omstandigheden waarin de inlichtingendiensten geen gebruik kunnen maken van een identificator die verband houdt met een specifiek doelwit (zoals het e-mailadres of telefoonnummer van het doelwit) waarop de verzameling wordt gericht. Dit wil echter niet zeggen dat het om „grootschalige” of „ongedifferentieerde” verzameling gaat. PPD-28 schrijft immers ook voor dat activiteiten op het gebied van inlichtingen uit berichtenverkeer zo gericht mogelijk moeten zijn. Ter bevordering van deze opdracht nemen de inlichtingendiensten maatregelen om ervoor te zorgen dat, zelf wanneer we geen specifieke identificatoren kunnen gebruiken om de verzameling op af te stemmen, de te verzamelen gegevens waarschijnlijk buitenlandse inlichtingen zullen bevatten die voldoen aan de vereisten van de Amerikaanse beleidsmakers op grond van de in mijn vorige brief uiteengezette procedure, en de hoeveelheid verzamelde niet-pertinente informatie wordt beperkt.

Aan de inlichtingendiensten kan bijvoorbeeld worden gevraagd om inlichtingen uit berichtenverkeer te verkrijgen over de activiteiten van een terroristische groepering die in een regio van een land in het Midden-Oosten actief is en waarvan wordt aangenomen dat zij aanslagen voorbereidt tegen West-Europese landen, waarbij zij mogelijk geen weet hebben van de namen, telefoonnummers, e-mailadressen of andere specifieke identificatoren van personen die banden hebben met deze groepering. Wij zouden er kunnen voor kiezen om ons op die groepering te richten door communicatie naar en vanuit die regio te verzamelen voor verder onderzoek en analyse, om na te gaan welke communicatie op deze groepering betrekking heeft. Zodoende zouden de inlichtingendiensten ernaar streven de verzameling zo beperkt mogelijk te houden. Dit zou worden beschouwd als „bulksgewijs” verzamelen omdat het gebruik van discriminanten niet haalbaar is, maar het is noch „grootschalig”, noch „ongedifferentieerd”; het is veeleer zo nauwkeurig gericht mogelijk.

Zelfs wanneer doelgerichte verzameling met gebruik van selectietermen niet mogelijk is, verzamelt de VS derhalve niet alle communicatie van alle communicatievoorzieningen ter wereld, maar past het filters en andere technische hulpmiddelen toe om de verzameling af te stemmen op de voorzieningen via welke waarschijnlijk communicatie plaatsvindt die waardevolle buitenlandse inlichtingen bevat. Op die manier treffen de activiteiten van de Verenigde Staten met betrekking tot inlichtingen uit berichtenverkeer slechts een fractie van het communicatieverkeer via het internet.

Zoals in mijn vorige brief vermeld, vormt „bulksgewijs” verzamelen bovendien een groter risico op verzamelen van niet-pertinente communicatie en daarom beperkt PPD-28 het gebruik dat de inlichtingendiensten kunnen maken van bulksgewijs verzamelde inlichtingen uit berichtenverkeer tot zes specifieke doeleinden. PPD-28 en het beleid van de instanties die dat PPD-28 uitvoeren, beperken ook de bewaring en de verspreiding van persoonsgegevens die via inlichtingen uit berichtenverkeer zijn verkregen, ongeacht of de informatie bulksgewijs werd verzameld dan wel via gerichte verzameling en ongeacht de nationaliteit van de betrokkene.

De „bulksgewijze” verzameling door de inlichtingendiensten is niet „grootschalig” of „ongedifferentieerd”, maar houdt de toepassing in van methoden en instrumenten voor het filteren van gegevensverzameling, om deze te richten op materiaal dat voldoet aan de vereisten van de beleidsmakers in verband met buitenlandse inlichtingen en tegelijkertijd de verzameling van niet-pertinente informatie tot een minimum beperkt. Er gelden ook strikte regels ter bescherming van de niet-pertinente informatie die mogelijk wordt verkregen. Het beleid en de procedures die in deze brief worden beschreven, zijn van toepassing op alle verzameling van inlichtingen uit berichtenverkeer, met inbegrip van de bulksgewijze verzameling van communicatie van en naar Europa, zonder dat wordt bevestigd of ontkend dat dergelijke verzameling plaatsvindt.

U hebt tevens om meer informatie verzocht over de Privacy and Civil Liberties Oversight Board (Raad van toezicht op de privacy en de burgerlijke vrijheden, hierna „PCLOB” genoemd) en Inspectors General, en hun bevoegdheden. De PCLOB is een onafhankelijke instantie binnen de uitvoerende macht. In de raad zijn beide partijen vertegenwoordigd en zetelen vijf leden, die door de president worden benoemd en door de Senaat worden bekrachtigd (50). Elk lid van de raad heeft een ambtstermijn van zes jaar. De leden en het personeel van de raad beschikken over de nodige veiligheidsmachtigingen om hun wettelijke taken en verantwoordelijkheden ten volle te kunnen uitvoeren (51).

De PCLOB heeft als taak te zorgen voor een evenwicht tussen de inspanningen van de federale overheid om terrorisme te voorkomen enerzijds en de noodzaak om de privacy en de burgerlijke vrijheden te beschermen anderzijds. De Raad heeft twee fundamentele verantwoordelijkheden: toezicht en advies. Hij stelt zijn eigen agenda vast en bepaalt welke activiteiten op het gebied van toezicht en advies hij wenst uit te voeren.

In zijn toezichthoudende rol evalueert en analyseert de PCLOB maatregelen van de uitvoerende macht om het land tegen terrorisme te beschermen en zorgt hij ervoor dat de behoefte aan dergelijke maatregelen wordt afgewogen tegen de noodzaak de privacy en burgerlijke vrijheden te beschermen (52). De meest recent uitgevoerde toezichtsbeoordeling had betrekking op surveillanceprogramma's die krachtens sectie 702 van de FISA worden verricht (53). Momenteel verricht hij een evaluatie van inlichtingenactiviteiten in het kader van Executive Order 12333 (54).

In zijn adviserende rol zorgt de PCLOB ervoor dat er terdege rekening wordt gehouden met kwesties op het gebied van vrijheden bij de ontwikkeling en uitvoering van wet- en regelgeving, en van beleidsmaatregelen om het land tegen terrorisme te beschermen (55).

Om zijn taken te vervullen is de raad bij wet gemachtigd om toegang te krijgen tot alle relevante gegevens, verslagen, audits, evaluaties, documenten, aanbevelingen en eventuele andere relevante informatie van instanties, waaronder ook gerubriceerde informatie overeenkomstig de wet (56). Voorts kan de raad een gesprek hebben met of verklaringen of openbare getuigenissen afnemen van een ambtenaar of personeelslid van de uitvoerende macht (57). Bovendien kan de raad de Attorney General schriftelijk verzoeken om namens de raad dwangbevelen uit te vaardigen waarbij partijen buiten de uitvoerende macht gedwongen worden om relevante informatie te verstrekken (58).

Ten slotte gelden voor de PCLOB wettelijke voorschriften inzake openbare transparantie. Dit houdt onder meer in dat het publiek zoveel mogelijk op de hoogte wordt gehouden van zijn activiteiten via openbare hoorzittingen en toegang krijgt tot zijn verslagen, voor zover dat in overeenstemming is met de bescherming van gerubriceerde gegevens (59). Voorts moet de PCLOB verslag uitbrengen wanneer een dienst van de uitvoerende macht weigert zijn advies te volgen.

Inspectors General (inspecteurs-generaal, hierna „IG's” genoemd) in de Intelligence Community (inlichtingendiensten, hierna „IC” genoemd) voeren audits, inspecties, en evaluaties van de programma's en activiteiten in de IC uit om systeemrisico's, kwetsbaarheden en tekortkomingen vast te stellen en aan te pakken. Voorts onderzoeken IG's klachten of informatie van vermeende schendingen van wet- of regelgeving of wanbeheer, grove verspilling van middelen, misbruik van gezag of een aanzienlijk of specifiek gevaar voor de volksgezondheid en de openbare veiligheid in IC-programma's en -activiteiten. De onafhankelijkheid van IG's is een essentieel onderdeel van de objectiviteit en integriteit van elk verslag, elke vaststelling en elke aanbeveling van een IG. Een aantal van de meest essentiële elementen voor het garanderen van de onafhankelijkheid van IG's, heeft betrekking op hun benoeming en ontslag, afzonderlijke operationele, begrotings- en personele autoriteiten, en dubbele rapportageverplichtingen aan de instellingshoofden van de uitvoerende macht en het congres.

Het Congres heeft een onafhankelijke IG-dienst opgericht in elke instelling van de uitvoerende macht, met inbegrip van elk onderdeel van de IC (60). Na de aanneming van de Intelligence Authorization Act for Fiscal Year 2015 worden bijna alle IG's die toezicht houden op een onderdeel van de IC, benoemd door de president en bevestigd door de Senaat. Dat is onder meer het geval bij het Department of Justice, het Central Intelligence Agency, het National Security Agency en de Intelligence Community (61). Deze IG's zijn voorts permanente en onpartijdige ambtenaren die alleen door de president kunnen worden afgezet. De Amerikaanse grondwet bepaalt weliswaar dat de president bevoegd is om IG's af te zetten, maar deze bevoegdheid werd slechts zelden uitgeoefend en vereist dat de president 30 dagen voor de afzetting van een IG het Congres een schriftelijke rechtvaardiging verstrekt (62). Deze procedure voor de benoeming van een IG zorgt ervoor dat er geen sprake is van ongeoorloofde inmenging van functionarissen van de uitvoerende macht in de selectie, benoeming of afzetting van een IG.

In de tweede plaats beschikken IG's over aanzienlijke wettelijke bevoegdheden om audits, onderzoeken en evaluaties van programma's en operaties van de uitvoerende macht uit te voeren. Naast de wettelijk voorgeschreven toezichtsonderzoeken en evaluaties, beschikken IG's over een ruime beoordelingsvrijheid om hun toezichtsbevoegdheid uit te oefenen om de programma's en activiteiten van hun keuze te evalueren (63). De wet bepaalt dat de IG's bij de uitoefening van deze bevoegdheid over de onafhankelijke middelen moeten beschikken om hun taken uit te voeren, met inbegrip van de bevoegdheid om hun eigen personeel in dienst te nemen en hun begrotingsverzoeken aan het Congres afzonderlijk te documenteren (64). De wet garandeert dat IG's toegang hebben tot de informatie die zij nodig hebben voor de uitvoering van hun taken. Daarbij gaat het onder meer om de bevoegdheid om directe toegang te krijgen tot alle gegevens en informatie van de instellingen over hun programma's en activiteiten, ongeacht de classificatie ervan; de bevoegdheid om informatie en documenten op te vorderen; en de bevoegdheid om een eed af te nemen (65). In een beperkt aantal gevallen mag het hoofd van een instelling van de uitvoerende macht de activiteit van een IG verbieden wanneer bijvoorbeeld een audit of onderzoek van een IG de nationale veiligheidsbelangen van de Verenigde Staten aanmerkelijk zou schaden. Ook de uitoefening van deze bevoegdheid is zeer ongebruikelijk en vereist dat het hoofd van de instelling binnen 30 dagen het Congres in kennis stelt van de redenen waarom deze bevoegdheid wordt uitgeoefend (66). De DNI heeft nooit gebruikgemaakt van deze beperking van de bevoegdheid van IG-activiteiten.

Ten derde zijn de IG's er verantwoordelijk voor zowel de hoofden van de instellingen van de uitvoerende macht als het Congres ten volle en voortdurend via verslagen in te lichten over fraude en andere ernstige problemen, misbruiken en tekortkomingen in verband met de programma's en activiteiten van de uitvoerende macht (67). De dubbele rapportage versterkt de onafhankelijkheid van de IG's door te zorgen voor transparantie in de toezichtprocedure en biedt de hoofden van de instellingen de kans om de aanbevelingen van de IG uit te voeren voordat het Congres wetgevende maatregelen kan nemen. De IG's zijn bijvoorbeeld wettelijk verplicht om halfjaarlijkse verslagen op te stellen waarin dergelijke problemen samen met tot dusver genomen maatregelen worden beschreven (68). De instellingen van de uitvoerende macht moeten de vaststellingen en aanbevelingen van de IG's ernstig nemen en de IG's zijn dikwijls in staat om de aanvaarding en tenuitvoerlegging van IG-aanbevelingen door de instellingen op te nemen in deze en andere verslagen die aan het Congres, en in sommige gevallen aan het publiek, worden verstrekt (69). Naast deze structuur van dubbele rapportage, zijn de IG's er ook verantwoordelijk voor klokkenluiders in de uitvoerende macht tot bij de passende parlementaire comités voor toezicht te leiden waar zij vermseende fraude, verspilling en misbruik in programma's en activiteiten van de uitvoerende macht kunnen melden. De identiteit van personen die zich aanmelden, wordt tegen openbaarmaking aan de uitvoerende macht beschermd, waardoor de klokkenluiders worden beschermd tegen mogelijke verboden personeelsmaatregelen of maatregelen inzake veiligheidsmachtiging als represaille voor de melding aan de IG (70). Aangezien klokkenluiders dikwijls de bron vormen van IG-onderzoek, vergroot het feit dat zij hun bekommernissen aan het Congres kunnen melden zonder beïnvloeding door de uitvoerende macht, de doeltreffendheid van het IG-toezicht. Door deze onafhankelijkheid kunnen IG's de zuinigheid, efficiëntie en verantwoordingsplicht van instellingen van de uitvoerende macht bevorderen met objectiviteit en integriteit.

Ten slotte heeft het Congres de Council of Inspectors General on Integrity and Efficiency (de raad van inspecteurs voor integriteit en efficiëntie) opgericht. Deze raad ontwikkelt onder meer IG-normen voor audits, onderzoeken en evaluaties, bevordert opleiding en is bevoegd om beschuldigingen van wangedrag door IG's te beoordelen. Zo houdt deze raad een kritische blik op de IG's, die zelf belast zijn met het toezicht op alle anderen (71).

Ik hoop u met deze informatie van dienst te zijn geweest.

---

(1)  Nadere informatie over buitenlandse inlichtingenactiviteiten van de VS wordt online gepubliceerd en is beschikbaar via IC on the Record (www.icontherecord.tumblr.com), de openbare website van het Office of the Director of National Intelligence (bureau van de directeur van het nationale inlichtingenwerk, hierna „ODNI” genoemd) die als doel heeft meer publieke zichtbaarheid te geven aan de inlichtingenactiviteiten van de overheid.

(2)  Beschikbaar op https://www.whitehouse.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities

(3)  Regelgevende of wetshandhavingsinstanties kunnen informatie opvragen bij bedrijven voor onderzoeksdoeleinden in de Verenigde Staten overeenkomstig andere strafrechtelijke, civiele en regelgevende instanties die buiten de reikwijdte van dit overzicht vallen, dat is beperkt tot nationale veiligheidsinstanties.

(4)  Beschikbaar op www.icontherecord.tumblr.com/ppd-28/2015/privacy-civil-liberties#ppd-28. Deze procedures geven op een voor elk onderdeel van de inlichtingendiensten specifieke wijze uitvoering aan het concept van gerichte verzameling, zoals besproken in deze brief.

(5)  Om maar één voorbeeld aan te halen: in de procedures van de NSA waarmee PPD-28 wordt uitgevoerd, is bepaald dat „[w]anneer dat praktisch is, de verzameling plaatsvindt met behulp van een of meer selectietermen om de verzameling te richten op specifieke doelwitten van de buitenlandse inlichtingen (bv. een specifieke, bekende internationale terrorist of terroristische groepering) of specifieke onderwerpen van buitenlandse inlichtingen (bv. de verspreiding van massavernietigingswapens door een buitenlandse mogendheid of diens vertegenwoordigers).”.

(6)  Beschikbaar op http://www.dni.gov/files/documents/1017/PPD-28_Status_Report_Oct_2014.pdf

(7)  Beschikbaar op http://www.dni.gov/files/documents/ICD/ICD%20204%20National%20Intelligence%20Priorities%20Framework.pdf

(8)  Intelligence Community Directive (ICD) 203, beschikbaar op http://www.dni.gov/files/documents/ICD/ICD%20203%20Analytic%20Standards.pdf

(9)  Zie bv., U.S. Department of Justice Inspector General Report „A Review of the Federal Bureau of Investigation's Activities Under Section 702 of the Foreign Intelligence Surveillance Act of 2008” (september 2012), beschikbaar op https://oig.justice.gov/reports/2016/o1601a.pdf

(10)  Zie www.dni.gov/clpo

(11)  50 U.S.C. § 1881a.

(12)  De Verenigde Staten kunnen ook gerechtelijke bevelen verkrijgen overeenkomstig de andere bepalingen van de FISA voor de productie van gegevens, waaronder gegevens die worden overgedragen in het kader van het privacyschild. Zie 50 U.S.C. § 1801 e.v. Titels I en III van de FISA, waarin respectievelijk elektronische surveillance en fysieke zoekopdrachten worden toegestaan, vereisen altijd een gerechtelijk bevel (uitgezonderd in geval van nood) evenals gerede aanleiding om aan te nemen dat het doelwit een buitenlandse mogendheid is of een agent van een buitenlandse mogendheid. In titel IV van FISA wordt het gebruik van nummerregistratie en traceerapparatuur toegestaan, overeenkomstig een gerechtelijk bevel (uitgezonderd in geval van nood) in toelaatbare onderzoeken betreffende buitenlandse inlichtingen, contra-inlichtingen of contra-terrorisme. In titel V van de FISA wordt de FBI toegestaan om, overeenkomstig een gerechtelijk bevel (uitgezonderd in geval van nood) bedrijfsgegevens op te vragen die relevant zijn voor een toelaatbaar onderzoek betreffende buitenlandse inlichtingen, contra-inlichtingen of contra-terrorisme. Zoals hierna wordt besproken, wordt in de USA FREEDOM Act het gebruik van FISA-bevelen inzake nummerregistratie en traceerapparatuur verboden voor bulksgewijze verzameling en wordt een vereiste ingesteld van een „specifieke selectieterm” om te verzekeren dat deze bevoegdheden gericht worden gebruikt.

(13)  Privacy and Civil Liberties Board, „Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act” (2 juli 2014) (hierna „PCLOB-verslag” genoemd).

(14)  Zie Pub. L. No. 110-261, 122 Stat. 2436 (2008).

(15)  Zie 50 U.S.C. § 1881a(a) en (b).

(16)  Zie id. § 1801(e).

(17)  Zie het PCLOB-verslag, punt 99.

(18)  Zie 50 U.S.C. § 1881a(d) en (e).

(19)  Zie het PCLOB-verslag, punt 111.

(20)  Id.

(21)  Id. punt 8; 50 U.S.C. § 1881a(l); Zie ook NSA Director of Civil Liberties and Privacy Report, „NSA's Implementation of Foreign Intelligence Surveillance Act Section 702” (hierna het „NSA Report” genoemd) punt 4, beschikbaar op http://icontherecord.tumblr.com/ppd-28/2015/privacy-civil-liberties

(22)  Director of National Intelligence 2014 Transparency Report, beschikbaar op http://icontherecord.tumblr.com/transparency/odni_transparencyreport_cy2014

(23)  De minimaliseringsprocedures zijn beschikbaar op: http://www.dni.gov/files/documents/ppd-28/2014%20NSA%20702%20Minimization%20Procedures.pdf („NSA Minimization Procedures”); http://www.dni.gov/files/documents/ppd-28/2014%20FBI%20702%20Minimization%20Procedures.pdf; en http://www.dni.gov/files/documents/ppd-28/2014%20CIA%20702%20Minimization%20Procedures.pdf

(24)  Zie NSA-verslag, punt 4.

(25)  Zie bv. NSA Minimization Procedures, punt 6.

(26)  Intelligence Agency PPD-28 procedures beschikbaar op http://icontherecord.tumblr.com/ppd-28/2015/privacy-civil-liberties

(27)  Zie NSA Minimization Procedures; PPD-28, sectie 4.

(28)  Zie 50 U.S.C. § 1881(l); zie ook het PCLOB-verslag, punten 66-76.

(29)  Zie Semiannual Assessment of Compliance with Procedures and Guidelines Issues Pursuant to Section 702 of the Foreign Intelligence Surveillance Act, Submitted by the Attorney General and the Director of National Intelligence, punten 2-3, beschikbaar op http://www.dni.gov/files/documents/Semiannual%20Assessment%20of%20Compliance%20with%20procedures%20and%20guidelines%20issued%20pursuant%20to%20Sect%20702%20of%20FISA.pdf

(30)  Rule 13 van de Foreign Intelligence Surveillance Court Rules of Procedures, beschikbaar op http://www.fisc.uscourts.gov/sites/default/files/FISC%20Rules%20of%20Procedure.pdf

(31)  29 juli 2013, brief van de edelachtbare Reggie B. Walton aan de edelachtbare Patrick J. Leahy, beschikbaar op http://fas.org/irp/news/2013/07/fisc-leahy.pdf

(32)  Zie sectie 401 van de USA FREEDOM Act, P.L. 114-23.

(33)  Zie 50 U.S.C. § 1881f.

(34)  Zie id. § 1881a(l)(1).

(35)  Zie id. § 1881a(l)(3). Enkele van deze verslagen zijn vertrouwelijk.

(36)  Mem. Opinion en Order, punt 26 (FISC 2014), beschikbaar op http://www.dni.gov/files/documents/0928/FISC%20Memorandum%20Opinion%20and%20Order%2026%20August%202014.pdf

(37)  Zie de USA FREEDOM Act van 2015, Pub. L. No. 114-23, § 401, 129 Stat. 268.

(38)  Zie id. §§ 103, 201, 501. National Security Letters worden toegestaan in meerdere federale wetten en stellen de FBI in staat om informatie te verkrijgen die is opgenomen in kredietverslagen, financiële gegevens en elektronische abonnements- en transactiegegevens van bepaalde soorten bedrijven, uitsluitend ter bescherming tegen internationaal terrorisme of clandestiene inlichtingenactiviteiten. Zie 12 U.S.C. § 3414; 15 U.S.C. §§ 1681u-1681v; 18 U.S.C. § 2709. National Security Letters worden voornamelijk gebruikt door de FBI voor het verzamelen van cruciale informatie zonder inhoud in de vroege stadia van onderzoeken in het kader van contra-terrorisme en contra-inlichtingen, zoals de identiteit van een abonnee van een account die mogelijk heeft gecommuniceerd met vertegenwoordigers van een terroristische groepering, zoals IS. Ontvangers van een National Security Letter kunnen deze aanvechten in de rechtbank. Zie 18 U.S.C. § 3511.

(39)  Zie id.

(40)  Zie id. § 401.

(41)  Zie id. § 602.

(42)  Zie id.

(43)  Zie id. § 603.

(44)  Zie id. §§ 502(f)-503.

(45)  Beschikbaar op http://www.dni.gov/index.php/intelligence-community/intelligence-transparency-principles

(46)  Beschikbaar op http://www.dni.gov/files/documents/Newsroom/Reports%20and%20Pubs/Principles%20of%20Intelligence%20Transparency%20Implementation%20Plan.pdf

(47)  Zie id.

(48)  Beschikbaar op https://www.nsa.gov/civil_liberties/_files/nsa_report_on_section_702_program.pdf; https://www.nsa.gov/civil_liberties/_files/UFA_Civil_Liberties_and_Privacy_Report.pdf; https://www.nsa.gov/civil_liberties/_files/UFA_Civil_Liberties_and_Privacy_Report.pdf

(49)  Zie bv. New York Times v. Department of Justice, 756 F.3d 100 (2d Cir. 2014); American Civil Liberties Union v. CIA, 710 F.3d 422 (D.C. Cir. 2014).

(50)  42 U.S.C. 2000ee(a), (h).

(51)  42 U.S.C. 2000ee(k).

(52)  42 U.S.C. 2000ee(d)(2).

(53)  Zie in het algemeen https://www.pclob.gov/library.html#oversightreports

(54)  Zie in het algemeen https://www.pclob.gov/events/2015/may13.html

(55)  42 U.S.C. 2000ee(d)(1); zie ook PCLOB Advisory Function Policy and Procedure, Policy 2015-004, beschikbaar op https://www.pclob.gov/library/Policy-Advisory_Function_Policy_Procedure.pdf

(56)  42 U.S.C. 2000ee(g)(1)(A).

(57)  42 U.S.C. 2000ee(g)(1)(B).

(58)  42 U.S.C. 2000ee(g)(1)(D).

(59)  42 U.S.C. 2000eee(f).

(60)  Secties 2 en 4 van de Inspector General Act van 1978, zoals gewijzigd (hierna: IG Act); Sectie 103(b) en (e), van de National Security Act van 1947, zoals gewijzigd (hierna „at'l Sec. Act\”. Sectie 17(a), van de Central Intelligence Act (hierna „CIA Act”).

(61)  Zie Pub. L. No. 113-293, 128 Stat. 3990, (19 dec. 2014). Alleen de IG's voor het Defense Intelligence Agency en het National Geospatial-Intelligence Agency worden niet door de president benoemd; de IG DOD en de IG IC hebben gedeelde bevoegdheid over deze instanties.

(62)  Sectie 3 van de IG Act van 1978, zoals gewijzigd; sectie 103H(c) van de Nat'l Sec. Act; en sectie 17(b) van de CIA Act.

(63)  Zie Secties 4(a) en 6(a)(2) van de IG Act 1947; Sectie 103H(e) en (g)(2)(A) van de Nat'l Sec. Act; Sectie 17(a) en (c) van de CIA Act.

(64)  Secties 3(d), 6(a)(7) en 6(f) van de IG Act; Secties 103H(d), (i), (j) en (m) van de Nat'l Sec. Act; Secties 17(e)(7) en (f) van de CIA Act.

(65)  Sectie 6(a)(1), (3), (4), (5), en (6) van de IG Act; Secties 103H(g)(2) van de Nat'l Sec. Act; Sectie 17(e)(1), (2), (4), en (5) van de CIA Act.

(66)  Zie bv. secties 8(b) en 8E(a) van de IG Act; Sectie 103H(f) van de Nat'l Sec. Act; Sectie 17(b) van de CIA Act.

(67)  Sectie 4(a)(5) van de IG Act; Sectie 103H(a)(b)(3) en (4) van de Nat'l Sec. Act; Sectie 17(a)(2) en (4) van de CIA Act.

(68)  Sectie 2(3), 4(a), en 5 van de IG Act; Sectie 103H(k) van de Nat'l Sec. Act; Sectie 17(d) van de CIA Act. De inspecteur-generaal van het ministerie van Justitie maakt zijn publiek vrijgegeven verslagen op het internet beschikbaar op http://oig.justice.gov/reports/all.htm. Zo ook maakt de inspecteur-generaal voor de inlichtingendiensten zijn halfjaarlijkse verslagen voor het publiek beschikbaar op https://www.dni.gov/index.php/intelligence-community/ic-policies-reports/records-requested-under-foia#icig

(69)  Sectie 2(3), 4(a), en 5 van de IG Act; Sectie 103H(k) van de Nat'l Sec. Act; Sectie 17(d) van de CIA Act. De inspecteur-generaal van het ministerie van Justitie maakt zijn publiek vrijgegeven verslagen op het internet beschikbaar op http://oig.justice.gov/reports/all.htm. Zo ook maakt de inspecteur-generaal voor de inlichtingendiensten zijn halfjaarlijkse verslagen voor het publiek beschikbaar op https://www.dni.gov/index.php/intelligence-community/ic-policies-reports/records-requested-under-foia#icig

(70)  Sectie 7 van de IG Act; Sectie 103H(g)(3) van de Nat'l Sec. Act; Sectie 17(e)(3) van de CIA Act.

(71)  Sectie 11 van de IG Act.

BIJLAGE VII

19 februari 2016

Dhr. Justin S. Antonipillai

Counselor

Amerikaans ministerie van Handel

1401 Constitution Ave., NW

Washington, DC 20230

Dhr. Ted Dean

Deputy Assistant Secretary

International Trade Administration

1401 Constitution Ave., NW

Washington, DC 20230

Geachte heren Antonipillai en Dean:

Deze brief bevat een kort overzicht van de primaire onderzoeksmiddelen die worden gebruikt om commerciële gegevens en andere opgeslagen gegevens van bedrijven in de Verenigde Staten te verkrijgen in het kader van strafrechtelijke vervolging of het openbaar belang (civiele en regelgevende doeleinden), waaronder de toegangsbeperkingen die zijn vastgesteld in deze bevoegdheden (1). Deze juridische processen zijn niet discriminerend aangezien ze worden gebruikt om gegevens te verkrijgen van bedrijven in de Verenigde Staten, waaronder van bedrijven die zichzelf certificeren overeenkomstig het EU-VS-privacyschildkader, ongeacht de nationaliteit van de betrokkene. Voorts kunnen bedrijven die in de Verenigde Staten gerechtelijk worden vervolgd dit voor de rechter aanvechten, zoals hierna wordt besproken (2).

Van bijzonder belang in het kader van inbeslagneming van gegevens door de overheid is het vierde amendement, dat bepaalt: „Het recht van de burgers om in hun persoon, huizen, documenten en bezittingen te worden gevrijwaard tegen onredelijke huiszoekingen en inbeslagnemingen, wordt niet geschonden. Slechts op grond van een redelijk vermoeden, gestaafd door eed of stukken, kan een bevel, waarin met name de te doorzoeken plaats en de betrokken personen of de in beslag te nemen goederen worden vermeld, worden afgegeven.”. U.S. Const. amend. IV. Zoals het Hooggerechtshof van de Verenigde Staten heeft bepaald in Berger v. State of New York: „De belangrijkste doelstelling van dit amendement, zoals is erkend in ontelbare arresten van dit Hof, is het waarborgen van de privacy en veiligheid van personen tegen willekeurige inbreuk door overheidsfunctionarissen.”. 388 U.S. 41, 53 (1967) (citing Camara v. Mun. Court of San Francisco, 387 U.S. 523, 528 (1967)). In nationale strafrechtelijke onderzoeken verplicht het vierde amendement wetshandhavingsfunctionarissen over het algemeen om een door de rechtbank afgegeven huiszoekingsbevel te verkrijgen voordat zij een doorzoeking verrichten. Zie Katz v. United States, 389 U.S. 347, 357 (1967). Als het vereiste van een huiszoekingsbevel niet van toepassing is, zijn activiteiten van de overheid onderworpen aan een „redelijkheidstest” op grond van het vierde amendement. Dientengevolge verzekert de grondwet zelf dat de Amerikaanse overheid geen onbeperkte, willekeurige bevoegdheid heeft om privégegevens in beslag te nemen.

Strafrechtelijke wetshandhavingsinstanties:

Federale aanklagers, die functionarissen in dienst van het ministerie van Justitie zijn, en federale onderzoeksagenten, waaronder agenten van het Federal Bureau of Investigation (FBI), een wetshandhavingsinstantie binnen het ministerie van Justitie, kunnen de overlegging van documenten en andere gegevens van bedrijven in de Verenigde Staten gelasten ten behoeve van strafrechtelijk onderzoek door middel van meerdere soorten dwingende rechtsfiguren, waaronder dagvaardingen van de kamer van inbeschuldigingstelling, administratieve dwangbevelen en huiszoekingsbevelen, en kunnen andere communicatie verkrijgen op grond van federale bevoegdheden voor afluisteren en nummerregistratie.

Dwangbevelen van de kamer van inbeschuldigingstelling of procesbevelen: Strafrechtelijke dwangbevelen worden gebruikt om gerichte wetshandhavingsonderzoeken te ondersteunen. Een dwangbevel van de kamer van inbeschuldigingstelling is een officieel verzoek afkomstig van de kamer van inbeschuldigingstelling (meestal op verzoek van een federale aanklager) om een onderzoek door de kamer van inbeschuldigingstelling uit te voeren naar een specifieke vermeende schending van het strafrecht. De kamer van inbeschuldigingstelling is een onderzoeksafdeling van de rechtbank en de leden ervan worden opgeroepen door een rechter of magistraat. Een dwangbevel kan iemand verplichten te getuigen bij een proces of om bedrijfsgegevens, elektronisch opgeslagen informatie of andere tastbare zaken te overleggen of ter beschikking te stellen. De informatie moet relevant zijn voor het onderzoek en het dwangbevel mag niet onredelijk zijn omdat het te breed is geformuleerd, of omdat het drukkend of belastend is. Een ontvanger kan een motie indienen om een dwangbevel op die gronden aan te vechten. Zie Fed. R. Crim. P. 17. In beperkte omstandigheden kunnen procesdwangbevelen voor documenten worden gebruikt nadat een zaak door de kamer van inbeschuldigingstelling aanhangig is gemaakt.

Bevoegdheid voor een administratief dwangbevel: De bevoegdheid voor een administratief dwangbevel kan worden uitgeoefend in strafrechtelijke of civiele onderzoeken. In het kader van de handhaving van het strafrecht wordt in meerdere federale wetten de bevoegdheid verleend om administratieve dwangbevelen te gebruiken om bedrijfsgegevens, elektronisch opgeslagen informatie of andere tastbare zaken te overleggen of ter beschikking te stellen in onderzoeken betreffende gezondheidszorgfraude, kindermisbruik, bescherming van de geheime dienst, zaken over gecontroleerde stoffen en onderzoeken van de inspecteur-generaal waarbij overheidsinstanties betrokken zijn. Als de overheid een administratief dwangbevel wil gebruiken in de rechtbank, kan de ontvanger van het administratieve dwangbevel, net als de ontvanger van een dwangbevel van de kamer van inbeschuldigingstelling, stellen dat het dwangbevel onredelijk is omdat het te breed geformuleerd is of omdat het drukkend of belastend is.

Gerechtelijke bevelen voor nummerregistratie en traceerapparatuur: Op grond van bepalingen in het kader van nummerregistratie en traceerapparatuur, kunnen wetshandhavingsinstanties een gerechtelijk bevel verkrijgen om in realtime bel-, routing-, adres- en informatie uit berichtenverkeer zonder inhoud te verkrijgen voor een telefoonnummer of e-mailadres na de bevestiging dat de verstrekte informatie relevant is voor een lopend strafrechtelijk onderzoek. Zie 18 U.S.C. §§ 3121-3127. Het gebruik of de installatie van een dergelijk middel zonder toestemming is een federaal misdrijf.

Electronic Communications Privacy Act (ECPA): Er zijn aanvullende voorschriften van toepassing op de toegang van de overheid tot abonnee-informatie, verkeersgegevens en opgeslagen inhoud van communicatie in bezit van de telefoonbedrijven van internetleveranciers, evenals andere externe dienstverleners, op grond van titel II van de ECPA, ook wel de Stored Communications Act (SCA) genoemd, 18 U.S.C. §§ 2701-2712. In de SCA is een stelsel van wettelijke privacyrechten vastgesteld die de toegang van wetshandhavingsinstanties tot gegevens beperken voor datgene wat in het kader van de grondwet vereist is van klanten en abonnees van internetleveranciers. De SCA voorziet in hogere niveaus van privacywaarborgen, afhankelijk van de indringendheid van de verzameling. Voor het verkrijgen van informatie over abonnees, IP-adressen en bijbehorende tijdcodes, evenals van factuurinformatie moeten strafrechtelijke handhavingsinstanties een dwangbevel verkrijgen. Voor de meeste andere niet inhoudgerelateerde informatie, zoals e-mailheaders zonder onderwerpregel moeten wetshandhavingsinstanties specifieke feiten presenteren aan een rechter waaruit blijkt dat de opgevraagde informatie relevant is en van materieel belang voor een lopend strafrechtelijk onderzoek. Voor het verkrijgen van de opgeslagen inhoud van elektronische communicatie moeten strafrechtelijke wetshandhavingsinstanties over het algemeen een huiszoekingsbevel verkrijgen van een rechter op basis van gerede aanleiding om aan te nemen dat de desbetreffende account bewijs bevat van een misdrijf. De SCA voorziet tevens in civiele aansprakelijkheid en strafrechtelijke sancties.

Gerechtelijke bevelen voor surveillance op grond van federale wetgeving inzake afluisteren: Daarnaast kunnen wetshandhavingsinstanties mondelinge of elektronische communicatie in realtime onderscheppen ten behoeve van strafrechtelijk onderzoek op grond van federale wetgeving inzake afluisteren. Zie 18 U.S.C. §§ 2510-2522. Deze bevoegdheid kan alleen worden uitgeoefend na een gerechtelijk bevel waarin een rechter, onder andere, van mening is dat er gerede aanleiding is om te geloven dat het afluisteren of de elektronische onderschepping bewijs zal opleveren van een federaal misdrijf of de locatie van een voortvluchtige die vervolging ontvlucht. De wet voorziet in civiele aansprakelijkheid en strafrechtelijke sancties voor de schending van de afluisterbepalingen.

Huiszoekingsbevel — Regel 41: Wetshandhavingsinstanties kunnen elke locatie in de Verenigde Staten fysiek doorzoeken wanneer zij daarvoor toestemming hebben van een rechter. Wetshandhavingsinstanties moeten de rechter ervan overtuigen op basis van „gerede aanleiding” dat er een misdrijf is gepleegd of zal worden gepleegd en dat zaken die verband houden met de misdrijf, waarschijnlijk kunnen worden gevonden op de in het bevel vermelde locatie. Deze bevoegdheid wordt vaak gebruikt wanneer de politie een locatie fysiek moet doorzoeken als gevolg van het risico dat bewijs kan worden vernietigd als een dwangbevel of ander bevel tot overlegging aan het bedrijf wordt betekend. Zie U.S. Const. amend. IV (zoals hiervoor in detail besproken), Fed. R. Crim. P. 41. Degene tegen wie een huiszoekingsbevel gericht is, kan verzoeken het bevel nietig te verklaren als gevolg van een te brede formulering, of omdat het vexatoir of anderszins op onjuiste wijze is verkregen en benadeelden met procesbevoegdheid kunnen een motie indienen om bewijs dat bij een onrechtmatige huiszoeking is verkregen, buiten beschouwing te laten. Zie Mapp v. Ohio, 367 U.S. 643 (1961).

Richtlijnen en beleid van het ministerie van Justitie: In aanvulling op deze grondwettelijke, wettelijke en op regels gebaseerde beperkingen aan de toegang van de overheid tot gegevens, heeft de Attorney General richtsnoeren opgesteld die nadere beperkingen stellen aan de toegang van wetshandhavingsinstanties tot gegevens en die tevens waarborgen omvatten ten aanzien van privacy en burgerlijke vrijheden. Bijvoorbeeld de Attorney General's Guidelines for Domestic Federal Bureau of Investigation (FBI) Operations (september 2008) (hierna „AG FBI Guidelines” genoemd), beschikbaar op http://www.justice.gov/archive/opa/docs/guidelines.pdf, stellen beperkingen vast aan het gebruik van onderzoeksmiddelen om informatie te onderzoeken die verband houdt met onderzoeken inzake federale misdrijven. In deze richtsnoeren wordt de FBI verplicht de minst indringende onderzoeksmethoden te gebruiken, rekening houdend met de gevolgen voor de privacy en burgerlijke vrijheden en mogelijke reputatieschade. Voorts wordt opgemerkt dat het „vanzelf spreekt dat de FBI zijn onderzoeken en andere activiteiten op wettige en redelijke manier uitvoert, op een wijze waarbij de vrijheid en de privacy in acht wordt genomen en onnodige indringing in het leven van gezagsgetrouwe personen wordt voorkomen.” Zie AG FBI Guidelines, 5. De FBI heeft deze richtsnoeren ten uitvoer gelegd door middel van de FBI Domestic Investigations and Operations Guide (DIOG), beschikbaar op https://vault.fbi.gov/FBI%20Domestic%20Investigations%20and%20Operations%20Guide%20 (DIOG), een uitgebreid handboek met gedetailleerde beperkingen aan het gebruik van onderzoeksmiddelen en richtsnoeren om te verzekeren dat burgerlijke vrijheden en privacy in elk onderzoek worden beschermd. Aanvullende voorschriften en beleidsmaatregelen waarin beperkingen aan onderzoeksactiviteiten van federale aanklagers zijn vastgesteld, zijn opgenomen in het United States Attorneys' Manual (USAM), dat ook online beschikbaar is op http://www.justice.gov/usam/united-states-attorneys-manual.

Civiele en regelgevende instanties (openbaar belang)

Er bestaan ook aanzienlijke beperkingen voor de toegang van civiele of regelgevende instanties (bv. in het openbaar belang) tot gegevens die in bezit zijn van ondernemingen in de Verenigde Staten. Instanties met civiele en regelgevende verantwoordelijkheden kunnen een dagvaarding uitbrengen tegen een onderneming om hun bedrijfsgegevens, elektronisch opgeslagen informatie of andere tastbare zaken op te vragen. Deze instanties kennen beperkingen in de uitoefening van hun bestuurlijke of civiele bevoegdheid voor het uitvaardigen van een dagvaarding, niet alleen door hun organieke statuten, maar ook door onafhankelijke rechterlijke toetsing van dagvaardingen voordat deze mogelijk gerechtelijk worden gehandhaafd. Zie bv. Fed. R. Civ. P. 45. Instanties mogen alleen toegang vragen tot gegevens die relevant zijn voor zaken die binnen hun regelgevende bevoegdheid vallen. Voorts kan een ontvanger van een administratief dwangbevel de handhaving van dat dwangbevel aanvechten voor de rechter door bewijs te overleggen dat de instantie niet heeft gehandeld in overeenstemming met de basisnormen van redelijkheid, zoals eerder besproken.

Er bestaan andere juridische grondslagen voor bedrijven om verzoeken om gegevens van overheidsinstanties aan te vechten op basis van hun specifieke branche en de soorten gegevens die zij verwerken. Financiële instellingen kunnen bijvoorbeeld administratieve dwangbevelen waarin verzocht wordt om bepaalde soorten informatie, aanvechten vanwege schending van de Bank Secrecy Act en de uitvoeringswetgeving daarvan. Zie 31 U.S.C. § 5318, 31 C.F.R. Part X. Andere bedrijven kunnen een beroep doen op de Fair Credit Reporting Act, zie 15 U.S.C. § 1681b, of een reeks aan andere sectorspecifieke wetten. Misbruik van de bevoegdheid van een instantie om een dwangbevel uit te vaardigen, kan leiden tot aansprakelijkheid van de instantie of persoonlijke aansprakelijkheid van functionarissen van instanties. Zie bv., Right to Financial Privacy Act, 12 U.S.C. §§ 3401-3422. Rechtbanken in de Verenigde Staten beschermen derhalve tegen onjuiste regelgevende verzoeken en houden onafhankelijk toezicht op de activiteiten van federale instanties.

Tot slot moet elke wettelijke bevoegdheid van administratieve instanties om gegevens van een bedrijf in de Verenigde Staten fysiek in beslag te nemen op grond van een administratieve huiszoeking, voldoen aan de vereisten van het vierde amendement. Zie See v. City of Seattle, 387 U.S. 541 (1967).

Conclusie

Alle activiteiten van wetshandhavingsinstanties en regelgevers in de Verenigde Staten moeten voldoen aan de toepasselijke wetgeving, waaronder de Amerikaanse grondwet, wetten, regels en voorschriften. Dergelijke activiteiten moeten tevens voldoen aan de toepasselijke beleidsmaatregelen, waaronder richtsnoeren van de Attorney General die van toepassing zijn op de activiteiten van federale wetshandhavers. Het hiervoor beschreven rechtskader beperkt de mogelijkheden van Amerikaanse wetshandhavers en regelgevende instanties om informatie op te vragen bij bedrijven in de Verenigde Staten, ongeacht of deze informatie betrekking heeft op Amerikanen of inwoners van een ander land, en staat daarnaast rechterlijke toetsing toe van overheidsverzoeken om gegevens op grond van deze bevoegdheden.

---

(1)  In dit overzicht worden niet de onderzoekshulpmiddelen in het kader van de nationale veiligheid beschreven die worden gebruikt door wetshandhavers bij terrorisme en andere onderzoeken in het kader van de nationale veiligheid, waaronder National Security Letters (NSL's) voor bepaalde gegevens in kredietverslagen, financiële gegevens en elektronische abonnements- en transactiegegevens, zie 12 U.S.C. § 3414; 15 U.S.C. § 1681u; 15 U.S.C. § 1681v; 18 U.S.C. § 2709, en voor elektronische surveillance, huiszoekingsbevelen, bedrijfsgegevens en overige verzameling van communicatie op grond van de Foreign Intelligence Surveillance Act, Zie 50 U.S.C. § 1801 e.v.

(2)  In deze brief worden de federale handhavings- en regelgevingsinstanties besproken. Schendingen van staatswetgeving worden onderzocht door de staten en hiervoor wordt geprocedeerd in de staatsrechtbanken. De wetshandhavingsinstanties van de staten maken gebruik van bevelen en dagvaardingen die zijn uitgebracht op grond van de staatswetgeving, in essentie op dezelfde manier als in deze brief is beschreven, maar dan met de mogelijkheid dat het juridische proces in de staat onderworpen kan zijn aan waarborgen die zijn opgenomen in de grondwet van de staat en die verder kunnen gaan dan de waarborgen die zijn opgenomen in de Amerikaanse grondwet. Juridische waarborgen in de staat moeten minimaal gelijk zijn aan de waarborgen in de Amerikaanse grondwet, waaronder, maar niet beperkt tot, het vierde amendement.