52013DC0846

1.           INLEIDING: DE VERANDERENDE OMGEVING VOOR VERWERKING VAN GEGEVENS TUSSEN DE EU EN DE VS

De Europese Unie en de Verenigde Staten zijn strategische partners en dit partnerschap is essentieel voor de bevordering van onze gedeelde waarden, onze veiligheid en ons gezamenlijk leiderschap op wereldniveau.

Het vertrouwen in dit partnerschap is echter geschaad en moet worden hersteld. De EU, haar lidstaten en de Europese burgers hebben blijk gegeven van hun grote bezorgdheid over de onthullingen inzake de VS-programma's voor het op grote schaal verzamelen van informatie, met name waar het de bescherming van persoonsgegevens betreft[1]. Het op grote schaal observeren van privé-communicatie, of het daarbij nu om burgers, ondernemingen of politici gaat, is onaanvaardbaar.

De doorgifte van persoonsgegevens is een belangrijk en noodzakelijk onderdeel van het trans-Atlantisch partnerschap. Deze doorgifte maakt een integraal onderdeel uit van de commerciële uitwisselingen over de Atlantische Oceaan heen, ook voor nieuwe, groeiende digitale ondernemingen, zoals sociale media of cloudcomputing, waarbij er grote hoeveelheden gegevens van de EU naar de VS gaan. Deze doorgifte is ook een essentieel element van de samenwerking tussen de EU en de VS op het gebied van rechtshandhaving en van de samenwerking tussen de lidstaten en de VS op het gebied van nationale veiligheid. Om de gegevensstromen te bevorderen en tegelijkertijd het hoge niveau van gegevensbescherming waartoe de EU-wetgeving verplicht, te waarborgen, hebben de VS en de EU een reeks overeenkomsten en regelingen in het leven geroepen.

Commerciële uitwisselingen vormen het voorwerp van Beschikking 2000/520/EG[2] (hierna de “veiligehavenbeschikking" genoemd). Deze beschikking biedt een rechtsbasis voor de doorgifte van persoonsgegevens vanuit de EU naar in de VS gevestigde ondernemingen die de veiligehavenbeginselen hebben onderschreven.

Met betrekking tot de uitwisseling van persoonsgegevens tussen de EU en de VS ten behoeve van rechtshandhaving, met inbegrip van de voorkoming en bestrijding van terrorisme en andere vormen van ernstige misdrijven, is een aantal overeenkomsten op EU-niveau van toepassing. Daarbij gaat het om de overeenkomst inzake wederzijdse rechtshulp[3], de overeenkomst inzake het gebruik en de doorgifte van persoonsgegevens van passagiers (PNR)[4], de overeenkomst inzake de verwerking en doorgifte van gegevens betreffende het financiële berichtenverkeer ten behoeve van het programma voor het traceren van terrorismefinanciering (TFTP)[5], en de overeenkomst tussen Europol en de VS. Deze overeenkomsten vormen een antwoord op de aanzienlijke uitdagingen op het gebied van veiligheid, zijn in overeenstemming met de gemeenschappelijke veiligheidsbelangen van de EU en de VS en bieden een hoog niveau van bescherming van persoonsgegevens. Daarnaast onderhandelen de EU en de VS momenteel over een kaderovereenkomst inzake gegevensbescherming op het gebied van politiële en gerechtelijke samenwerking ("raamovereenkomst")[6]. Het is de bedoeling om te zorgen voor een hoog niveau van bescherming van persoonsgegevens voor burgers wier gegevens worden uitgewisseld en zo de samenwerking tussen de EU en de VS bij de bestrijding van misdrijven en terrorisme op basis van gedeelde waarden en overeengekomen waarborgen, verder te bevorderen.

Deze instrumenten worden toegepast in een omgeving waarin persoonsgegevensstromen steeds belangrijker worden.

Enerzijds heeft de ontwikkeling van de digitale economie de omvang, de kwaliteit, de diversiteit en de aard van gegevenswerkingsactiviteiten exponentieel doen toenemen. Burgers zijn in hun dagelijks leven steeds meer elektronische-communicatiediensten gaan gebruiken. Persoonsgegevens zijn zeer waardevol geworden: de waarde van de gegevens van de EU-burgers in 2011 werd op 315 miljard EUR geschat en kan tegen 2020 jaarlijks tot bijna één biljoen EUR zijn toegenomen[7]. De markt voor de analyse van omvangrijke gegevensverzamelingen groeit wereldwijd met 40% per jaar[8]. Tegelijkertijd hebben technologische ontwikkelingen, bijvoorbeeld in verband met cloudcomputing, het begrip internationale doorgifte van gegevens in perspectief geplaatst, aangezien grensoverschrijdende gegevensstromen een dagelijkse realiteit aan het worden zijn[9].

De toename van het gebruik van elektronische-communicatie- en gegevensverwerkingsdiensten, waaronder cloudcomputing, heeft ook de omvang en het belang van trans-Atlantische doorgifte van gegevens aanzienlijk doen toenemen. Aspecten als de centrale plaats van Amerikaanse ondernemingen binnen de digitale economie[10], het trans-Atlantische verloop van een groot deel van de elektronische communicatie en het volume van de elektronische gegevensstromen tussen de EU en de VS zijn zelfs nog relevanter geworden.

Wel is het zo dat de moderne methoden voor het verwerken van gegevens nieuwe en belangrijke vragen oproepen. Dat geldt zowel voor de nieuwe methoden voor het op grote schaal verwerken van consumentengegevens door privéondernemingen voor commerciële doeleinden als voor de toegenomen mogelijkheden tot grootschalige observatie van communicatiegegevens door inlichtingendiensten.

Grootschalige Amerikaanse programma's voor het verzamelen van inlichtingen, zoals PRISM, hebben nadelige gevolgen voor de grondrechten van Europeanen en, met name, hun recht op privacy en op de bescherming van persoonsgegevens. Deze programma's wijzen ook op een verband tussen observatie van overheidswege en de verwerking van gegevens door privéondernemingen, met name Amerikaanse internetondernemingen. Dientengevolge kunnen zij economische gevolgen hebben. Wanneer burgers zich er zorgen over maken dat bij hun gebruik van internetdiensten hun persoonsgegevens door privéondernemingen of via de observatie van hun gegevens door inlichtingendiensten op grote schaal worden verwerkt, kan dat hun vertrouwen in de digitale economie schaden, met mogelijke negatieve gevolgen voor de groei.

Deze ontwikkelingen zorgen voor nieuwe uitdagingen op het gebied van de gegevensstromen tussen de EU en de VS. In deze mededeling wordt voor deze uitdagingen een oplossing gezocht en worden de toekomstmogelijkheden onderzocht op basis van de bevindingen in het verslag van de EU-medevoorzitters van de ad-hocwerkgroep EU-VS en de mededeling inzake de veilige haven.

Er wordt geprobeerd een effectieve toekomstgerichte manier te bieden om het vertrouwen te herstellen en om de samenwerking tussen de EU en de VS op deze gebieden te versterken en om de trans-Atlantische relatie in ruimere zin te versterken.

Deze mededeling gaat uit van de veronderstelling dat de normen voor de bescherming van persoonsgegevens in hun juiste context moeten worden vastgesteld, zonder andere aspecten van de betrekkingen tussen de EU en de VS nadelig te beïnvloeden, waaronder de lopende onderhandelingen over een trans-Atlantisch partnerschap voor handel en investeringen. Over de normen inzake gegevensbescherming zal daarom niet worden onderhandeld in het kader van het trans-Atlantisch partnerschap voor handel en investeringen, dat de regels inzake gegevensbescherming volledig in acht zal nemen.

Het is van belang op te merken dat de EU weliswaar maatregelen kan nemen op de gebieden waarop zij bevoegd is, met name om de toepassing van EU-wetgeving te verzekeren[11], maar nationale veiligheid uitsluitend de verantwoordelijkheid van de afzonderlijke lidstaten blijft[12].

2.         De gevolgen voor de instrumenten voor de doorgifte van gegevens

Allereerst is met betrekking tot gegevens die voor handelsdoeleinden worden doorgegeven, de veiligehavenbeschikking een belangrijk instrument voor de doorgifte van gegevens tussen de EU en de VS gebleken. Het commerciële belang ervan is toegenomen omdat persoonsgegevensstromen binnen de trans-Atlantische handelsrelatie een prominentere rol zijn gaan innemen. De afgelopen 13 jaar is de veiligehavenregeling op meer dan 3 000 ondernemingen van toepassing geworden. De helft van deze ondernemingen heeft zich in de laatste vijf jaar bij de regeling aangesloten. Toch is de bezorgdheid over het niveau van de bescherming van in het kader van de veiligehavenregeling aan de VS doorgegeven gegevens van EU-burgers toegenomen. Het vrijwillige en declaratoire karakter van de regeling heeft de aandacht voor de transparantie en de handhaving ervan verscherpt. De meerderheid van de Amerikaanse ondernemingen past de beginselen van de regeling toe, maar een aantal ondernemingen die hebben verklaard de beginselen te onderschrijven (zelfcertificering), doet dit niet. Doordat een aantal ondernemingen die hebben verklaard de veiligehavenbeginselen te onderschrijven dit niet doet, hebben deze een concurrentieel voordeel ten opzichte van Europese ondernemingen die op dezelfde markten opereren. 

Hoewel in het kader van de veilige haven beperkingen van de regels inzake gegevensbescherming zijn toegestaan indien deze op grond van de nationale veiligheid noodzakelijk zijn[13], is bovendien de vraag gerezen of het op grote schaal verzamelen en verwerken van persoonsgegevens in het kader van de observatieprogramma's van de VS noodzakelijk en evenredig is om aan nationale veiligheidsbelangen te voldoen. Uit de bevindingen van de ad-hocwerkgroep EU-VS blijkt ook dat EU-burgers in het kader van deze programma's niet dezelfde rechten en procedurele waarborgen genieten als Amerikanen.

Het bereik van deze observatieprogramma's roept in combinatie met de ongelijke behandeling van de EU-burgers vragen op met betrekking tot het door de veiligehavenregeling geboden beschermingsniveau. De autoriteiten van de VS kunnen zich toegang verschaffen tot persoonsgegevens die op grond van de veiligehavenregeling naar de VS zijn gezonden en deze gegevens verder verwerken op een wijze die niet verenigbaar is met de gronden waarop de gegevens oorspronkelijk in de EU werden verzameld en met de doeleinden waarvoor deze aan de VS werden doorgegeven. Een meerderheid van de internetondernemingen in de VS waarop deze programma's directer betrekking lijken te hebben, is door zelfcertificering bij de veiligehavenregeling aangesloten.

In de tweede plaats zijn wat de uitwisseling van gegevens met het oog op rechtshandhaving betreft, de bestaande overeenkomsten (PNR, TFTP) uiterst waardevolle instrumenten gebleken om de gemeenschappelijke veiligheidsgevaren in verband met ernstige transnationale misdrijven en terrorisme aan te pakken, terwijl deze overeenkomsten tevens waarborgen bieden die voor een hoog niveau van gegevensbescherming zorgen[14]. Deze waarborgen strekken zich uit tot EU-burgers en de overeenkomsten bieden mechanismen om de uitvoering ervan te toetsen en om punten van zorg die ermee verband houden, aan te pakken. De TFTP-overeenkomst stelt ook een toezichtsysteem vast, met onafhankelijke EU-toezichthouders die controleren hoe gegevens waarop de overeenkomst betrekking heeft, door de VS worden verzameld.

Naar aanleiding van de bezwaren die in de EU zijn gerezen over de observatieprogramma's van de VS heeft de Europese Commissie deze mechanismen gebruikt om de wijze van uitvoering van de overeenkomsten te controleren. In het geval van de PNR-overeenkomst werd een gezamenlijke evaluatie uitgevoerd, waarbij deskundigen op het gebied van gegevensbescherming uit de EU en de VS waren betrokken die de wijze waarop de overeenkomst was uitgevoerd, onderzochten[15]. Deze evaluatie leverde geen aanwijzingen op dat de observatieprogramma's van de VS zich uitstrekken tot de passagiersgegevens waarop de PNR-overeenkomst van toepassing is of voor die gegevens gevolgen hebben. In het geval van de TFTP-overeenkomst begon de Commissie formele raadplegingen naar aanleiding van beweringen als zouden de inlichtingendiensten van de VS in strijd met de overeenkomst zich rechtstreeks toegang verschaffen tot persoonsgegevens in de EU. Deze raadplegingen toonden niet aan dat er inbreuk op de TFTP-overeenkomst was gemaakt en brachten de VS ertoe schriftelijk te verzekeren dat er geen rechtstreekse verzameling van gegevens heeft plaatsgevonden die in strijd met de bepalingen van de overeenkomst is.

De grootschalige verzameling en verwerking van persoonsgegevens in het kader van de VS-observatieprogramma's vragen echter om een voorzetting van een zeer streng toezicht op de uitvoering van de PNR- en de TFTP-overeenkomsten in de toekomst. De EU en de VS zijn daarom overeengekomen om te werken aan de volgende gezamenlijke herziening van de TFTP-overeenkomst, die in het voorjaar van 2014 zal plaatsvinden. In het kader van deze en van toekomstige gezamenlijke herzieningen zal worden gezorgd voor meer transparantie over de manier waarop het toezichtsysteem functioneert en dit de gegevens van EU-burgers beschermt. Tegelijkertijd zullen stappen worden genomen om ervoor te zorgen dat het toezichtsysteem scherp aandacht zal blijven geven aan de wijze waarop in het kader van de overeenkomt aan de VS doorgegeven gegevens worden verwerkt, met speciale nadruk op de wijze waarop de Amerikaanse autoriteiten deze informatie met elkaar delen.

In de derde plaats onderstreept de toename van de omvang van de verwerking van persoonsgegevens het belang van de toepasselijke wettelijke en administratieve waarborgen. Een van de doelstellingen van de ad-hocwerkgroep van de EU en de VS bestond in de vaststelling welke waarborgen toepasselijk moeten zijn om de gevolgen van de verwerking voor de grondrechten van de EU-burgers zo klein mogelijk te houden. Ook voor de bescherming van ondernemingen zijn waarborgen noodzakelijk. Op grond van bepaalde wetten in de VS, zoals de Patriot Act, kunnen de Amerikaanse autoriteiten ondernemingen rechtstreeks verzoeken om toegang tot in de EU opgeslagen gegevens. Van Europese ondernemingen en in de EU aanwezige Amerikaanse ondernemingen kan daarom worden verlangd dat zij in strijd met de wetgeving van de EU en de lidstaten gegevens aan de VS doorgeven en zij zijn dan ook permanent gevangen tussen met elkaar strijdige wettelijke verplichtingen. De rechtsonzekerheid die dergelijke rechtstreekse verzoeken teweegbrengen, kan de ontwikkeling tegenhouden van nieuwe digitale diensten, zoals cloudcomputing, die natuurlijke personen en bedrijven efficiënte en kostenbesparende oplossingen kunnen bieden.

 3.         Waarborgen van een doeltreffende gegevensbescherming

De doorgifte van persoonsgegevens tussen de EU en de VS vormt een essentieel onderdeel van de trans-Atlantische handelsrelatie. Het delen van informatie is ook een essentieel onderdeel van de samenwerking tussen de EU en de VS op het gebied van veiligheid, welke van wezenlijk belang is voor het bereiken van het gemeenschappelijke doel ernstige misdrijven en terrorisme te voorkomen en te bestrijden. De recente onthullingen over de VS-programma's voor het verzamelen van inlichtingen hebben het vertrouwen waarop deze samenwerking is gebaseerd, echter geschaad. Met name is het vertrouwen geschaad in de wijze waarop persoonsgegevens worden verwerkt. De volgende stappen moeten worden genomen om het vertrouwen in de doorgifte van gegevens te herstellen ten behoeve van de digitale economie, de veiligheid in zowel de EU als de VS en de trans-Atlantische relatie in ruimere zin.

3.1.      De hervorming van de gegevensbescherming in de EU

De door de Commissie in januari 2012 voorgestelde hervorming van de gegevensbescherming[16] vormt een belangrijke maatregel op het gebied van de bescherming van persoonsgegevens. Vijf componenten van het voorgestelde gegevensbeschermingsaspect zijn van bijzonder belang.

Wat allereerst de territoriale werkingssfeer betreft, toont de voorgestelde verordening aan dat niet in de EU gevestigde ondernemingen de EU-wetgeving op het gebied van gegevensbescherming moeten toepassen wanneer zij goederen en diensten aan Europese consumenten aanbieden of hun gedrag nagaan. Met andere woorden: het fundamentele recht op bescherming van gegevens zal worden geëerbiedigd, ongeacht de geografische locatie van een onderneming of haar faciliteiten voor gegevensverwerking[17].

In de tweede plaats stelt de voorgestelde verordening met betrekking tot internationale doorgiften de voorwaarden vast waaronder gegevens buiten de EU kunnen worden doorgegeven. Doorgifte mag alleen worden toegestaan wanneer aan deze voorwaarden, die de rechten van natuurlijke personen op een hoog niveau van bescherming waarborgen, is voldaan[18].

In de derde plaats bevatten wat de handhaving betreft de voorgestelde regels evenredige en afschrikkende boetes (tot 2% van de totale jaaromzet van een onderneming) om ervoor te zorgen dat ondernemingen aan de EU-wetgeving voldoen[19]. Het bestaan van geloofwaardige sancties zal de ondernemingen er sterker toe aanzetten om aan de EU-wetgeving te voldoen.

In de vierde plaats bevat de voorgestelde verordening duidelijke regels over de verplichtingen en aansprakelijkheid van gegevensverwerkers zoals aanbieders van clouddiensten, onder andere met betrekking tot veiligheid[20]. Zoals de onthullingen over de VS-programma's voor het verzamelen van inlichtingen hebben aangetoond, is dit van wezenlijk belang omdat deze programma's van invloed zijn op in de cloud opgeslagen gegevens. Ook zullen ondernemingen die opslagruimte in de cloud aanbieden en die worden verzocht om aan buitenlandse autoriteiten persoonsgegevens te verschaffen hun verantwoordelijkheid niet kunnen ontlopen door zich in plaats van op hun status van voor de verwerking verantwoordelijke te baseren op hun status van gegevensverwerker.

In de vijfde plaats zal het voorgestelde pakket leiden tot de vaststelling van uitgebreide regels voor de bescherming van in het kader van rechtshandhaving verwerkte persoonsgegevens.

Naar verwachting zal over dit pakket in de loop van 2014 tijdig overeenstemming worden bereikt[21].

3.2.      De veilige haven veiliger maken

De veiligehavenregeling is een belangrijk bestanddeel van de handelsrelatie tussen de EU en de VS; ondernemingen aan beide zijden van de Atlantische Oceaan vertrouwen erop.

In het verslag van de Commissie over het functioneren van de veilige haven zijn een aantal zwakke punten in de regeling aangetoond. Als gevolg van een gebrek aan transparantie en handhaving neemt niet iedereen die zelf heeft verklaard de veiligehavenregeling te onderschrijven, deze beginselen in de praktijk ook in acht. Dit heeft negatieve gevolgen voor de grondrechten van de EU-burgers. Het schept ook een nadeel voor Europese ondernemingen ten opzichte van de concurrerende Amerikaanse ondernemingen die weliswaar aan de regeling deelnemen, maar de beginselen daarvan in de praktijk niet toepassen. Dit zwakke punt heeft ook consequenties voor de meerderheid van de Amerikaanse bedrijven die de regeling correct toepassen. De veilige haven fungeert ook als een kanaal voor de doorgifte van persoonsgegevens van EU-burgers vanuit de EU aan de VS door ondernemingen die in het kader van de VS-programma's voor het verzamelen van inlichtingen verplicht zijn gegevens aan Amerikaanse inlichtingendiensten te verstrekken. Tenzij de tekortkomingen worden verholpen, is er dus sprake van een concurrentieel nadeel voor EU-ondernemingen en negatieve gevolgen voor het fundamentele recht op gegevensbescherming van de EU-burgers.

De reactie van de Europese gegevensbeschermingsautoriteiten op de recente onthullingen over observaties hebben de tekortkomingen van de veiligehavenregeling onderstreept. Op grond van artikel 3 van de veiligehavenbeschikking mogen deze autoriteiten onder bepaalde voorwaarden gegevensstromen naar gecertificeerde ondernemingen opschorten[22]. Duitse gegevensbeschermingsfunctionarissen hebben besloten geen nieuwe toestemmingen te verlenen voor de doorgifte van gegevens aan landen buiten de EU (bijvoorbeeld voor het gebruik van bepaalde clouddiensten). Zij zullen ook onderzoeken of de doorgifte van gegevens op basis van de veilige haven moet worden opgeschort[23]. Het gevaar bestaat dat dergelijke maatregelen, genomen op nationaal niveau, verschillen in dekking zouden veroorzaken, wat inhoudt dat de veilige haven niet langer een cruciaal mechanisme zou zijn voor de doorgifte van persoonsgegevens tussen de EU en de VS.

De Commissie is op grond van Richtlijn 95/46/EG bevoegd om de veiligehavenbeschikking op te schorten of te herroepen wanneer de regeling niet langer een passend beschermingsniveau biedt. Voorts bepaalt artikel 3 van de veiligehavenbeschikking dat de Commissie de beschikking mag intrekken of opschorten dan wel de werkingssfeer ervan mag beperken terwijl zij op grond van artikel 4 de beschikking te allen tijde kan aanpassen in het licht van de bij de uitvoering ervan opgedane ervaringen. 

Tegen deze achtergrond kan een aantal beleidsopties in overweging worden genomen, waaronder:

het laten voortbestaan van de status quo; het versterken van de veiligehavenregeling en het grondig herzien van de werking ervan; het opschorten of intrekken van de veiligehavenbeschikking.

Gelet op de geconstateerde zwakke punten kan de huidige uitvoering van de veiligehavenbeschikking niet worden gehandhaafd. De intrekking ervan zou echter de belangen van aangesloten ondernemingen in de EU en de VS schaden. De Commissie is van mening dat het beter is om de veiligehavenbeschikking te versterken.

De verbeteringen zouden betrekking moeten hebben op de structurele tekortkomingen in verband met de transparantie en de handhaving, de materiële veiligehavenbeginselen en de werking van de uitzondering inzake de nationale veiligheid.

Wil de veilige haven werken zoals beoogd, dan moet meer specifiek gezien het toezicht door de VS-autoriteiten op de naleving van de veiligehavenbeginselen inzake privacy door de gecertificeerde ondernemingen effectiever en systematischer zijn. De transparantie van het privacy-beleid van gecertificeerde ondernemingen moet worden verbeterd. EU-burgers moeten ook de zekerheid hebben dat er mechanismen voor geschillenbeslechting beschikbaar zijn en dat deze betaalbaar zijn. 

De Commissie zal met spoed met de autoriteiten van de VS in gesprek gaan over de vastgestelde tekortkomingen. Tegen de zomer van 2014 moeten oplossingen zijn gevonden en deze moeten zo snel mogelijk worden gerealiseerd. Op grond daarvan zal de Commissie de werking van de veilige haven volledig evalueren. Dit ruimere evaluatieproces dient openbare raadplegingen te omvatten en een debat binnen het Europees Parlement alsook gesprekken met de Amerikaanse autoriteiten. 

Het is ook belangrijk dat de uitzondering inzake de nationale veiligheid waarin de veiligehavenbeschikking voorziet, slechts wordt toegepast voor zover dat strikt noodzakelijk en evenredig is.

3.3.      Versterking van de waarborgen inzake gegevensbescherming bij de samenwerking op het gebied van rechtshandhaving

De EU en de VS onderhandelen op dit moment over een raamovereenkomst inzake de doorgifte en de verwerking van persoonsgegevens in het kader van politiële en gerechtelijke samenwerking in strafzaken. Het sluiten van een dergelijke overeenkomst die een hoog niveau van bescherming van persoonsgegevens biedt, zou een zeer belangrijke bijdrage leveren aan het versterken van het vertrouwen aan weerszijden van de Atlantische Oceaan. Wanneer de bescherming van de rechten van de EU-burgers wordt bevorderd, zou dat bijdragen aan de versterking van de trans-Atlantische samenwerking die is gericht op het voorkomen en bestrijden van misdaad en terrorisme.

Volgens het besluit waarbij de Commissie de toestemming kreeg om over de raamovereenkomst te onderhandelen, moeten deze onderhandelingen strekken tot het waarborgen van een hoog beschermingsniveau dat in overeenstemming is met het acquis van de EU op het gebied van gegevensbescherming. Dit moet tot uitdrukking komen in de regels en waarborgen die overeen zijn gekomen met betrekking tot onder meer de doelbeperking inzake, de voorwaarden voor en de duur van het bewaren van gegevens. In het kader van de onderhandelingen moet de Commissie ook toezeggingen verkrijgen over afdwingbare rechten, met inbegrip van gerechtelijke verhaalsmechanismen voor EU-burgers die niet in de VS woonachtig zijn[24]. Nauwe samenwerking tussen de EU en de VS om gemeenschappelijke veiligheidsproblemen aan te pakken, zou gepaard moeten gaan met het streven ervoor te zorgen dat burgers dezelfde rechten genieten wanneer aan beide kanten van de Atlantische Oceaan dezelfde gegevens voor hetzelfde doel worden verwerkt. Het is ook van belang dat uitzonderingen op grond van behoeften in verband met de nationale veiligheid eng gedefinieerd worden. In dit opzicht moet er overeenstemming worden bereikt over waarborgen en beperkingen.

Deze onderhandelingen bieden een mogelijkheid te verduidelijken dat persoonsgegevens die in handen zijn van particuliere ondernemingen in de EU niet direct toegankelijk zijn voor of worden doorgegeven aan rechtshandhavingsautoriteiten in de VS buiten de formele samenwerkingskanalen om, zoals overeenkomsten inzake wederzijdse rechtshulp of sectorale overeenkomsten tussen de EU en de VS waarbij een dergelijke doorgifte wordt toegestaan. Toegang langs andere wegen moet worden uitgesloten tenzij deze plaatsvindt in duidelijk bepaalde, uitzonderlijke en rechterlijk toetsbare situaties. De VS moet in dit opzicht toezeggingen doen[25].

Een raamovereenkomst waarover op die basis overeenstemming is bereikt, zou het algemene kader moeten bieden dat voor een hoog niveau van bescherming van persoonsgegevens zorgt wanneer deze ten behoeve van het voorkomen of het bestrijden van misdaad en terrorisme aan de VS worden doorgegeven. Sectorale overeenkomsten zouden, wanneer dat vanwege de aard van de betrokken doorgifte van gegevens noodzakelijk is, aanvullende regels en waarborgen moeten bevatten, die voortbouwen op het voorbeeld van de PNR- en de TFTP-overeenkomsten tussen de EU en de VS en die strikte voorwaarden voor de doorgifte van gegevens en waarborgen voor de EU-burgers bevatten.        

3.4.      Tegemoetkoming aan de Europese bezorgdheid tijdens het lopende hervormingsproces in de VS 

De Amerikaanse president Obama heeft een evaluatie aangekondigd van de activiteiten van de nationale veiligheidsinstanties van de VS, waarbij ook het toepasselijke rechtskader aan bod zal komen. Dit proces biedt een belangrijke mogelijkheid om tegemoet te komen aan de Europese bezorgdheid naar aanleiding van de recente onthullingen over de VS-programma's voor het verzamelen van inlichtingen. De belangrijkste veranderingen zouden erin bestaan dat de waarborgen die burgers en inwoners van de VS nu genieten, ook gaan gelden voor niet in de VS woonachtige burgers van de EU, de activiteiten van inlichtingendiensten transparanter worden en het toezicht verder wordt versterkt. Dergelijke veranderingen zouden het vertrouwen in de uitwisseling van gegevens tussen de EU en de VS herstellen en het gebruik van internetdiensten door Europeanen bevorderen.

Wat betreft de uitbreiding van de waarborgen voor burgers en inwoners van de VS tot EU-burgers, moeten de rechtsnormen met betrekking tot de observatieprogramma's van de VS, die burgers van de EU anders behandelen dan die van de VS, worden herzien, mede vanuit het oogpunt van de noodzakelijkheid en de evenredigheid. Daarbij moet rekening worden gehouden met het hechte trans-Atlantische partnerschap, dat is gebaseerd op gemeenschappelijke waarden, rechten en vrijheden. Dit zou de negatieve gevolgen voor Europeanen van de VS-programma’s voor het vergaren van inlichtingen verminderen.

Er is meer transparantie nodig over het rechtskader van de VS-programma's voor het vergaren van inlichtingen en de uitlegging daarvan door de Amerikaanse rechter alsook over de omvang van deze programma's. EU-burgers zouden ook voordeel hebben van dergelijke wijzigingen.

Het toezicht op de VS-programma's voor het verzamelen van inlichtingen zou worden verbeterd door de rol van het Foreign Intelligence Surveillance Court te versterken en door het invoeren van rechtsmiddelen voor natuurlijke personen. Deze mechanismen zouden de verwerking van persoonsgegevens van Europeanen die niet relevant voor nationale veiligheidsdoeleinden is, kunnen verminderen.

3.5.        De internationale bevordering van privacynormen

Problemen in verband met de moderne methoden van databescherming zijn niet beperkt tot de doorgifte van gegevens tussen de EU en de VS. Een hoog niveau van bescherming van persoonsgegevens zou ook voor iedere natuurlijke persoon gewaarborgd moeten zijn. EU-regels inzake de verzameling, verwerking en doorgifte van gegevens zou internationaal moeten worden bevorderd.

Onlangs is een aantal initiatieven voorgesteld ter bevordering van de privacybescherming, met name via internet[26]. De EU dient ervoor te zorgen dat bij de eventuele uitvoering van dergelijke initiatieven volledig rekening wordt gehouden met de beginselen inzake de bescherming van grondrechten, de vrijheid van meningsuiting, persoonsgegevens en privacy, die zijn neergelegd in de EU-wetgeving en in de EU-strategie inzake cyberveiligheid, en geen inbreuk wordt gemaakt op de vrijheid, het open karakter en de veiligheid van de cyberruimte. Dit veronderstelt ook een democratisch en efficiënt beheermodel waarbij een groot aantal belanghebbende partijen is betrokken.

De lopende hervormingen van de wetgeving op het gebied van gegevensbescherming aan beide zijden van de Atlantische Oceaan biedt de EU en de VS ook een unieke mogelijkheid om internationaal de normen vast te stellen. De uitwisseling van gegevens tussen de VS en de EU en daarbuiten zou veel profijt hebben van de versterking van het nationale rechtskader van de VS, met inbegrip van de goedkeuring van de "Consumer Privacy Bill of Rights", die door president Obama in februari 2012 werd aangekondigd als onderdeel van een breed plan voor de verbetering van de bescherming van de privacy van consumenten. Het bestaan van een reeks stringente en afdwingbare gegevensbeschermingsregels die zowel in de EU als de VS van kracht zijn, zou een solide basis vormen voor grensoverschrijdende gegevensstromen.

Met het oog op de internationale bevordering van privacynormen zou ook gestreefd moeten worden naar toetreding tot het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens ("Conventie 108") van de Raad van Europa, waartoe ook landen kunnen toetreden die geen lid van de Raad van Europa zijn[27]. Waarborgen en garanties waarover binnen internationale fora overeenstemming is bereikt, zouden moeten resulteren in een hoog beschermingsniveau dat in overeenstemming is met datgene wat de EU-wetgeving vereist.

4.            Conclusies en aanbevelingen

De in deze mededeling geconstateerde problemen vragen om maatregelen van zowel de VS als de EU en haar lidstaten.

De zorgen over de trans-Atlantische uitwisseling van gegevens vormen allereerst een waarschuwing aan het adres van de EU en haar lidstaten om met spoed en ambitieus vooruitgang te boeken met de hervorming van de gegevensbescherming. Een en ander toont aan dat een krachtig rechtskader met duidelijke regels die ook in geval van doorgifte van gegevens naar het buitenland gehandhaafd kunnen worden, meer dan ooit noodzakelijk is. De EU-instellingen moeten zich daarom blijven inzetten om ervoor te zorgen dat de hervorming van de gegevensbescherming in de EU tegen het voorjaar van 2014 wordt goedgekeurd, zodat een effectieve en ruime bescherming van persoonsgegevens gewaarborgd is.

Gezien het belang van trans-Atlantische gegevensstromen is het essentieel dat de instrumenten waarop deze uitwisselingen zijn gebaseerd een passende reactie vormen op de uitdagingen en de mogelijkheden van het digitale tijdperk en nieuwe technologische ontwikkelingen zoals cloudcomputing. De bestaande en toekomstige regelingen en overeenkomsten moeten ervoor zorgen dat de continuïteit van een hoog beschermingsniveau voor de gegevensstromen tussen de EU en de VS is gegarandeerd.

Een robuuste veiligehavenregeling is in het belang van de burgers en ondernemingen in de EU en de VS. Zij moet worden versterkt door een betere controle en uitvoering op de korte termijn en, op basis daarvan, een ruimere herziening van haar werking. Verbeteringen zijn noodzakelijk om ervoor te zorgen dat aan de oorspronkelijke doelstellingen van de veiligehavenbeschikking – te weten de continuïteit van de gegevensbescherming, rechtszekerheid en de vrije stroom van gegevens tussen de EU en de VS – voldaan blijft worden. 

Deze verbeteringen moeten zich richten op de noodzaak van een beter toezicht en een betere controle door de autoriteiten van de VS inzake de naleving van de veiligehavenbeginselen op het gebied van privacy door de ondernemingen die deze beginselen door zelfcertificering hebben onderschreven.

Het is ook belangrijk dat de uitzondering inzake de nationale veiligheid waarin de veiligehavenbeschikking voorziet, slechts wordt toegepast voor zover dat strikt noodzakelijk en evenredig is.

Op het gebied van rechtshandhaving moeten de huidige onderhandelingen over een raamovereenkomst leiden tot een hoog beschermingsniveau voor de burgers aan beide zijden van de Atlantische Oceaan. Een dergelijke overeenkomst zou het vertrouwen van Europeanen in de uitwisseling van gegevens tussen de EU en de VS versterken en een basis vormen voor de verdere ontwikkeling van de samenwerking en het partnerschap tussen de EU en de VS op het gebied van veiligheid. In het kader van de onderhandelingen moeten er toezeggingen worden verkregen die ervoor zorgen dat niet in de VS woonachtige Europeanen procedurele waarborgen kunnen genieten, waaronder toegang tot de rechter.

Er moet worden getracht om van de Amerikaanse overheid de garantie te verkrijgen dat rechtshandhavingsautoriteiten van de VS zich geen rechtstreekse toegang tot persoonsgegevens verschaffen die in handen van particuliere entiteiten in de EU zijn, anders dan via de formele samenwerkingskanalen, zoals de overeenkomsten inzake wederzijdse rechtshulp, en sectorale overeenkomsten tussen de EU en de VS, zoals de PNR- en TFTP-overeenkomsten, waarbij de doorgifte van dergelijke gegevens alleen onder strikte voorwaarden mag worden toegestaan, tenzij er sprake is van duidelijk gedefinieerde en uitzonderlijke situaties die door de rechter kunnen worden getoetst.  

De VS moet ook de waarborgen die burgers en inwoners van de VS genieten, uitbreiden tot niet in de VS woonachtige EU-burgers, verzekeren dat de programma's noodzakelijk en evenredig zijn en zorgen voor grotere transparantie van en toezicht op het op de nationale veiligheidsinstanties van de VS toepasselijke rechtskader.

De gebieden die in deze mededeling aan bod komen, zullen een constructieve inzet aan beide kanten van de Atlantische Oceaan vereisen. De EU en de VS samen zijn als strategische partners in staat om de huidige spanningen in de trans-Atlantische relatie te overwinnen en om het vertrouwen in de gegevensstromen tussen de EU en de VS te herstellen. Het aangaan van gezamenlijke politieke en juridische verplichtingen inzake verdere samenwerking op deze gebieden zal de trans-Atlantische verhouding in haar algemeenheid versterken.

[1]               In deze mededeling worden onder EU-burgers ook betrokkenen van buiten de EU verstaan die binnen de werkingssfeer van de EU-wetgeving op het gebied van gegevensbescherming vallen.

[2]               Beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de veiligehavenbeginselen  en de daarmee verband houdende vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd, PB L 215 van 25.8.2000, blz. 7.

[3]               Besluit 2009/820/GBVB van de Raad van 23 oktober 2009 betreffende de sluiting namens de Europese Unie van de overeenkomst betreffende uitlevering tussen de Europese Unie en de Verenigde Staten van Amerika en de overeenkomst betreffende wederzijdse rechtshulp in strafzaken tussen de Europese Unie en de Verenigde Staten van Amerika, PB L 291 van 7.11. 2009, blz. 40.

[4]               Besluit 2012/472/EG van de Raad van 26 april 2012 tot sluiting van de overeenkomst tussen de Verenigde Staten van Amerika en de Europese Unie inzake het gebruik en de doorgifte van persoonsgegevens van passagiers aan het Amerikaanse Ministerie van Binnenlandse Veiligheid, PB L 215 van 11.8.2012, blz. 4.

[5]               Besluit van de Raad van 13 juli 2010 betreffende de sluiting van de overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en doorgifte van gegevens betreffende het financiële berichtenverkeer van de Europese Unie naar de Verenigde Staten ten behoeve van het programma voor het traceren van terrorismefinanciering, PB L 195 van 27.7.2010, blz. 3.

[6]               De Raad stelde op 3 december 2010 het besluit vast waarbij de Commissie werd gemachtigd om over de overeenkomst te onderhandelen. Zie IP/10/1661 van 3 december 2010.

[7]               Zie Boston Consulting Group, “The Value of our Digital Identity”, november 2012.

[8]               Zie McKinsey, "Big data: The next frontier for innovation, competition, and productivity", 2011

[9]               Mededeling van de Commissie over het aanboren van het potentieel van cloudcomputing in Europa, COM(2012) 529 final

[10]             Het totale aantal eenmalige bezoekers van Microsoft Hotmail, Google Gmail en Yahoo! Mail uit Europese landen bedroeg bijvoorbeeld in juni 2012 meer dan 227 miljoen en stelde daarmee dat van alle andere providers in de schaduw. Het totale aantal eenmalige Europese bezoekers van Facebook en Facebook Mobile bedroeg in maart 2012 196,5 miljoen, waarmee Facebook het grootste sociale netwerk in Europa werd. Google is met wereldwijd 90,2% van de internetgebruikers de belangrijkste internetzoekmachine. De Amerikaanse dienst voor mobiele berichten What's App werd in Duitsland in juni 2013 door 91% van de iPhone-gebruikers gebruikt.

[11]             Zie het arrest van het Hof van Justitie van de Europese Unie in zaak C-300/11, ZZ/Secretary of State for the Home Department.

[12]             Artikel 4, lid 2, VEU.

[13]             Zie bijvoorbeeld de veiligehavenbeschikking, bijlage I.

[14]             Zie het overeenkomstig artikel 6, lid 6, van de overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en doorgifte van gegevens betreffende het financiële berichtenverkeer van de Europese Unie naar de Verenigde Staten ten behoeve van het programma voor het traceren van terrorismefinanciering opgestelde gezamenlijke verslag van de Commissie en het Amerikaanse ministerie van Financiën over de waarde van de in het kader van het TFTP verstrekte gegevens.

[15]             Zie het verslag van de Commissie "Gezamenlijke herziening van de tenuitvoerlegging van de overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en de doorgifte van persoonsgegevens van passagiers aan het Amerikaanse ministerie van Binnenlandse Veiligheid".

[16]             COM(2012) 10 definitief: Voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, Brussel, 25.1.2012, en COM(2012) 11 final: Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming).

[17]             De Commissie merkt op dat het Europees Parlement dit belangrijke beginsel, dat is neergelegd in artikel 3 van de voorgestelde verordening, tijdens zijn stemming van 21 oktober 2013 in the Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) over het verslag inzake de hervorming van de gegevensbescherming van de leden van het Europees Parlement Jan-Philipp Albrecht en Dimitrios Droutsas, heeft bevestigd en versterkt.

[18]             De Commissie merkt op dat de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) van het Europees Parlement bij haar stemming van 21 oktober 2013 voorstelde om in de toekomstige verordening een bepaling op te nemen op grond waarvan verzoeken van autoriteiten uit andere landen om toegang tot in de EU verzamelde persoonsgegevens alleen mogen worden gehonoreerd wanneer vooraf toestemming is verkregen van een nationale gegevensbeschermingsautoriteit indien een dergelijk verzoek zou plaatsvinden buiten het kader van een verdrag inzake wederzijdse rechtshulp of een andere internationale overeenkomst om. 

[19]             De Commissie merkt op dat de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) bij haar stemming van 21 oktober 2013 voorstelde het voorstel van de Commissie aan te scherpen door te bepalen dat boetes zelfs 5% van de jaarlijkse mondiale omzet van een onderneming kunnen belopen.

[20]             De Commissie merkt op dat de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) bij haar stemming van 21 oktober 2013 zich achter een versterking van de verplichtingen en de aansprakelijkheid van gegevensverwerkers heeft geschaard, met name waar het gaat om artikel 26 van de voorgestelde verordening.

[21]             In de conclusies van de Europese Raad van 2013 wordt het volgende verklaard: "Het is belangrijk om het vertrouwen van de burger en het bedrijfsleven in de digitale economie te bevorderen. De spoedige vaststelling van een sterk uniaal algemeen gegevensbeschermingskader alsook van de richtlijn cyberveiligheid is van doorslaggevend belang om de digitale eengemaakte markt in 2015 te kunnen voltooien".

[22]             Meer bepaald kunnen op grond van artikel 3 van de veiligehavenbeschikking dergelijke opschortingen plaatsvinden in gevallen waarin het zeer waarschijnlijk is dat de beginselen worden geschonden; er redelijkerwijs kan worden aangenomen dat het desbetreffende handhavingsmechanisme niet tijdig passende maatregelen neemt of zal nemen om het betrokken probleem op te lossen; zich een risico voordoet dat de betrokkenen ernstige schade wordt toegebracht wanneer verder gegevens worden doorgegeven; en de bevoegde autoriteiten in de lidstaat zich naar omstandigheden redelijke inspanningen hebben getroost om de organisatie van het probleem in kennis te stellen en de gelegenheid te geven te reageren.

[23]             Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, persbericht van 24 juli 2013.

[24]             Zie de relevante passage uit de gezamenlijke persverklaring van de EU-VS ministersvergadering Justitie en Binnenlandse Zaken van 18 november 2013 in Washington: "We are therefore, as a matter of urgency, committed to advancing rapidly in the negotiations on a meaningful and comprehensive data protection umbrella agreement in the field of law enforcement.[Wij hechten er daarom aan om de onderhandelingen over een zinvolle en brede raamovereenkomst inzake gegevensbescherming op het gebied van rechtshandhaving te bespoedigen.] The agreement would act as a basis to facilitate transfers of data in the context of police and judicial cooperation in criminal matters by ensuring a high level of personal data protection for U.S. and EU citizens. [De overeenkomst zou als basis dienen voor het bevorderen van de doorgifte van gegevens in het kader van politiële en gerechtelijke samenwerking in strafzaken door voor burgers van de VS en de EU een hoog niveau van bescherming van persoonsgegevens te waarborgen.] We are committed to working to resolve the remaining issues raised by both sides, including judicial redress (a critical issue for the EU). [Wij hechten eraan ons in te zetten voor het oplossen van de overblijvende problemen die door beide partijen zijn gesignaleerd, waaronder het beroep op de rechter (een cardinaal punt voor de EU).] Our aim is to complete the negotiations on the agreement ahead of summer 2014." [Wij streven ernaar de onderhandelingen over de overeenkomst voor de zomer van 2014 te voltooien.]

[25]             Zie de relevante passage uit de gezamenlijke persverklaring van de EU-VS ministersvergadering Justitie en Binnenlandse Zaken van 18 november 2013 in Washington: "We also underline the value of the EU-U.S. Mutual Legal Assistance Agreement. [Wij benadrukken ook de waarde van de overeenkomst inzake wederzijdse rechtshulp tussen de EU en de VS] We reiterate our commitment to ensure that it is used broadly and effectively for evidence purposes in criminal proceedings. [Wij herhalen onze inzet ervoor te zorgen dat deze ruim en efficiënt wordt gebruikt ten behoeve van de bewijsvoering in strafzaken.] There were also discussions on the need to clarify that personal data held by private entities in the territory of the other party will not be accessed by law enforcement agencies outside of legally authorized channels. [Er vonden ook discussies plaats over de noodzaak te verduidelijken dat rechtshandhavingsautoriteiten zich niet buiten de wettelijke toegestane kanalen toegang zullen verschaffen tot persoonsgegevens die door particuliere entiteiten op het grondgebied van de andere partij worden gehouden.] We also agree to review the functioning of the Mutual Legal Assistance Agreement, as contemplated in the Agreement, and to consult each other whenever needed." [Wij stemmen er ook mee in de werking van de overeenkomst inzake wederzijdse rechtshulp te evalueren, zoals in de overeenkomst wordt overwogen, en om elkaar steeds wanneer dat nodig is te zullen raadplegen.]

[26]          Zie in dit verband de door Duitsland en Brazilië aan de Algemene Vergadering van de VN voorgestelde ontwerpresolutie, waarin wordt opgeroepen om privacy zowel online als offline te beschermen.

[27]          De VS is al partij bij een ander verdrag van de Raad van Europa: het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken van 2001 (ook wel het "Verdrag van Boedapest" genoemd).