Datum 1 september 2011 Onderwerp Beantwoording Kamervragen over het artikel "Amerika graait in Europese clouddata"

1 > Retouradres Postbus 20301 2500 EH Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG

Directoraat-Generaal Rechtspleging en Rechtshandhaving Directie Juridische en Operationele Aangelegenheden Schedeldoekshaven 100 2511 EX Den Haag Postbus 20301 2500 EH Den Haag www.rijksoverheid.nl/venj

Ons kenmerk 183209

Datum 1 september 2011 Onderwerp Beantwoording Kamervragen over het artikel "Amerika graait in Europese clouddata"

Hierbij deel ik u mede dat de schriftelijke vragen van het lid Schouw (D66) over het artikel “Amerika graait in Europese clouddata” (ingezonden 5 juli 2011), de schriftelijke vragen van het lid Gesthuizen (SP) over het door Google verstrekken van internetdata aan de Amerikaanse autoriteiten (ingezonden 6 juli 2011), en de schriftelijke vragen van het lid Elissen (PVV) over Europese data die beheerd worden door Amerikaanse bedrijven (ingezonden 7 juli 2011) worden beantwoord zoals aangegeven in de bijlage bij deze brief.

Uw kenmerk 2011Z15124 en 2011Z15183 en 2011Z15241 Bij beantwoording de datum en ons kenmerk vermelden. Wilt u slechts één zaak in uw brief behandelen.

De schriftelijke vragen van het lid Elissen (PVV) beantwoord ik mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties.

De Minister van Veiligheid en Justitie,

I.W. Opstelten

Pagina 1 van 8

2011Z15124 Vragen van het lid Schouw (D66) aan de minister van Veiligheid en Justitie over het artikel ‘Amerika graait in Europese clouddata’ (ingezonden 5 juli 2011) 1 Bent u bekend met het artikel ‘Amerika graait in Europese clouddata’? 1)

Directoraat-Generaal Rechtspleging en Rechtshandhaving Directie Juridische en Operationele Aangelegenheden Datum 1 september 2011 Ons kenmerk 183209

Antwoord Ja. 2 Bent u op de hoogte van het feit dat de autoriteiten van de VS zich met beroep op de Patriot Act toegang verschaffen tot persoonsgegevens opgeslagen op EU-grondgebied, door bedrijven met hoofdzetel in de VS? 2) 3) Antwoord Het kan niet worden uitgesloten dat de relevante Amerikaanse wetgeving (zoals bijvoorbeeld 18 U.S.C. § 2703) een zodanige werking heeft dat bedrijven die een (hoofd)vestiging in de Verenigde Staten hebben verplicht kunnen worden tot het verstrekken van gegevens die door hen worden verwerkt, of waarover zij anderszins de beschikking hebben, ongeacht waar die gegevens zich bevinden. De desbetreffende wetgeving bevat geen bepalingen met betrekking tot de territoriale reikwijdte. Bovendien is het bekend dat Amerikaanse wetgeving niet zelden uitgaat van een ruime opvatting over de bescherming van Amerikaanse belangen en Amerikaanse staatsburgers. Vorderingen om toegang te krijgen tot persoonsgegevens worden doorgaans uitgevaardigd in de vorm van een rechterlijk bevel, soms na toetsing door een Grand Jury. Daarbij kan ter bescherming van onderzoeksbelangen degene tot wie het bevel zich richt worden verboden daarover enige mededeling aan derden te doen. Het niet naleven van die verplichting is met straf bedreigd. Mede om die reden is mij niet bekend of en hoe vaak de Amerikaanse autoriteiten dergelijke vorderingen hebben gedaan ten aanzien van binnen de EU opgeslagen gegevens, buiten de gebieden waarvoor een specifieke regeling bestaat, zoals passagiersgegevens en gegevens over het betalingsverkeer. 3 Bent u bekend met de verklaring van de Europese Commissie dat binnen de EU opgeslagen persoonsgegevens vallen onder de EU Richtlijn Bescherming Persoonsgegevens 95/46 en dat bij de Europese Commissie niet bekend is dat de VS desalniettemin bij de in VS jurisdictie gevestigde hoofdzetels van bedrijven in de EU opgeslagen persoonsgegevens opvragen, als verwoord in punt 5? 4) Antwoord Ik ben bekend met deze antwoorden d.d. 27 juli 2007 van de Europese Commissie op schriftelijke vragen van Europarlementslid In ’t Veld.

Pagina 2 van 8

4 Kunt u toelichten waarom deze praktijk niet bekend was en waarom dit bij het genoemde onderzoek in 2007 niet aan het licht is gekomen? Zijn er op dit moment bij u gevallen bekend waarbij bedrijven, gevestigd in Nederland maar met een hoofdkantoor in de VS, verzoeken krijgen van Amerikaanse autoriteiten tot het inzien van persoonsgegevens? Zo ja, welke? Zo nee, bent u van plan om het College Bescherming Persoonsgegevens in te schakelen om uit te zoeken of en zo ja welke bedrijven zulke verzoeken krijgen van Amerikaanse autoriteiten?

Directoraat-Generaal Rechtspleging en Rechtshandhaving Directie Juridische en Operationele Aangelegenheden Datum 1 september 2011 Ons kenmerk 183209

Antwoord Het Ministerie van Veiligheid en Justitie is niet betrokken geweest bij het genoemde onderzoek in 2007. Bij het Ministerie van Veiligheid en Justitie zijn ook thans geen gevallen bekend van bedrijven met een hoofdkantoor in de Verenigde Staten die door de Amerikaanse autoriteiten zijn verplicht gegevens te verstrekken die door die bedrijven in Nederland worden verwerkt. Het CBP is een onafhankelijke toezichthouder die zijn eigen onderzoeksagenda vaststelt. Het is daarom niet aan mij te bepalen of zij hier onderzoek naar (zullen) doen. 5 Bent u van mening dat op deze wijze feitelijk de EU wetgeving betreffende de bescherming van persoonsgegevens wordt uitgeschakeld door extraterritoriale werking van de wetgeving van een derde land? Antwoord Feit is dat de extraterritoriale werking van de wetgeving van een derde land ertoe kan leiden dat bedrijven in de EU op bepaalde aspecten geconfronteerd worden met een conflict van plichten. Dat is mogelijk ook hier aan de hand. Het gaat echter te ver om te stellen dat het hele Europese stelsel voor de bescherming van persoonsgegevens hierdoor wordt uitgeschakeld. 6 Welke stappen gaat u ondernemen om deze situatie te corrigeren en om juridische duidelijkheid te scheppen voor bedrijven en burgers over de bescherming van persoonsgegevens opgeslagen binnen de EU? Antwoord Het conflict van plichten dat kan ontstaan ten gevolge van de toepassing van Amerikaanse wetgeving is niet beperkt tot Nederland, maar treft alle lidstaten van de EU op vergelijkbare wijze. Het ligt daarom op de weg van de Europese Commissie om hiervoor een oplossing te vinden in overleg met de Amerikaanse autoriteiten. De Europese Commissie is van deze problematiek op de hoogte.

1) http://webwereld.nl/nieuws/107156/amerika-graait-in-europeseclouddata.html?utm_source=feedburner&utm_medium=twitter&utm_campaign=F eed%3A+Webwereld+%28Webwereld%29 2) http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-canaccess-eu-based-cloud-data/11225 3) http://www.europarl.europa.eu/sides/getAllAnswers.do?reference=P-20073213&language=EN

Pagina 3 van 8

4) Punt 5: "De Commissie heeft in samenwerking met de gegevensbeschermingsautoriteiten van de lidstaten onderzocht of commerciële organisaties met operaties of activiteiten in de Verenigde Staten, in het bijzonder dienstverlenende ondernemingen in de financiële sector, het voorwerp zijn geweest van dwingende verzoeken van de Amerikaanse autoriteiten om in de EU opgeslagen persoonsgegevens aan hen door te geven. Gebleken is dat de gegevensbeschermingsautoriteiten van de lidstaten geen weet hebben van dergelijke maatregelen, alhoewel door de gegevensbeschermingsautoriteiten van één lidstaat is gemeld dat ondernemingen met zetel op het grondgebied van die staat een dergelijk verzoek hebben gekregen, buiten het kader om van de bestaande instrumenten voor internationale wederzijdse rechtshulp."

Directoraat-Generaal Rechtspleging en Rechtshandhaving Directie Juridische en Operationele Aangelegenheden Datum 1 september 2011 Ons kenmerk 183209

Pagina 4 van 8

2011Z15183 Vragen van het lid Gesthuizen (SP) aan de staatssecretaris van Veiligheid en Justitie en minister van Economische Zaken, Landbouw en Innovatie over het door Google verstrekken van internetdata aan de Amerikaanse autoriteiten (ingezonden 6 juli 2011) 1 Bent u bekend met het artikel ‘Google turns over user data in 94% of US demands. Facebook, Yahoo!, Microsoft? Who knows’? 1)

Directoraat-Generaal Rechtspleging en Rechtshandhaving Directie Juridische en Operationele Aangelegenheden Datum 1 september 2011 Ons kenmerk 183209

Antwoord Ja. 2 Kunnen de Amerikaanse autoriteiten, door verzoeken om informatie aan Google, op een eenvoudige manier gegevens opvragen over Nederlandse internetgebruikers? Zo ja, aan welke wettelijke kaders zijn deze verzoeken gebonden? Antwoord De Patriot Act, waar de Amerikaanse autoriteiten hun eventuele verzoeken om informatie kennelijk op baseren, is een ingewikkeld pakket aan wijzigingen op andere wetgeving. Daardoor heb ik geen volledig overzicht van alle wettelijke voorschriften op basis waarvan een verzoek van de Amerikaanse autoriteiten aan een bedrijf als Google kan worden gedaan. In ieder geval staat wel vast dat een dergelijk verzoek onderwerp is van ex-ante toetsing door een Amerikaanse rechter. Soms is ook toetsing door een Grand Jury nodig. Het is daarom niet zo dat een dergelijk verzoek op een eenvoudige wijze gedaan kan worden. 3 Welke andere online diensten, die veel gebruikt worden door Nederlandse consumenten, verstrekken informatie aan de Amerikaanse autoriteiten? Antwoord Het is mij niet bekend of en zo ja welke (andere) leveranciers van online diensten die zich (ook) richten op Nederlandse consumenten geconfronteerd zijn met vorderingen van de Amerikaanse autoriteiten om gegevens te verstrekken. Zoals gemeld in antwoord op vraag 4 van het lid Schouw van 5 juli 2011 (vraagnummer 2011Z15124) zijn bij het Ministerie van Veiligheid en Justitie geen gevallen bekend van bedrijven met een hoofdkantoor in de Verenigde Staten die door de Amerikaanse autoriteiten zijn verplicht gegevens te verstrekken die door die bedrijven in Nederland worden verwerkt. 4 Vindt u dat deze manier van handelen bijdraagt aan de uitholling van de privacybescherming van de Nederlandse burger? Antwoord Ik verwijs hiervoor naar het antwoord op vraag 5 van het lid Schouw van 5 juli 2011 (vraagnummer 2011Z15124).

Pagina 5 van 8

1) http://www.theregister.co.uk/2011/06/27/google_user_data_subpoenas/

Directoraat-Generaal Rechtspleging en Rechtshandhaving Directie Juridische en Operationele Aangelegenheden Datum 1 september 2011 Ons kenmerk 183209

Pagina 6 van 8

2011Z15241 Vragen van het lid Elissen (PVV) aan de staatssecretaris van Veiligheid en Justitie over Europese data die beheerd wordt door Amerikaanse bedrijven (ingezonden 7 juli 2011) 1 Bent u bekend met het bericht ‘Microsoft admits Patriot Act can access EU-based cloud-data’? 1)

Directoraat-Generaal Rechtspleging en Rechtshandhaving Directie Juridische en Operationele Aangelegenheden Datum 1 september 2011 Ons kenmerk 183209

Antwoord Ja. 2 Hoe beoordeelt u de uitspraak van Gordon Frazer, managing director van Microsoft UK, dat alle gegevens die door een Amerikaans bedrijf worden beheerd, altijd opgevraagd kunnen worden door de Amerikaanse overheid op basis van de Patriot Act? Antwoord Zoals gemeld in antwoord op vraag 2 van het lid Schouw van 5 juli 2011 (vraagnummer 2011Z15124) en in antwoord op vraag 2 van het lid Gesthuizen van 6 juli 2011 (vraagnummer 2011Z15183) zal een dergelijke vordering door de Amerikaanse autoriteiten in ieder geval vooraf door een Amerikaanse rechter getoetst moeten worden, en in sommige gevallen ook door een Grand Jury. De stelling dat alle gegevens altijd opgevraagd kunnen worden lijkt mij om die reden geen goede weergave van de werkelijkheid. 3 Wordt er door de Nederlandse overheid, door Nederlandse agentschappen of door Nederlandse instellingen behorende tot de semioverheid data opgeslagen door (of in samenwerking met) een Amerikaans bedrijf (of meerdere Amerikaanse bedrijven)? Zo ja, welke onderdelen van de (semi-)overheid of welke agentschappen zijn dit? Antwoord Ja, enkele onderdelen van de Rijksdienst experimenteren met Google Docs en Dropbox. Voor de Rijksdienst is uit een inventarisatie gebleken, dat de datacentra van de Rijksdienst zich op Nederlands grondgebied bevinden. Het is op dit moment niet bekend welke van deze datacentra (mede) worden beheerd door Amerikaanse bedrijven. Dit wordt op korte termijn uitgezocht. Voorts kan gezien de omvang van de rest van de overheid en de semi-overheid ook niet worden uitgesloten dat overheidsinformatie is opgeslagen door of in samenwerking met een Amerikaans bedrijf. 4 Is er momenteel sprake van scenario’s waarbij de Amerikaanse overheid, op basis van de Patriot Act, gegevens kan opvragen die door Nederlandse burgers aan de Nederlandse overheid (of een agentschap of instelling behorende tot de semi-overheid) zijn verstrekt? Zo ja, om welke gegevens gaat het?

Pagina 7 van 8

Antwoord Dergelijke scenario’s zijn mij niet bekend. 5 Zijn er andere vreemde mogendheden die momenteel over wetgeving die lijkt op de Amerikaanse Patriot Act beschikken en daarom niet in aanmerking komen om Nederlandse bestanden te beheren? Wordt dit actief door de Nederlandse overheid gemonitord?

Directoraat-Generaal Rechtspleging en Rechtshandhaving Directie Juridische en Operationele Aangelegenheden Datum 1 september 2011 Ons kenmerk 183209

Antwoord Er zijn mij geen andere overheden bekend die vergelijkbare wetgeving hanteren. Ik zie ook geen aanleiding dit nader te monitoren. 6 Is er beleid ontwikkeld om te voorkomen dat de Nederlandse overheid gegevens beheert of gaat/laat beheren op dusdanige wijze dat vreemde mogendheden (op basis van welke vorm van wetgeving dan ook) zonder nadrukkelijke toestemming van de Nederlandse overheid bij deze gegevens kunnen komen? Zo nee, waarom niet en bent u voornemens dat alsnog te ontwikkelen? Gaat de Nederlandse overheid bedrijven of instellingen waarschuwen voor het gebruik van cloud-data vanuit het perspectief van bijvoorbeeld bedrijfsspionage? Zo nee, waarom niet? Antwoord Er is nog geen beleid ontwikkeld dat specifiek gericht is op de mogelijke gevolgen van de toepassing van buitenlandse wetgeving. Wel houdt de Minister van Binnenlandse Zaken en Koninkrijksrelaties in het beleid rekening met de mogelijke consequenties van de toepassing van buitenlandse wetgeving. Aan uw Kamer is toegezegd dat gegevens van de overheid binnen de grenzen van Nederland moeten worden opgeslagen, en dat de Rijksdienst van een gesloten Rijkscloud gebruik zal maken. Om te voorkomen, dat gegevens van de overheid (ook over burgers) in het kader van de Patriot Wet door de Verenigde Staten kunnen worden opgevraagd kan bij uitbesteding van rekencentra in het programma van eisen een eis worden opgenomen, dat het de leverancier nooit is toegestaan gegevens van de overheid (ook over Burgers) in het kader van de Patriot Wet aan de Verenigde Staten te leveren. Dit betekent feitelijk, dat bedrijven uit de Verenigde Staten bij dergelijke aanbestedingen en opdrachten worden uitgesloten. Wat betreft bedrijfsspionage heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties in 2010 brochures uitgebracht om instellingen en bedrijven hiervoor te waarschuwen.

1) ‘Microsoft admits Patriot Act can access EU-based cloud-data’ (http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-canaccess-eu-based-cloud-data/11225) Toelichting: Deze vragen dienen ter aanvulling op eerdere vragen terzake van het lid Schouw (D66), ingezonden 5 juli 2011 (vraagnummer 2011Z15124)

Pagina 8 van 8