Bijlage 1
Verslag van het onderzoek naar gegevensverstrekking door banken aan de Amerikaanse autoriteiten.
Inleiding Het onderstaande onderzoeksverslag geeft een weergave van het onderzoek dat is gedaan naar aanleiding van de toezegging van de minister van Financiën in de Tweede Kamer d.d. 13 maart 2007.
Onderwerp van het onderzoek en opbouw In onze optiek is het wenselijk om in dit onderzoeksverslag ook dieper op de SWIFT materie in te gaan, gezien de verwantschap van de twee onderwerpen.
Voordat hierna de resultaten van het onderzoek worden besproken, is het van belang om het verschil tussen de SWIFT materie en het onderzoek rond de directe gegevensverstrekking aan te geven. Het belangrijkste verschil tussen de gegevensverstrekking door SWIFT aan de Amerikaanse autoriteiten en de directe gegevensverstrekking ligt hierin dat het in geval van SWIFT gaat om gegevens die naar de VS zijn verzonden vanwege de bedrijfsprocessen van SWIFT. Vanwege de aanwezigheid van een datacentrum in de VS, is het voor de Amerikaanse autoriteiten -in dit geval het Amerikaanse Ministerie van Financiën, de US Treasury (hierna: UST)- mogelijk om op basis van Amerikaanse wetgeving gegevens bij SWIFT in de VS op te vragen. In geval van directe gegevensverstrekking, zoals onderzocht, gaat het om gegevens die zich bij Nederlandse banken in Nederland bevinden en die door de Amerikaanse autoriteiten via een vestiging van een Nederlandse bank in de VS wordt opgevraagd. De gegevens bevinden zich dan nog niet in de VS, maar wordt juist van buiten het jurisdictie van de VS door de Amerikaanse autoriteiten opgevraagd, mogelijk op een manier die buiten de bestaande rechtskaders om gaat.
In het verslag wordt dan ook een onderscheid gemaakt tussen: A. De gegevensverstrekking door een vestiging van SWIFT in de VS aan de Amerikaanse autoriteiten in het kader van onderzoek naar terrorismefinanciering waarbij er door privacytoezichthouders een overtreding van de privacyregels is geconstateerd; B. Directe gegevensverstrekking door vestigingen van Nederlandse banken in de VS aan Amerikaanse autoriteiten van gegevens die zich niet in de VS bevinden op een manier die mogelijk niet conform bestaande rechtskaders plaatsvindt.
In het hiernavolgende deel A van dit onderzoeksverslag zal nader in worden gegaan op de feiten inzake SWIFT, het relevante juridische kader en de mogelijke oplossingsrichtingen. In deel B van het onderzoek, dat betrekking heeft op de directe gegevensverstrekking, zal na de inleiding worden ingegaan op het juridische kader en de wegen waarlangs in de praktijk gegevens worden uitgewisseld tussen Nederland en de VS. Dit deel zal worden afgesloten met de opsomming van een aantal maatregelen die worden genomen.
1
A. SWIFT 1. Feiten SWIFT is een in België gevestigde coöperatie die sinds 1977 diensten levert aan momenteel 8000 banken in ruim 200 landen. Hoofdactiviteit van SWIFT is het faciliteren van het internationale betalingsverkeer door middel van het ter beschikking stellen van een netwerk waarover de deelnemende banken betalingsberichten naar elkaar kunnen verzenden. Het berichtenverkeer tussen de banken wordt ondersteund door twee datacentra, waarvan er één in de VS en een ander in de EU is gevestigd. Internationale betalingsopdrachten die via SWIFT verlopen worden op beide locaties opgeslagen (gespiegeld) en voor een periode van ongeveer vier maanden bewaard. Spiegeling van de gegevens in twee datacentra is noodzakelijk om te voorkomen dat de betalingsberichten zoekraken en daardoor niet meer te achterhalen is welke financiële instelling welke betaling heeft gedaan. Ten tijde van het vormgeven van de bedrijfsstructuur in 1977 is de keuze voor twee datacentra op verschillende continenten ook ingegeven door de Koude Oorlog.
Na de aanslagen van 11 september 2001 heeft de Amerikaanse regering en de internationale gemeenschap van de bestrijding van terrorisme(financiering) een prioriteit gemaakt. In dit kader is de Amerikaanse locatie van SWIFT door UST via meerdere administratieve dwangbevelen bevolen om bij deze locatie aanwezige gegevens te verstrekken over het internationale betalingsverkeer. Naar aanleiding van deze dwangbevelen zijn door SWIFT afspraken gemaakt met UST over procedures en waarborgen omtrent de verstrekking van de gegevens door SWIFT aan UST. Deze afspraken zijn neergelegd in een Memorandum of Understanding (MoU).
Ten aanzien van de aard, omvang en inhoud van de verzoeken om gegevens is het een en ander opgenomen in het rapport van de zogenaamde “Werkgroep artikel 29”. Deze Werkgroep adviseert de Europese Commissie over de uitvoering van de EU-Privacyrichtlijn en bestaat uit vertegenwoordigers van de 27 nationale privacytoezichthouders. Voorts zijn een aantal feiten vernomen van SWIFT en UST. -
Vanaf 2001 heeft SWIFT ongeveer zestig maal een administratief dwangbevel ontvangen van UST om gegevens te verstrekken. Voor elk nieuw verzoek om gegevens aan SWIFT door UST in het kader van een onderzoek naar de betrokkenheid van een persoon bij terrorismefinanciering moet een nieuw administratief dwangbevel worden uitgevaardigd.
-
De gegevens in betalingsberichten die via SWIFT gaan zien op: namen van zender en ontvanger, rekeningnummer, bankgegevens, bedrag en een eventuele omschrijving/kenmerk van de betaling;
-
UST
geeft
aan
dat
de
gegevens
enkel
worden
gebruikt
voor
de
bestrijding
van
terrorismefinanciering. Om dit te borgen hebben de partijen in het MoU afspraken gemaakt over de wijze waarop de verzoeken om gegevens moeten plaatsvinden en wat er met de gegevens gebeurt. -
De controle op naleving van de afspraken uit het MoU vindt plaats door een onafhankelijk accountantskantoor.
-
UST heeft ten aanzien van de waarborgen uit het MoU aangegeven dat een speciale hiervoor ingestelde onderzoekscommissie, namelijk de Privacy and Civil Liberties Oversight Board, is ingelicht over het programma en de waarborgen die door SWIFT bedongen zijn. De Oversight
2
Board is belast met de advisering van de Amerikaanse regering op het gebied van privacy in verband met maatregelen die genomen worden in de strijd tegen het terrorisme. 1
Lange tijd is het feit dat SWIFT gegevens afdroeg aan UST op basis van de administratieve dwangbevelen niet bekend gemaakt. De onbekendheid met het programma bij het brede publiek en zodoende ook bij terroristen, betekende dat het als instrument om de financiering van terrorisme te bestrijden bijzonder waardevol was. Op het feit dat de betalingsberichten gespiegeld worden in de VS en deze vertrouwelijke behandeling van het programma, ook door de Nederlandse regering, is kritiek gekomen van uw Kamer en het College bescherming persoonsgegevens (hierna: CBP).
Zoals in de beantwoording van de schriftelijke vragen van de Kamerleden Van Bommel, De Wit en Koenders, d.d. 8 september 2006 2 , aan uw Kamer is gemeld, is door de Nederlandse regering geen mededeling gedaan over gegevensverstrekking van SWIFT aan UST, omdat dit de onderzoeken naar terrorismefinanciering van de Amerikaanse autoriteiten zou kunnen schaden. De Nederlandse regering was wel op de hoogte van de gegevensverstrekking door SWIFT aan UST. De president van De Nederlandsche Bank (DNB), evenals de presidenten van de nationale banken van de andere zogenaamde G10-landen, werd in 2002 door de Federal Reserve Board (Amerikaanse Centrale Bank) op de hoogte gesteld van de gegevensverstrekking aan de UST 3 . Gezien het uitzonderlijke karakter van deze berichtgeving heeft de president van DNB mij (in dit geval de vorige minister van Financiën) op de hoogte gesteld. Door de toenmalige minister van Financiën zijn vervolgens de departementen van
Justitie
en
Binnenlandse
zaken
ingelicht.
.De
informatie
van
SWIFT
omtrent
de
gegevensverstrekking aan UST is vertrouwelijk behandeld aangezien de Nederlandse regering zich bewust was van het belang van onbekendheid van het Amerikaanse programma bij potentiële (financiers van) terroristen.
In een later stadium is nogmaals gekeken naar de privacyaspecten en is er informatie opgevraagd bij SWIFT en de Amerikaanse autoriteiten met betrekking tot de ingebouwde zekerheden en de nadere invulling van de gegevensverstrekking van SWIFT aan UST. De feiten die toentertijd bekend waren, leidden niet tot de conclusie dat er in strijd met Nederlands privacywetgeving werd gehandeld.
Mogelijk ten overvloede merk ik op dat het destijds niet gepast zou zijn geweest wanneer DNB zelfstandig het CBP had ingelicht. DNB heeft, gezien de aard van de informatie die zij kreeg, de Ministerie van Financiën ingelicht.
Na het bekend worden van de gegevensverstrekking van SWIFT aan UST in de zomer van 2006 hebben de Kamerleden Van Bommel, De Wit en Koenders schriftelijke vragen gesteld over “het verstrekken van vertrouwelijke bankgegevens door SWIFT aan de CIA”. Deze vragen zijn, zoals 1
Website van de Privacy and Civil Liberties Oversight Board is www.privacyboard.gov. Een artikel van de New York Times over de inlichting van de Oversight Board is te vinden op http://www.nytimes.com/2006/11/29/washington/29nsa.html?ex=1322456400&en=caef935f25bda1c4&ei=5088&partner=rssnyt &emc=rss 2 Aanhangsel bij Handelingen II 2005-2006, nr. 2105. 3 Dit gebeurde in het zogenaamde G10 Govenorsoverleg. Hierin zitten naast Nederland: België, Canada, Duitsland, Frankrijk, Italië, Japan, het Verenigd Koninkrijk en de Verenigde Staten, Zweden en Zwitserland.
3
gezegd, beantwoord met de brief van 8 september 2006. 4
Naar aanleiding van de berichtgeving in de kranten in de zomer van 2006 is door de Werkgroep artikel 29, een samenwerkingsverband van alle privacytoezichthouders in Europa op basis van Richtlijn 95/46, en door de Belgische privacytoezichthouder een onderzoek gedaan naar SWIFT. Op 27 september 2006 kwam de Belgische privacytoezichthouder, de Commissie voor de bescherming van de persoonlijke levenssfeer, met haar rapport waarin zij een inbreuk op de Belgische privacywetgeving constateerde 5 . Overigens constateerde de Belgische federale onderzoeksrechter later dat er geen grond was om SWIFT te vervolgen voor een schending van de Belgische privacyregelgeving. Op 22 november 2006 kwam de Werkgroep artikel 29 met een rapport 6 waarin zij ook tot de conclusie kwam dat SWIFT en de banken beiden verantwoordelijk zijn voor de gegevensbescherming en dat SWIFT de privacyregels had overtreden door gegevens aan UST te verstrekken en dit niet aan de personen wiens persoongegevens het betrof te (laten) melden. Naar aanleiding van dit oordeel heeft het CBP in Nederland actie ondernomen richting de banken en hebben er gesprekken tussen de minister van Financiën en het CBP over deze materie plaatsgevonden.
Verder is het relevant hier te melden dat door Kamerleden Azough en Vendrik op 12 februari 2007 schriftelijke vragen zijn gesteld aan de ministers van Financiën en van Justitie over het TARGET2betalingssysteem en de relatie met SWIFT. Deze vragen zijn beantwoord met de brief van 6 maart 2007. 7 Deze schriftelijke vragen uitten vooral de zorg dat er met de introductie van het TARGET2 betalingssysteem meer gegevens zouden worden gespiegeld in de VS. In de beantwoording is duidelijk gemaakt dat TARGET2 geen verandering met zich zal brengen voor wat betreft de gegevens die in de VS worden gespiegeld.
2. Juridisch kader In deze paragraaf wordt het juridisch kader dat relevant is voor SWIFT uiteengezet. Bij deze uiteenzetting komen de Wet bescherming persoonsgegevens en de daaraan ten grondslag liggende EU-richtlijn aan bod. Vervolgens wordt ingegaan op de rol van de Europese ‘toezichthouders’ en hun oordeel in deze materie. Ook wordt in gegaan op het zogenaamde Safe Harbor Agreement, dat gesloten is tussen de Europese Commissie (hierna: EC) en de VS.
2.1. Wet bescherming persoonsgegevens De Wet bescherming persoonsgegevens (hierna: Wbp) is de Nederlandse implementatie van Richtlijn 95/46 van het Europees Parlement en de Raad van de Europese Unie van 23 november 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van
4
Zie voetnoot 2 hierboven. Belgische Commissie voor de bescherming van de persoonlijke levenssfeer, advies nr. 37/2006 van 27 september 2006 inzake de doorgifte van persoonsgegevens door CVBA SWIFT ingevolge de dwangbevelen van de UST (OFAC). Dit rapport is te vinden op www.privacycommission.be 6 Article 29 Working Party, Opinion 10/2006 on the processing of personal data by SWIFT, 22 november 2006, te vinden op www.ec.europa.eu/justice_home/fsj/privacy/index_en.htm 7 Aanhangsel bij de Handelingen II 2006-2007, nr. 933. 5
4
persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: Privacyrichtlijn) 8 . De Wbp voorziet in bescherming van burgers bij de verwerking van hun persoonsgegevens door publieke en private instanties die beschikking hebben over persoonsgegevens. De Wbp gaat ervan uit dat indien door een publieke of private instantie voor een bepaald doel persoonsgegevens worden verwerkt en deze instantie daarvoor verantwoordelijk kan worden gehouden, een aantal procedures en voorschriften dienen te worden gevolgd om ervoor te zorgen dat de persoonlijke levenssfeer van burgers (betrokkenen) door de verwerking van de persoonsgegevens zo min mogelijk wordt aangetast.
De Wbp heeft een breed toepassingsbereik dat in principe alle handelingen met betrekking tot persoonsgegevens omvat. Het toepassingsbereik van de Wbp kent ook een aantal beperkingen. De Wbp is onder meer niet van toepassing indien door de officier van justitie of een opsporingsambtenaar op basis van het Wetboek van Strafvordering (artikel 126nc-126ni) gegevens worden gevorderd of indien de inlichtingen- en veiligheidsdiensten op basis van de Wet op de inlichtingen- en veiligheidsdiensten om gegevens verzoekt. In de Wbp worden voorts de volgende onderwerpen geregeld: -
De voorwaarden waaraan bij de verwerking van persoonsgegevens moet worden voldaan. Hierbij is bijvoorbeeld de doelbinding een belangrijk onderdeel.
-
De eis dat verwerking persoonsgegevens vooraf gemeld moet worden bij de functionaris voor de gegevensbescherming of het CBP. Zo is het bijvoorbeeld mogelijk voor ‘sectoren’ om een Gedragscode op te stellen en het CBP te vragen om te verklaren dat de regels uit de Gedragscode een juiste uitwerking zijn van de verplichtingen die uit de Wbp voortvloeien. Voor de financiële sector is de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen opgesteld en door het CBP goedgekeurd. 9
-
Rechten betrokkene Een aantal rechten van de betrokkene kan overigens in bepaalde gevallen door de verantwoordelijke buiten toepassing worden gelaten indien dit bijvoorbeeld noodzakelijk is in het belang van de veiligheid van de staat, voorkoming, opsporing en vervolging van strafbare feiten en gewichtige economische en financiële redenen van de staat en andere openbare lichamen.
-
Rol CBP
-
Gegevensverkeer met landen buiten de EU Dit onderdeel is in het bijzonder relevant bij de SWIFT materie. Persoonsgegevens mogen slechts worden
doorgegeven
aan
een
land
buiten
de
EU
indien
dat
land
een
passend
beschermingsniveau biedt. Doorgifte van persoonsgegevens aan een land dat geen passend beschermingsniveau biedt (bijvoorbeeld de VS), is in een aantal limitatief opgesomde gevallen wel mogelijk, onder meer indien de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke (men denke aan het uitvoeren van een betaalopdracht) of de doorgifte wettelijk verplicht is vanwege een zwaarwegend algemeen beland of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte. Ook kan de minister van Justitie een vergunning geven voor de doorgifte van persoonsgegevens naar een
8 9
Publicatieblad EG 1995, L281, bladzijde 31. Zie Staatscourant 2003 van 4 februari 2003, nr. 23, pagina 16.
5
derde land dat geen passend beschermingsniveau biedt. Over de nadere invulling van deze uitgangspunten is door de minister van Justitie tijdens de Kamerbehandeling van de Wbp in 2000 een brief aan de Kamer gestuurd 10 . Verder is het mogelijk dat de EC op basis van de Privacyrichtlijn afspraken maakt met een derde land met een onvoldoende beschermingsniveau. Dit is bijvoorbeeld gedaan met de VS (zogenaamde Safe Harbor Overeenkomst, zie hieronder paragraaf 2.3.).
2.2. Privacyrichtlijn De Privacyrichtlijn is, zoals gezegd, de Europeesrechtelijke basis van de huidige Wbp. In de Privacyrichtlijn wordt grotendeels hetzelfde geregeld als in de Wbp. Aangezien de inhoud van de Wbp hierboven al aan de orde is gekomen, zullen hieronder alleen de passages uit de Privacyrichtlijn worden besproken die verder nog relevant zijn. Achtereenvolgens komen de Europese ‘toezichthouders’ en de mogelijkheid tot onderhandelingen met derde landen aan bod.
Europese toezichthouders De Privacyrichtlijn creëert twee Europese toezichthouders c.q. adviesorganen op het gebied van privacybescherming, te weten het Comité en de Werkgroep artikel 29. Het Comité bestaat uit vertegenwoordigers van de lidstaten en heeft als taak om de EC bij te staan en te adviseren over te nemen wettelijke maatregelen op het gebied van de privacy. Het Comité stemt met gekwalificeerde meerderheid. Indien de EC maatregelen wil vaststellen die tegen het advies van het Comité ingaan, dan moet dit door de EC aan de Raad ter kennis worden gebracht, waarna de Raad een besluit neemt. Op grond van artikel 29 van de Privacyrichtlijn is de Werkgroep artikel 29 (hierna: Werkgroep) ingesteld. Deze Werkgroep is onafhankelijk van de Europese instituties en voornamelijk van raadgevende aard. Iedere nationale privacytoezichthouder is in de Werkgroep vertegenwoordigd. De Werkgroep heeft tot taak om de toepassing van de Privacyrichtlijn door de Europese lidstaten te bestuderen, de Europese Commissie (hierna: EC) te adviseren over het beschermingsniveau in de EU en in derde landen, de EC te adviseren over voorstellen tot wijziging van de Privacyrichtlijn en advies uit te brengen over communautaire Gedragscodes. De Werkgroep kan uit eigen beweging aanbevelingen doen, maar de EC is niet verplicht om deze over te nemen. Wel moet de EC aangeven welk gevolg zij geeft aan de aanbevelingen.
Onderhandelingen met derde landen Op basis van de Privacyrichtlijn 11 is het mogelijk voor de EC om met een derde land, waarvan door de EC is geconstateerd dat het geen passend beschermingsniveau van de privacy biedt, onderhandelingen te openen. Op basis van de onderhandelingen kan dan met een derde land een internationale overeenkomst worden gesloten waarin waarborgen worden gegeven door het derde land met betrekking tot de behandeling van persoonsgegevens uit de EU. Op basis van een dergelijke internationale overeenkomst kan de EC vervolgens besluiten dat een derde land passende
10 11
Kamerstukken II 1999-2000, 27 043, nr. 1. Artikel 25 lid 5 en 6 van de Privacyrichtlijn.
6
waarborgen biedt inzake de privacybescherming en dit besluit voorleggen aan het Comité. De lidstaten zijn verplicht om zich naar het besluit van de EC te voegen. Deze procedure is door de EC gevolgd bij het overeenkomen van de Safe Harbor beginselen met de VS (zie hieronder paragraaf 2.3.).
2.3. Safe Harbor Het beschermingsniveau van persoonsgegevens in de VS voldoet niet aan de Europese eisen inzake de privacybescherming die voortvloeien uit de Privacyrichtlijn. Het verschil in beschermingsniveau van persoonsgegevens vloeit voort uit een andere benaderingswijze in de VS met betrekking tot de bescherming van de persoonlijke levenssfeer. De Europese en nationale bescherming van persoonsgegevens is gecentraliseerd en geharmoniseerd. In de VS is dit anders geregeld, namelijk per sector, waardoor de zwaarte van de privacybescherming per sector kan verschillen en via zelfregulering kan plaatsvinden.
Om gegevensuitwisseling tussen de EU en de VS mogelijk te maken en Europese persoonsgegevens op een passende wijze te beschermen, heeft de EC samen met de VS afspraken gemaakt over de manier waarop persoonsgegevens kunnen worden doorgegeven van de EU naar de VS. De Werkgroep artikel 29 heeft met betrekking tot de onderhandelingen tussen de EU en de VS meerdere adviezen uitgebracht aan de EC 12 . In haar beschikking van 26 juli 2000 heeft de EC besloten dat persoonsgegevens vanuit de EU mogen worden doorgegeven aan organisaties in de VS die voldoen aan de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer (Safe Harbor Privacy Principles, hierna: Safe Harbor beginselen) 13 . Van organisaties die deze beginselen toepassen wordt verondersteld dat zij een passende bescherming van Europese persoonsgegevens bieden. Op dit moment hebben 1151 in de VS gevestigde bedrijven zich aangesloten bij de Safe Harbor beginselen.
Om toe te treden tot de Safe Harbor beginselen moet een onderneming in de VS voldoen aan, onder meer, de volgende eisen: -
Organisaties moeten wanneer zij toetreden tot de Safe Harbor beginselen, alle beginselen en regels naleven en dit openbaar verklaren. Toezicht op de ondernemingen vindt plaats door het US Department for Trade and Enterprise (het Amerikaanse ministerie van Economische Zaken);
-
Kennisgeving aan particulieren van de doeleinden van de verwerking persoonsgegevens, het dient duidelijk te zijn op welke wijze particulieren vragen kunnen stellen of klachten kunnen indienen, aan welke derden de informatie wordt verstrekt en welke keuzemogelijkheden particulieren hebben om bekendmaking van informatie te beperken;
-
Particulieren moeten de keuze hebben om te bepalen of hun persoonsgegevens aan derden bekend wordt gemaakt en voor welke verdere doeleinden de gegevens gebruikt mogen worden (of zich te verzetten hiertegen);
-
Afdoende beveiliging van persoonsgegevens;
12
Zie Adviezen 2/99, 4/99 7/99 en 4/2000 van de Werkgroep artikel 29 die te raadplegen zijn op http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/1998_en.htm 13 Beschikking van de EC van 26 juli 2000, 2000/520/EG, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het minister van Handel van de VS zijn gepubliceerd (Pb EG 2000, L215, bladzijde 7).
7
-
Mechanismen om naleving van Safe Harbor beginselen te garanderen (o.a. klachtenbehandeling en mogelijkheid tot schadevergoeding).
2.4. Consultatie CBP Tijdens het onderzoek is ook het CBP geconsulteerd met betrekking tot de SWIFT materie en verzocht opmerkingen te maken bij dit onderzoeksverslag. Met nadruk willen wij erop wijzen dat de opmerkingen van het CBP die hieronder zijn opgenomen voorlopig zijn en dat een definitief oordeel van het CBP nog afgewacht zal moeten worden.
Het CBP heeft aangegeven dat zij de Opinie van de Werkgroep artikel 29 ondersteunt en derhalve onder meer de conclusies van de Werkgroep inzake de werking van de Privacyrichtlijn deelt. Met betrekking tot de toetreding van SWIFT tot Safe Harbor is door het CBP o.a. opgemerkt dat zij betwijfelt of, los van de vraag of het Safe Harbor regime wel ziet op een onderneming zoals SWIFT, het Safe Harbor regime wel voldoende op de huidige praktijk van gegevensverstrekking aansluitende garanties en waarborgen geeft. Deze vraag moet volgens het CBP niet alleen voor het onderhavige geval (SWIFT) maar ook voor soortgelijke gevallen onder ogen worden gezien. Dit betekent, volgens het CBP, dat de Safe Harbor in breder verband zou moeten worden herzien. In de huidige, door Nederland voorgestane oplossing van deelname van SWIFT aan Safe Harbor en politiek overleg tussen EU en VS om te komen tot extra waarborgen ziet het CBP alleen een (nood)oplossing voor de korte termijn (zie hiervoor paragraaf 3). Lange termijnoplossingen dienen volgens het CBP aan te sluiten bij de kern van het (politiekbestuurlijke) probleem en te worden gekenschetst ofwel doordat SWIFT zijn infrastructuur aanpast en overgaat tot regionale spiegeling ofwel doordat de VS zich aansluiten bij de officiële voor dat doel in internationale verdragen geboden mogelijkheden en waarborgen voor informatieoverdracht voor justitiële doeleinden.
2.5. Opmerkingen bij rapport Werkgroep artikel 29 Tot op heden is er op regeringsniveau geen juridisch oordeel uitgesproken over de analyse van de SWIFT materie en het rapport van de Werkgroep artikel 29. Gezien de inhoud van dit onderzoeksverslag, maken we nu van de gelegenheid gebruik om een aantal opmerkingen te maken, die nodig zijn om te komen tot een goede onderbouwing van de gekozen oplossingsrichting.
Allereerst merken wij op dat de taak van de (Europese) privacytoezichthouder het toezicht houden op de naleving van de privacyregelgeving is. De overige door de Nederlandse regering binnen de EU naar voren gebrachte belangen (efficiënt en betrouwbaar betalingsverkeer en bestrijding van terrorismefinanciering) komen binnen de optiek van de privacytoezichthouder begrijpelijkerwijs minder aan bod 14 . In de oplossing voor de SWIFT materie zal echter een balans tussen privacybelangen en de andere belangen voorop moeten staan.
Ook past het hier op te merken dat de financiële sector er veel aan heeft gedaan om in overleg met 14
Zie hiervoor meer uitgebreid de bijlage bij de in noot 7 hierboven genoemde Kamervragen.
8
het CBP de privacyregels te implementeren. Gewezen wordt hierbij op de door het CBP goedgekeurde Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. De dialoog tussen de Nederlandse Vereniging voor Banken (NVB) met het CBP is naar aanleiding van de SWIFT materie voortgezet en onlangs zijn het CBP en de NVB overeen gekomen op welke manier invulling wordt gegeven aan de informatieplicht en aanvullende gegevens kunnen worden verstrekt over betalingsopdrachten die door de banken via het SWIFT-netwerk worden verzonden.
Eén facet van het rapport van de Werkgroep artikel 29 dient uitvoeriger te worden behandeld. Het rapport stelt dat de Europese privacyregels onverkort gelden voor SWIFT in de VS, ook ten aanzien van de verstrekking van gegevens aan de Amerikaanse autoriteiten. De Privacyrichtlijn regelt in welke gevallen doorgifte van persoonsgegevens aan een derde land zonder passend beschermingsregime kan plaatsvinden. Doorgifte aan een derde land is op grond van de Privacyrichtlijn alleen toegestaan indien een derde land een passend beschermingsniveau van gegevensbescherming heeft. Wanneer dit niet het geval is, dan bestaan er een aantal manieren waarop de doorgifte van persoonsgegevens naar een derde land legaal kan plaatsvinden. De twee belangrijkste zijn: 1) toepassing van de uitzonderingen binnen de Privacyrichtlijn en 2) het sluiten van overeenkomsten met derde landen zonder passend beschermingsregime. Aangezien de VS geen passend beschermingsniveau kennen en brede gebruikmaking van de uitzonderingen in de Privacyrichtlijn onwenselijk is, is het sluiten van overeenkomsten met de VS op basis van de Privacyrichtlijn noodzakelijk om gegevensuitwisseling met de VS mogelijk te maken. Voorbeelden van dit laatste zijn de verdragen welke zijn gesloten met de VS inzake de doorgifte van persoonsgegevens vanuit de EU naar de VS, zoals Safe Harbor en het Verdrag inzake PNR gegevens (Passenger name records).
15
De voorgaande opmerking met betrekking tot de toepasselijkheid van de Privacyrichtlijn op gegevens wanneer die zich in de VS bevinden staat los van een oordeel over de wenselijkheid van de gegevensverstrekking van SWIFT aan UST. Weliswaar bestaat er bij ons een onverminderd begrip voor de noodzaak om via financiële transacties terrorismefinanciering op te sporen. Dit neemt echter niet weg dat wij het van belang achten dat er door de VS extra waarbogen worden gegeven met betrekking tot de gegevensverstrekking van SWIFT aan UST. Wat dat betreft kunnen wij ons vinden in de in het rapport van de Werkgroep artikel 29 doorklinkende gedachte dat het noodzakelijk is dat de privacy van EU burgers ook buiten de grenzen van de EU beschermd dient te worden.
3. Oplossingsrichtingen en conclusie SWIFT onderhoudt al 30 jaar het internationale betalingsverkeer. Deze infrastructuur is van vitaal belang voor de wereldeconomie. Het is dan ook noodzakelijk dat de banken zo snel mogelijk juridische duidelijkheid krijgen ten aanzien van het gebruik van de diensten van SWIFT voor hun internationale betalingsverkeer. Met betrekking tot een oplossing voor de SWIFT materie heeft de Nederlandse regering dan ook bij herhaling, zowel nationaal als op EU niveau, gewezen op het belang
15
Zie met betrekking tot PNR gegevens de Mededeling van de Europese Commissie van 16 juni 2006 inzake opzegging van de overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten van Amerika inzake de verwerking en overdracht van PNR-gegevens door luchtvaartmaatschappijen aan het Bureau of Customs and Border Protection van het ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika, COM(2006)335 definitief.
9
van het efficiënte en betrouwbare internationaal betalingsverkeer. Dit naast het belang van de bescherming van privacy en bestrijding van terrorismefinanciering. Zoals gezegd onderschrijft Nederland onverminderd het doel van de gegevensverstrekking door SWIFT onderschrijft, namelijk de bestrijding van de financiering van terrorisme. Uitwisseling van financiële gegevens tussen de EU en de VS voor dit doel is dan ook niet per definitie onwenselijk, maar noodzakelijk en gebruikelijk, mits dat gebeurt met voldoende waarborgen. Om de financiering van het terrorisme te kunnen blijven bestrijden met respect voor de bescherming van persoonsgegevens
is
samenwerking
tussen
de
EU
en
de
VS
nodig.
Voorts moet ook worden opgemerkt dat gegevens die UST via de bevragingen bij SWIFT verkrijgt, ook via andere wegen van de EU-lidstaten kan verkrijgen. In alle EU-lidstaten bestaat een uitgebreid raamwerk
van
anti-witwas-, anti-terrorisme(financiering) wetgeving.
Ook
bestaan
er
ruime
mogelijkheden om deze gegevens uit te wisselen tussen de verschillende staten.
Ingezet wordt op een zowel een korte- als lange termijn een oplossing voor de SWIFT materie
I.
De juridische korte termijn oplossing met betrekking tot SWIFT omvat 1) het informeren door de banken van cliënten over de gang van zaken bij internationale betalingen via SWIFT en 2) het op korte termijn toetreden van SWIFT tot de hierboven uiteengezette Safe Harbor beginselen. Op deze manier wordt aan de relevante vereisten uit de Privacyrichtlijn voldaan en is het transport van gegevens door SWIFT naar de VS juridisch gezien afdoende geregeld.
II. Hoewel de korte termijn juridische oplossing het transport van de gegevens door SWIFT naar de VS ons inziens afdoende regelt, wordt er naar gestreefd om extra waarborgen af te spreken. De korte termijn oplossing omvat dan ook overleg tussen de EC met de VS op basis van de Privacyrichtlijn om extra waarborgen af te spreken met betrekking tot gegevensverstrekking van SWIFT aan UST. Deze extra waarborgen gelden dan aanvullend op de Safe Harbor beginselen waar SWIFT toe zal toe treden. Het CBP heeft aangegeven zich te kunnen vinden in bovenstaande korte termijn oplossing, maar tegelijkertijd ook aangegeven van mening te zijn dat het hier om een noodoplossing gaat.
III. Een langere termijn oplossing is de mogelijke aanpassing van de bedrijfsstructuur van SWIFT, waardoor gegevens van EU burgers niet langer gespiegeld worden in de VS. SWIFT heeft aangegeven deze stap te overwegen. Wij ondersteunen dit proces, net zoals het CBP.
Een consequentie van de mogelijke aanpassing van de bedrijfsstructuur van SWIFT op de lange termijn zal overigens kunnen zijn dat de Amerikaanse autoriteiten Europese financiële instellingen die een vestiging op Amerikaans grondgebied hebben veelvuldiger direct om financiële gegevens zullen vragen. Nederland zal erop inzetten dat in zo’n geval zoveel mogelijk gebruik zal worden gemaakt van de formele procedures en dat wordt voorkomen dat Nederlandse/Europese financiële instellingen onnodig rechtstreeks bevraagd worden door Amerikaanse autoriteiten.
De hierboven geschetste korte- en lange termijn oplossingen voor de SWIFT materie vergt, zoals al
10
aangegeven, maatregelen van verschillende partijen. Deze maatregelen worden hieronder wat uitgebreider geschetst.
3.1 Maatregelen te nemen door SWIFT Ten aanzien van de korte termijn juridische oplossing is positief dat SWIFT heeft aangekondigd dat haar vestiging in de VS nog dit jaar verwacht toe te treden tot de hierboven beschreven Safe Harbor beginselen. Bedrijven in de VS die toe treden tot de Safe Harbor beginselen verplichten zich tot het nemen van extra maatregelen om de privacy te beschermen wanneer zij persoonsgegevens vanuit Europa ontvangen. De EC heeft, zoals gezegd, bepaald dat de Safe Harbor beginselen een voldoende waarborg zijn voor de bescherming van de persoonsgegevens.
Met betrekking tot de lange termijn oplossing is de meest vergaande oplossing het aanpassen van het bedrijfsproces door SWIFT. Deze aanpassing zou er in resulteren dat gegevens van internationale betalingen in EU valuta die enkel zien op Europese burgers alleen in Europa worden gespiegeld. Daarmee wordt een groot deel van het probleem geëlimineerd. Deze aanpassing wordt door SWIFT momenteel overwogen. SWIFT heeft namelijk op 29 maart 2007 aangekondigd dat deze optie nadrukkelijk zal worden meegenomen bij het onderzoek naar de herziening van de infrastructuur 16 . In september 2007 zal hierover een beslissing worden genomen. Overigens zal, indien besloten wordt tot een dergelijke herziening van de infrastructuur, het nog minimaal drie jaar duren alvorens de wijziging is doorgevoerd.
3.2 Maatregelen door Nederlandse banken Met betrekking tot de banken in Nederland die gebruik maken van SWIFT voor hun internationale betalingsverkeer, heeft overleg tussen het CBP en de Nederlandse vereniging van banken (NVB) geleid tot een aantal te ondernemen acties. Zo heeft de NVB onlangs advertenties geplaatst in enkele landelijke dagbladen. 17 Daarnaast zullen banken hun klanten op nog te bepalen manier individueel informeren.
3.3 Maatregelen van Nederland op EU-politiek niveau Het is van belang dat, in aanvulling op de toetreding van SWIFT tot de Safe Harbor beginselen, in de nu lopende verkennende gesprekken tussen het Duits voorzitterschap van de EU, de Europese Commissie en de VS extra waarborgen ten aanzien van de privacy worden overeengekomen. Wij steunen dit initiatief.
Overigens dient de discussie die op Europees vlak met betrekking tot SWIFT speelt nadrukkelijk een breder kader te krijgen. Naast SWIFT bestaan diverse andere gevallen die mogelijk in de toekomst zullen gaan spelen. Allen zien op de situatie waar multinationale ondernemingen enerzijds verplicht worden om gegevens aan de VS (al dan niet via formele verzoeken) te verstrekken, terwijl anderzijds onduidelijk voor de ondernemingen is of zij met het verstrekken van gegevens aan de VS ook aan de Europese
16 17
privacyrechtelijke
regels
kunnen
voldoen.
Hierbij
kan
gedacht
worden
aan
Zie persbericht op de website van SWIFT http://www.swift.com/index.cfm?item_id=61490 De advertenties zijn geplaatst in alle grote landelijke dagbladen op 17 april 2007.
11
creditcardbedrijven en interbancaire transacties. Maar ook andere sectoren zullen mogelijk dezelfde problemen tegen komen (pakketdiensten bijv.). Daarom moet niet alleen het oplossen van de situatie ten aanzien van SWIFT op de agenda staan, maar dient de discussie breder te worden gevoerd om toekomstige gevallen te voorkomen. Nederland zal er dan ook binnen de EU op aandringen dat dit onderwerp op de agenda zal worden gezet. Conclusie Voor de korte termijn is het mogelijk dat er juridisch duidelijkheid wordt gecreëerd. In aanvulling op toetreding van SWIFT tot de Safe Harbor beginselen, zullen er met de VS afspraken moeten worden gemaakt omtrent extra waarborgen bij de gegevensverstrekking door SWIFT aan UST. Op de lange termijn is de wijziging van de bedrijfsstructuur van SWIFT voor de specifieke SWIFT materie een goede oplossing. Hier is ook zicht op. Echter, het blijft noodzakelijk om in Europees verband de bredere discussie aan te gaan inzake de compatibiliteit van het internationale (gegevens)verkeer met de privacyregels na te gaan.
12
B. Directe gegevensverstrekking Inleiding Naar aanleiding van het artikel in het NRC Handelsblad van 10 maart 2007 heb ik op 13 maart jl. met uw Kamer kort gesproken over de directe gegevensverstrekking door Nederlandse banken aan de Amerikaanse autoriteiten. Het artikel stelde dat regelgeving van de VS banken voor een moeilijk dilemma zet: voldoen aan VS wetgeving of aan EU wetgeving? Voorts suggereert het artikel dat Amerikaanse autoriteiten bewust formele routes die bestaan om gegevens uit te wisselen negeren, aangezien deze te omslachtig zouden zijn.
Deze praktijken waren mij niet bekend en om deze reden heb ik aan de Tweede Kamer toegezegd deze materie te onderzoeken. Ik heb hierbij tevens aangegeven dat ik mijn collega van Justitie hierbij zou betrekken, voor zover het onderwerpen betreft die tot zijn beleidsverantwoordelijkheid behoren, met name voor wat betreft het verstrekken van gegevens op grond van een rechtshulpverzoek. Ik heb verschillende financiële instellingen en multinationale ondernemingen verzocht mij inlichtingen te verstrekken over deze directe gegevensverstrekking. Tevens is het juridisch kader bekeken dat betrekking heeft op de toepassing van Nederlandse en Amerikaanse wet- en regelgeving op het gebied van gegevensverstrekking. Daarnaast zijn de bestaande mogelijkheden om gegevens uit te wisselen
tussen
Nederlandse
en
Amerikaanse
overheidsorganen
en/of
toezichthouders
geïnventariseerd.
Alvorens dieper op het onderzoek in te gaan is het van belang om duidelijk de grenzen van het onderzoek aan te geven. Kern van het onderzoek betreft de vraag of dat wat er daadwerkelijk gebeurt ook in strijd met (bilaterale) afspraken of regels (Nederlandse dan wel Europese) is. Onderzocht is dan ook of Nederlandse bedrijven in de Verenigde Staten (hierna: VS) op verzoek van de Amerikaanse autoriteiten direct gegevens hebben verstrekt die zich niet in de VS bevonden (hierna: directe gegevensverstrekking). In dit kader is gekeken op welke basis die gegevensverstrekking plaatsvond, of de Amerikaanse autoriteiten daarbij gebruikt hebben gemaakt van de officiële kanalen en of er ook gevallen bekend zijn waarin de Amerikaanse autoriteiten niet via de officiële kanalen aan gegevens uit Nederland zijn gekomen. Hieronder zullen de mogelijkheden voor gegevensuitwisseling in het kader van het financiële toezicht, de voorkoming, opsporing en berechting van strafbare feiten en inlichtingen- en veiligheidsdiensten aan bod komen. De regelgeving rondom het financiële toezicht zien uiteraard voornamelijk op financiële instellingen dan wel andere actoren die actief zijn op de financiële
markten.
De
overige
mogelijkheden
tot
gegevensuitwisseling
zijn
echter
niet
sectorgebonden.
Het onderzoek heeft zich nadrukkelijk niet gericht op directe gegevensverstrekking door vestigingen van Nederlandse ondernemingen in de VS aan Amerikaanse autoriteiten. Deze gegevens bevinden zich al in de VS en vallen zodoende onder de Amerikaanse jurisdictie waardoor de Amerikaanse autoriteiten, met gebruikmaking van hun eigen wettelijke bevoegdheden, deze gegevens kunnen opvragen.
13
4. Juridisch kader In deze paragraaf wordt het juridisch kader geschetst waarbinnen gegevensverstrekking zich afspeelt. Hierin wordt ingegaan op de relevante Nederlandse (en Europese) en Amerikaanse wetgeving en komt de relevante (internationale) anti-witwas en anti-terrorismefinancieringsregelgeving kort aan bod. Aangezien de relevante Europese regelgeving geïmplementeerd is in de Nederlandse regelgeving, zal niet apart worden ingegaan op het Europese kader. Het juridische kader geeft voorts een overzicht van de bevoegdheden die door Nederland en de VS kunnen worden gebruikt om gegevens bij onder andere banken op te vragen. Tevens zal bij de regelgeving die besproken wordt ook kort worden ingegaan op de praktische toepassing ervan.
Binnen de Nederlandse wetgeving bestaan er diverse mogelijkheden om gegevens op te vragen bij, onder andere, banken. Deze gegevens kunnen door diverse instanties, ook ten behoeve van buitenlandse instanties en voor diverse doeleinden worden opgevraagd en gebruikt. Voor zover het gaat om de beschrijving van de praktijk van gegevensuitwisseling tussen Nederland en de VS op basis van internationale afspraken of overeenkomsten (hierna: de formele weg) wordt hieronder een onderscheid gemaakt tussen vijf verschillende soorten gegevensuitwisseling: -
Uitwisseling in het kader van de anti-witwaswetgeving en anti-terrorismefinancieringswetgeving;
-
Gegevensuitwisseling tussen (financiële) toezichthouders;
-
Gegevensuitwisseling tussen inlichtingen- en veiligheidsdiensten;
-
Gegevensuitwisseling in het kader van een strafrechtelijk onderzoek;
Deze vormen komen hieronder aan bod in het juridisch kader. Vervolgens wordt gekeken of deze formele gegevensuitwisselingsmogelijkheden overeenkomen met de manier waarop door de Amerikaanse autoriteiten gegevens worden opgevraagd bij Nederlandse ondernemingen. Voorafgaand zal echter eerst aandacht worden geschonken aan de Wbp.
4.1. Wbp Deze wet kwam hierboven al aan bod bij onderdeel A. Echter ook in dit onderdeel is deze wet de algemene waarborg die er op toe moet zien dat persoonsgegevens niet zo maar worden gedeeld. Directe verstrekking door Nederlandse bedrijven van gegevens die zich in Nederland bevinden aan de Amerikaanse autoriteiten kan namelijk ook persoonsgegevens betreffen. Aandachtspunt hier is dat (persoons)gegevens worden doorgegeven naar een land met onvoldoende waarborgen t.a.v. de privacybescherming. Zoals hierboven aan de orde kwam is door de EC vastgesteld dat de VS een land zijn met een onvoldoende beschermingsniveau. De directe gegevensverstrekking staat dan ook in ieder geval op gespannen voet met de Wbp wanneer er ook een formele weg openstaat voor de Amerikaanse autoriteiten om de gegevens via de Nederlandse autoriteiten op te vragen. Gegevensuitwisseling via de formele weg is immers met meer waarborgen omkleed. Dit hoeft echter niet te betekenen dat de Wbp onder alle omstandigheden wordt geschonden wanneer rechtstreeks gegevens worden verstrekt aan Amerikaanse autoriteiten, waarbij kan worden gedacht aan de in artikel 77, eerste lid onder d, van de Wbp opgenomen uitzondering. Deze bepaling ziet op de doorgifte van gegevens, in uitzonderlijke gevallen, vanwege een zwaarwegend algemeen belang of voor de vaststelling, uitvoering of verdediging in rechte van enig recht. Hierop kan echter
14
nadrukkelijk geen structurele gegevensuitwisseling worden gebaseerd.
4.2. Wet MOT en WID Ter bestrijding van het witwassen van geld en ter voorkoming dat het financiële stelsel voor witwassen wordt
misbruikt,
zijn
financiële
instellingen
sinds
februari
1994
via
de
Wet
Melding
Ongebruikelijke Transacties (hierna: Wet MOT) verplicht ongebruikelijke transacties te melden aan de overheid 18 . Voor de beoordeling of een transactie ongebruikelijk is, is een lijst met objectieve en subjectieve indicatoren opgesteld. Alvorens financiële instellingen een dienst mogen verlenen zijn zij verplicht om de klant te identificeren. Dit is verplicht op basis van de Wet Identificatie bij dienstverlening (WID). Op basis van het Besluit van 11 oktober 2002 inzake het melden van transacties die zouden kunnen duiden op de financiering van terrorisme (Stb. 2002, 553) zijn financiële instellingen reeds enige tijd verplicht om elk verzoek om een financiële dienst van een persoon of entiteit die op een zogenaamde sanctielijst (een lijst van personen die verdacht worden van terrorisme) vermeld staat, te melden aan Financial Intelligence Unit Nederland (hierna: FIU Nederland)
19
. Deze verplichting is per 1 mei 2006
in de Wet MOT opgenomen. In Nederland zijn de financiële instellingen dan ook verplicht om gegevens van rekeninghouders in het kader van de bestrijding van de financiering van terrorisme te verstrekken aan FIU Nederland
De verplichtingen in de Wet MOT en WID zijn gebaseerd op internationale afspraken en Europese richtlijnen. Ook in de andere EU landen en de VS bestaan dezelfde verplichtingen met betrekking tot meldingsplicht van ongebruikelijke transacties. Amerikaanse vestigingen van Nederlandse banken zijn op basis van de Amerikaanse wetgeving, verplicht om ongebruikelijke transacties te melden aan de Amerikaanse autoriteiten. Het is dan ook mogelijk dat in het kader van een internationale betaling een Nederlandse vestiging van een Amerikaanse bank een melding doet van een verdachte transactie via een Amerikaanse rekening naar Europa. Dit is in lijn met de internationaal gemaakte afspraken. In het kader van bovengenoemde wetgeving kunnen ook gegevens worden uitgewisseld met meldpunten van andere landen. 20 . Zo kan dus met de VS gegevens worden uitgewisseld, evenals met andere landen die lid zijn van de FATF of de zogenaamde Egmont-groep. Deze informatieverzoeken vinden plaats via het zogenaamde Egmont Secure Web opgezet door de leden van de Egmont groep. FIU Nederland kan binnen dit kader direct met het Amerikaanse meldpunt gegevens uitwisselen. Dit gebeurt overigens slechts enkele keren per jaar.
4.3. Wet op het financieel toezicht De Wet op het financieel toezicht (hierna: Wft) stelt de kaders waarbinnen financiële instellingen kunnen opereren in Nederland. Zo dienen banken een bankvergunning te hebben en zijn er diverse voorwaarden gesteld waarop DNB en de Autoriteit Financiële Markten (hierna: AFM) toezicht houden. Vanuit hun rol van toezichthouder beschikken DNB en AFM over gegevens die mogelijk relevant zijn voor hun collega toezichthouders in andere landen, waaronder de VS. Het is daarom relevant te 18
Met deze wet is ook de Richtlijn 91/308 tot voorkoming van gebruik van het financiële stelsel voor het witwassen van geld geïmplementeerd. 19 FIU Nederland is de nieuwe naam voor het Meldpunt ongebruikelijke transacties. 20 Artikel 3 onder a, h juncto artikel 18 Wet MOT.
15
schetsen hoe gegevens kunnen worden uitgewisseld via deze toezichthouders en welke waarborgen er zijn om er zorg voor te dragen dat uitgewisselde gegegevens enkel voor het gevraagde doel worden gebruikt. DNB en AFM kunnen gegevens uitwisselen met Amerikaanse toezichthouders 21 . Ook kunnen zij in veel gevallen gegevens opvragen bij banken ten behoeve van hun Amerikaanse collega’s 22 . Alvorens hier op in te gaan zij opgemerkt dat de financiële toezichthouders primair gegevens uitwisselen over ondertoezichtgestelden in het kader van hun toezichtstaak. Dit zijn veelal de vergunninghoudende banken zelf. Wel zijn er situaties denkbaar waarin de Amerikaanse autoriteiten via de financiële toezichthouders gegevens kunnen opvragen die wél natuurlijke personen betreffen. Dit kunnen bestuurders of ander personeel zijn, in het kader van bijvoorbeeld een betrouwbaarheidstoets. Het kan in speciale gevallen echter ook andere natuurlijke personen betreffen, bijvoorbeeld in het kader van een onderzoek naar gebruik van voorwetenschap. Ook in deze gevallen is het gebruikelijk dat de Amerikaanse toezichthouders de Nederlandse financiële toezichthouders benaderen (in geval het een strafrechtelijk onderzoek betreft is rechtshulp de geëigende weg, zie hieronder).
De gegevens die de toezichthouder ontvangt van de ondertoezichtgestelden zijn vaak vertrouwelijk van aard en deze gegevens mag de toezichthouder slechts in bepaalde, in de wet beschreven gevallen delen. Alvorens de toezichthouders tot uitwisseling kunnen overgaan is noodzakelijk dat er een overeenkomst met de buitenlandse toezichthouder wordt gesloten ten aanzien van de uitwisseling van de gegevens. Van dergelijke overeenkomsten dient steeds meteen een afschrift te worden gezonden aan de minister van Financiën. 23 Daarnaast is het van van belang dat bij deze uitwisseling de Amerikaanse toezichthouders vergelijkbare waarborgen ten aanzien van de geheimhouding bieden. 24 Deze overeenkomst moet minimaal borgen dat geen uitwisseling plaatsvindt indien 25 : -
het doel waarvoor de gegevens zullen worden gebruikt onvoldoende bepaald is of dat er onvoldoende waarborgen zijn om dat te voorkomen;
-
het beoogde gebruik niet past in het kader van het toezicht op financiële markten of op personen die op die markten werkzaam zijn;
-
de verstrekking zich niet zou verdragen met de Nederlandse wet of de openbare orde;
-
de geheimhouding niet in voldoende mate is gewaarborgd;
-
de verstrekking in strijd is of zou kunnen komen met de belangen die deze wet beoogt te beschermen; of
-
onvoldoende is gewaarborgd dat de vertrouwelijke gegevens of inlichtingen niet zullen worden gebruikt voor een ander doel dan waarvoor deze worden verstrekt.
21
Bijvoorbeeld met de Centrale bank van de VS (FED) of de U.S. Securities and Exchange Commission (SEC). Artikel 1:68 Wft. 23 Artikel 1:65, tweede lid, Wft. 24 Artikel 1:65 Wft. 25 Artikel 1:90 Wft. 22
16
Zowel AFM als DNB hebben overeenkomsten met hun Amerikaanse counterparts gesloten die het mogelijk maken om gegevens uit te wisselen. Van de AFM is het volgende met betrekking tot de behandeling van informatieverzoeken vernomen. De Amerikaanse autoriteiten waarmee de AFM op grond van het MoU gegevens uitwisselt zijn de SEC en de Commodity Trading Futures Commission (hierna: CFTC, op basis van de eerder genoemde overeenkomsten c.q. verdragen tussen Nederland en de VS). De verzoeken tot gegevensuitwisseling worden te allen tijde schriftelijk aan de AFM gedaan en de AFM reageert hierop ook schriftelijk. Van de SEC zijn in de periode van januari 2005 tot heden 7 informatieverzoeken ontvangen. Van de CFTC is in die periode 1 informatieverzoek ontvangen. Indien de AFM een informatieverzoek ontvangt verifieert zij te allen tijde de grondslag van het informatieverzoek alvorens het informatieverzoek inhoudelijk in behandeling te nemen. Vervolgens wordt getoetst of aan de wettelijke voorwaarden voor gegevensuitwisseling wordt voldaan. Het merendeel van de verzoeken betreft verzoeken naar aanleiding van onderzoeken naar het gebruik van voorwetenschap. De gegevens waarom de SEC dan verzoekt betreffen bijvoorbeeld gegevens omtrent
de
persoon
die
via
een
bepaalde
rekening
heeft
gehandeld,
overzichten
van
effectenrekeningnummers, transcripten telefoongesprekken tussen beleggingsonderneming en bank aangaande de transactie. Ook wordt soms verzocht bepaalde correspondentie van de Amerikaanse toezichthouder door te geleiden aan een partij in Nederland. Hierbij wordt volledigheidshalve nog opgemerkt dat de partijen die gegevens toesturen aan de AFM (naar aanleiding van het verzoek van de andere toezichthouder) de informatie schonen, in die zin dat informatieregels die niet op het informatieverzoek betrekking hebben worden weggelakt.
Van DNB is het volgende vernomen met betrekking tot gegevensuitwisseling met Amerikaanse toezichthouders. DNB wordt in het kader van reguliere samenwerking met betrekking tot het toezicht dat zij uitvoert benaderd door de FED. De gegevens die worden verstrekt binnen dit kader ziet op toezichtsinformatie in brede zin en niet op persoonsgegevens. Brede toezichtsinformatie wordt voornamelijk uitgewisseld in het kader van het gezamenlijk toezicht op Amerikaanse vestigingen van Nederlandse banken. Zeer incidenteel wordt ad hoc op basis van specifieke vragen gegevens uitgewisseld. Persoonsgegevens worden in de regel niet door DNB verstrekt. In geval dit wel gebeurt, gelden waarborgen neergelegd in MoU’s en worden indien noodzakelijk nadere voorwaarden gesteld. Voorwaarden voor de gegevensverstrekking aan Amerikaanse toezichthouders zijn: 1) dat de gegevens alleen bestemd zijn voor bancaire toezichthouders, 2) er geen verstrekking plaatsvindt aan andere Amerikaanse autoriteiten en 3) wanneer er het vermoeden is dat dit toch gaat plaatsvinden, dan alleen geanonimiseerd en met expliciete toestemming van DNB
4.3.1. Gegevensuitwisseling op effectengebied Op basis van wetgeving die aan de Wft vooraf ging is ook een overeenkomst (feitelijk is sprake van een verdrag) tussen Nederland en de VS gesloten inzake de wederzijdse administratieve bijstand bij
17
de
uitwisseling
van
informatie
op
effectengebied. 26
Deze
overeenkomst
ziet
op
de
gegevensuitwisseling tussen de AFM en de US Securities and Exchange Commission (hierna: SEC) binnen het kader van het effectenverkeer. De informatie die op basis van de Overeenkomst kan worden uitgewisseld betreft toezichtsinformatie, die in sommige gevallen ook persoonsgegevens kan bevatten.
Uitgangspunt van de Overeenkomst is dat alle verzoeken om gegevens of bijstand dienen te worden ingediend en uitgevoerd via de toezichthouder van de aangezochte Staat (in Nederland de AFM). Het doel van de gegevensuitwisseling is het faciliteren van de toepassing en de controle op de wetten en voorschriften inzake effecten tussen Nederland en de VS. De Overeenkomst regelt de procedures rond verzoeken om gegevens en bijstand en regelt hoe deze verzoeken dienen te worden uitgevoerd. De uitvoering van verzoeken om gegevens of om bijstand dient in overeenstemming te zijn met de wetten en procedures van de Staat aan wiens toezichthouder (“Bevoegde Autoriteit”, ofwel de AFM) het verzoek is gericht. Dit betekent dat – indien door de Amerikaanse toezichthouder een verzoek wordt gericht aan de AFM – er in principe geen gegevens kunnen worden uitgewisseld wanneer dit in strijd is met de Nederlandse wet. Verder zijn er bepalingen opgenomen over de vertrouwelijke behandeling van de gegevens en het gebruik van de verkregen gegevens door de toezichthouders. Zo is er bijvoorbeeld sprake van doelbinding, met andere woorden: de gegevens mogen niet voor andere doelen gebruikt worden dan waarvoor zij zijn verkregen en de toezichthouders moeten elkaar om toestemming vragen wanneer zij verkregen gegevens willen gebruiken in een strafrechtelijke procedure zullen worden gebruikt. Dit sluit ook aan bij het bepaalde in artikel 1:90 Wft.
Op basis van deze overeenkomst is het de toezichthouder ook toegestaan om vanuit zijn eigen grondgebied contact te zoeken met personen binnen het grondgebied van de andere Overeenkomstsluitende Partij die er vrijwillig mee instemmen de verzochte gegevens te verstrekken. Het is echter gebruikelijk dat, conform de in de Overeenkomst opgenomen hoofdregel, wordt gecommuniceerd met en via de toezichthouder van de aangezochte Staat en niet rechtstreeks met de financiële onderneming.
Een inhoudelijk min of meer identiek verdrag tussen Nederland en de VS betreft de Overeenkomst inzake wederzijdse administratieve bijstand bij de uitwisseling van informatie op het gebied van opties en termijncontracten (financiële instrumenten – niet zijnde effecten – waarop in Amerika toezicht wordt gehouden door een andere toezichthouder dan de SEC, namelijk de US Commodity Futures Trading Commission). 27
4.4. Wet op de inlichtingen- en veiligheidsdiensten 2002 De Wet op de inlichtingen- en veiligheidsdiensten 2002 (hierna: Wiv) regelt de bevoegdheden van de AIVD en MIVD. Op grond van artikel 17 van deze wet is het de inlichtingen- en veiligheidsdiensten 26
Overeenkomst tussen het Koninkrijk der Nederlanden en de Verenigde Staten van Amerika inzake wederzijdse administratieve bijstand bij de uitwisseling van informatie op effectengebied van 11 december 1989, Tractatenblad 1990, nummer 61. 27 Verdrag tussen de Regering van het Koninkrijk der Nederlanden en de Regering van de Verenigde Staten van Amerika inzake wederzijdse administratieve bijstand bij de uitwisseling van informatie op het gebied van opties en termijncontracten van 1 februari 1994, Tractatenblad 1993, 86, 1993, 183 en 1994, 23.
18
toegestaan om zich bij de uitvoering van hun wettelijke taak voor het verzamelen van gegevens te wenden tot een verantwoordelijke voor gegevensverwerking. Gebruikmaking van deze bevoegdheid is alleen mogelijk indien er toestemming voor is gegeven door de Minister van Justitie of van door hem gemandateerde ambtenaren, er geen openbare bronnen zijn waaruit de gegevens kunnen worden opgevraagd en het gebruik van de bevoegdheid meteen wordt gestaakt indien het doel waartoe de bevoegdheid om gegevens te verzamelen is uitgeoefend is bereikt. Gegevensverstrekking aan de inlichtingen- en veiligheidsdiensten door een verantwoordelijke is op grond van de Wiv niet verplicht en uitgezonderd van de Wbp. Gegevens die op basis van de Wiv zijn verkregen kunnen, onder voorwaarden, door de inlichtingen- en veiligheidsdiensten onderling en met buitenlandse inlichtingenen veiligheidsdiensten worden uitgewisseld. Gezien de inhoud van de materie kan er geen uitspraken worden gedaan over de aard en omvang van deze manier van gegevensuitwisseling. Inmiddels is bij uw Kamer een wetsvoorstel tot wijziging van de Wiv ingediend. 28 Via deze wetswijziging wordt het voor de inlichtingen- en veiligheidsdiensten in de toekomst mogelijk om bij instanties die beroepsmatige- of bedrijfsmatige financiële diensten verlenen, gegevens op te vragen. Het wordt deze instanties dan ook verplicht om de gegevens te verstrekken.
4.5. Gegevensverstrekking in het kader van strafrechtelijk onderzoek Op basis van het Nederlandse Wetboek van Strafvordering kan de officier van justitie of een opsporingsambtenaar in het kader van een strafrechtelijk onderzoek gegevens van bedrijven verkrijgen met inachtneming van de artikelen 126nc tot en met 126ni, betreffende bepalingen over het vorderen van gegevens.
Het verdrag van 12 juni 1981 aangaande wederzijdse rechtshulp in strafzaken tussen Nederland en de Verenigde Staten van 12 juni 1981 29 strekt ertoe elkaar ten behoeve van strafrechtelijke onderzoeken in zo ruim mogelijke mate rechtshulp te verlenen. Indien de Verenigde Staten via een rechtshulpverzoek vragen om persoonsgevens kan de officier van justitie op basis van artikel 552oa Wetboek van Strafvordering de bevoegdheden van artikel 126nc126ni toepassen. Een dergelijk verzoek van de Verenigde Staten is gebaseerd op het voornoemd verdrag en biedt dus de mogelijkheid om via een rechtshulpverzoek de buitenlandse autoriteiten te verzoeken opsporingshandelingen te verrichten teneinde gegevens te verkrijgen die zich niet bevinden op het eigen grondgebied van de aangezochte staat.
Een verzoek om rechtshulp tussen Nederland en de Verenigde Staten dient aan in het verdrag omschreven voorwaarden te voldoen. Zo dient onder meer een beschrijving te worden gegeven van het onderwerp en de aard van het strafrechtelijk onderzoek en het doel waarvoor het gevraagde bewijsmateriaal, de gegevens of de handeling wordt verzocht. De officier van justitie die op basis van een rechtshulpverzoek opsporinghandelingen verricht, is daarbij gebonden aan de Nederlandse weten regelgeving. Verzoeken om rechtshulp worden ingediend en uitgevoerd door tussenkomst van de Amerikaanse Attorney General en de Nederlandse Minister van Justitie.
28 29
Kamerstukken 2005-2006, 30553, nr. 2. Tractatenblad 1981, nummer 188.
19
4.6. Het juridisch kader in de VS Hieronder volgt een uiteenzetting van de relevante Amerikaanse regelingen op grond waarvan Amerikaanse opsporingsdiensten en overheidsorganen de bevoegdheid hebben om financiële gegevens bij banken op te vragen die zich buiten de VS bevinden. Complicerende factor in het maken van een volledige analyse van de bevoegdheden van de verschillende Amerikaanse autoriteiten m.b.t. het opvragen van financiële gegevens bij Nederlandse vestigingen in de VS (en mogelijk via die vestigingen in Nederland) is het verschil tussen het Amerikaanse en het Nederlandse rechtssysteem. De verdeling van regelgevende, regulerende en uitvoerende bevoegdheden in de VS levert een beeld van door elkaar heen lopende verplichtingen op die bovendien in een grote verscheidenheid van wetten en regelingen is neergelegd en door verschillende instanties kan worden gehandhaafd.
4.7 Relevante regelgeving VS Een eerste onderzoek naar het Amerikaanse rechtskader levert een reeks aan relevante wetten op. 30 In dit eerste onderzoek is voornamelijk gekeken naar regelingen die het mogelijk maken om financiële gegevens op te vragen. Een aantal van de in deze regelgeving neergelegde bevoegdheden komen toe aan alle overheidsorganen, anderen specifiek aan de UST, Department of Justice of de Federal Bureau of Investigation (FBI). Afhankelijk van de bevoegdheid is er een meerdere of mindere mate van rechtsbescherming voor private partijen om tegen de uitoefening van de bevoegdheden door de Amerikaanse opsporingsdiensten op te komen. Binnen het kader van dit onderzoek is echter in het bijzonder de Amerikaanse wetgeving op basis waarvan informatie van Nederlandse ondernemingen kan worden opgevraagd die extraterritoriale werking heeft relevant. In dit kader kan de USA Patriot Act 2001 worden aangehaald. Na de aanslagen van 11 september 2001 zijn de bevoegdheden van de verschillende Amerikaanse opsporingsdiensten en overheidsorganen die belast zijn met opsporing van terroristische activiteiten door de Amerikaanse wetgever onder de loep genomen. Als gevolg hiervan heeft er een uitbreiding en nadere concretisering van een fors aantal bestaande bevoegdheden plaatsgevonden die vervolgens in een ‘verzamelwet’ zijn neergelegd, namelijk de ‘Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act 2001’, ook wel de USA Patriot Act 2001
31
genoemd. De verschillende artikelen
(sections) in de USA Patriot Act 2001 amenderen een corresponderende section in de US Code. De uitbreiding van de bevoegdheden van de opsporingsdiensten was via de USA Patriot Act 2001 beperkt tot een periode van 4 jaar (zogenaamde Sunset clause). In 2005 was het daarom noodzakelijk om de door de Patriot Act beperkte levensduur van een aantal bevoegdheden te verlengen. Dit is gebeurd middels de Patriot Improvement and Reauthorization Act 2005, waarbij een aantal bevoegdheden uit de Patriot Act nader zijn geclausuleerd en op een aantal gebieden betere rechtsbescherming voor burgers is gecreëerd. In 2006 zijn er nog een (laatste) aantal wijzigingen in de Patriot Act aangebracht. 30
De USA Patriot Act 2001, zoals gewijzigd in 2005 en 2006. Deze voorziet voorts in wijzigingen in de volgende wetten: Foreign Intelligence Surveillance Act (FISA), Right to Financial Privacy Act (RFPA, die echter alleen bescherming biedt aan Amerikaanse ingezetenen), Fair Credit Reporting Act (FCRP), Electronic Communications Privacy Act (ECPA), Bank Secrecy Act (BSA), Forfeiture of funds in US Interbank accounts, Executive Order 13224 (gebaseerd op VN Veiligheidsraad resoluties nrs. 1214, 1267, 1333 en 1363).
31
De tekst van de USA Patriot Act zoals geamendeerd is te vinden op http://www.lifeandliberty.gov/index.html. Relevante Titels en sections van de USA Patriot Act zijn o.a. Titel II section 203, 224 206 en 215, Titel III sections 311, 312, 318, 319, 321, 325, 330, 358, 361 en 377, Titel V section 505.
20
Uit onze analyse is gebleken dat tenminste één specifieke wijziging die de USA Patriot Act 2001 teweeg heeft gebracht in Bank Secrecy Act, een expliciete extraterritoriale werking heeft. Het hoofdstuk in de BSA dat betrekking heeft op financiële bescheiden en verslaglegging van transacties met monetaire instrumenten, regelt ook de toegang van de Amerikaanse ministers van Financiën en Justitie tot financiële gegevens wanneer er onderzoek gedaan wordt naar witwassen. De Amerikaanse ministers van Financiën en Justitie kunnen aan financiële instellingen verplichtingen opleggen die overeenkomen met de verplichtingen die volgen uit de Nederlandse Wet MOT (meldingsverplichting, verslaglegging, informatieverstrekking).
Het is de Amerikaanse ministers van Financiën en Justitie naar Amerikaans recht echter ook toegestaan om een dagvaarding of dwangbevel uit te vaardigen tegen een buitenlandse bank die een bankrekening in de VS aanhoudt om transacties in de VS mee te doen met het oogmerk om financiële gegevens op te vragen die betrekking hebben op de VS bankrekening, ook als die gegevens zich buiten de VS bevinden. 32 De dagvaarding of het dwangbevel kan worden betekend aan een vestiging van de buitenlandse bank in de VS, een vertegenwoordiger ervan in de VS of in een ander land op basis van wederzijdse bijstand- of rechtshulpverdragen. De gegevens die op basis van de BSA beschikbaar komen kunnen worden verspreid aan andere Amerikaanse overheidsorganen (o.a. toezichthouders en opsporingsorganen).
5. Directe gegevensuitwisseling In de hierboven beschreven formele mogelijkheden van gegevensuitwisseling betrof het de uitwisseling tussen overheidsorganisaties van de VS en Nederland. In dit onderdeel komen vier gevallen aan de orde die naar aanleiding van het onderzoek bekend zijn geworden, waarin de Amerikaanse overheid direct de Nederlandse (financiële) ondernemingen heeft benaderd.
Tot op heden zijn vier gevallen bekend waarin door de Amerikaanse overheid vestigingen van Nederlandse bedrijven direct hebben benaderd met verzoeken om informatie. In twee van de vier gevallen is geconstateerd dat gegevens in het kader van het financiële toezicht niet via de Nederlandse toezichthouders zijn opgevraagd. In beide gevallen was echter geen sprake van een overtreding door de Amerikaanse autoriteiten. In één van deze twee gevallen die via de toezichthouder hadden kunnen lopen, bleek dat de Amerikaanse autoriteiten op basis van de Overeenkomst inzake administratieve bijstand bij de uitwisseling van informatie op effectengebied de bevoegdheid hadden om deze gegevens direct bij de Nederlandse onderneming op te vragen. In het tweede geval ging het om een sectorale toezichthouder waarmee de Nederlandse toezichthouders geen MoU hadden op basis waarvan gegevens konden worden uitgewisseld. In dit geval betrof het een min of meer informeel verzoek waaraan werd voldaan en waarbij geen persoonsgegevens zijn verstrekt. Het derde geval betrof gegevensuitwisseling tussen een financiële instelling en een Amerikaanse toezichthouder waarmee door de Nederlandse toezichthouders geen MoU is gesloten die
32
Zie met name titel 31 van de US Code, section 5318, lid k, sub 3 (a).
21
gegevensuitwisseling mogelijk maakt. In het vierde geval is een Nederlands bedrijf door de Amerikaanse overheid benaderd met een verzoek om gegevens te verstrekken die zich in Nederland bevinden. Deze gegevens zijn opgevraagd door vertegenwoordigers van het Department of Justice. De precieze aard van het onderzoek in het kader waarvan dit is gebeurd is nog niet duidelijk. Voor zover deze gegevens in het kader van een strafrechtelijk onderzoek zouden zijn opgevraagd, had het verzoek via het bilaterale verdrag inzake wederzijdse rechtshulp in strafzaken tussen Nederland en de Verenigde Staten (Trb. 1981, 188) moeten worden gedaan.
Naast de gevallen waarin concreet om gegevens werd verzocht is gedurende het onderzoek uit de gesprekken naar voren gekomen dat Nederlandse ondernemingen een constante druk voelen van de Amerikaanse instanties die met toezicht en opsporing zijn belast. Dit uit zich niet alleen in verscherpt toezicht maar bijvoorbeeld ook in de rondgang van de UST bij belangrijke Europese banken om hen te overtuigen vrijwillig de strenge VS sancties ten aanzien van Iran door hun gehele organisatie te implementeren.
6. Beoordeling Vergeleken met de SWIFT materie, zoals behandeld in onderdeel A van dit onderzoek, zijn de feiten bij de directe gegevensuitwisseling niet eenvoudig in zijn geheel te overzien. Bovendien blijkt de juridische context complexer. In deze paragraaf vergelijken we de praktijk zoals hierboven beschreven met de mogelijkheden tot gegevensuitwisseling zoals die in paragraaf 4 aan bod kwamen. Allereerst komt hieronder de directe gegevensverstrekking binnen het financieel toezicht aan bod. Vervolgens behandelen we de directe gegevensverstrekking in het kader van een schikkingstraject. Vervolgens zal worden gekeken of de extraterritoriale werking van het handelen van de VS, zowel wat betreft regelgeving (BSA) als informele beïnvloeding (rondgang VS regering bij EU banken), een onwenselijke situatie oplevert of kan opleveren.
6.1.Directe gegevensverstrekking binnen het financieel toezicht Zoals hierboven aan bod kwam bestaan er diverse mogelijkheden voor Amerikaanse autoriteiten om (via de toezichtkanalen) gegevens op te vragen. In een viertal gevallen is geconstateerd dat een Amerikaanse autoriteit direct bij een Nederlandse onderneming, al dan niet via een VS vestiging van deze onderneming, om gegevens (inclusief persoonsgegevens) heeft verzocht die niet in de VS aanwezig waren. In deze gevallen is, zoals gezegd, in meer of mindere mate (vrijwillig) meegewerkt aan het verzoek door de betreffende onderneming. In bepaalde gevallen bieden bilaterale afspraken tussen Nederland en de VS hier – bij wijze van uitzondering – ook de ruimte voor, bijvoorbeeld het Verdrag inzake wederzijdse bijstand in het effectenverkeer.
Echter, het is wenselijk dat door de Amerikaanse autoriteiten - daar waar mogelijk - via de daartoe openstaande route bij een toezichthouder de gegevens worden opgevraagd. Immers indien via de toezichthouders gegevens worden uitgewisseld, zullen de in de Wft opgenomen waarborgen betreffende de vertrouwelijkheid van de gegevens van toepassing zijn. Bovendien is het wenselijk dat de Nederlandse toezichthouders weet hebben van onderzoeken van haar Amerikaanse collega’s naar Nederlandse ondernemingen in de VS.
22
6.2. Informele druk Uit het onderzoek is, zoals gezegd, niet naar voren gekomen dat er sprake is van systematische directe verstrekking van gegevens door Nederlandse banken en hun vestigingen in de VS aan de Amerikaanse autoriteiten, buiten bestaande formele kaders om. Uit het onderzoek ontstaat het beeld dat de grote belangen van multinationale ondernemingen in de Verenigde Staten, gecombineerd met in sommige gevallen zware sancties, een sfeer creëert waarin ondernemingen geneigd zijn om mee te werken aan informatieverzoeken van Amerikaanse autoriteiten.
Een voorbeeld dat dit sfeerbeeld ondersteunt is de rondgang van UST bij de grote Europese banken om hen te overtuigen vrijwillig de strenge(re) VS sancties ten aanzien van Iran in hun gehele organisatie te implementeren. Een dergelijke oproep vanuit de Amerikaanse overheid om vrijwillig mee te werken aan de (zwaardere) Amerikaanse sancties creëert voor een Europese onderneming met belangen in de VS mogelijke oneigenlijke druk om aan de verzoeken te voldoen.
Een ander voorbeeld betreft de voorfase van het komen tot een (administratiefrechtelijke) schikking met Amerikaanse toezichtsautoriteiten in geval van overtreding van Amerikaanse regelgeving. Amerikaanse toezichtsautoriteiten eisen in een dergelijk traject doorgaans volledige medewerking en toegang tot alle relevante gegevens. Belangrijk om op te merken is dat een onderneming veelal ook volledig mee wenst werken, aangezien een schikking normaliter te verkiezen is boven een officiële aanklacht en een eventuele rechtsgang. Niet in alle gevallen staat er echter een weg open om gegevens via de officiële kanalen, via toezichthouders, te verstrekken. Wanneer in een dergelijk geval aan een Nederlandse onderneming gegevens worden gevraagd die niet in de VS aanwezig zijn, maar in bijvoorbeeld Nederland of een ander land, dan ontstaat een situatie waar de onderneming zelf moet beoordelen of (persoons)gegevens al dan niet naar de VS kunnen worden getransporteerd. Zoals hierboven in §4.1 aan bod kwam worden in de Europese privacyrichtlijn 95/46, en de daarop gebaseerde Wbp, enkele uitzonderlijke omstandigheden geschetst, waaronder gegevens kunnen worden verstrekt aan een derde land, zoals de VS, dat geen waarborgen biedt voor een passend beschermingsniveau. Deze mogelijkheid is echter nadrukkelijk niet bedoeld om structureel toegepast te worden.
6.3. Stappen Naar aanleiding van de bovenstaande conclusies zullen mijn ambtgenoot van Justitie en ik, de volgende stappen ondernemen: I.
Richting Verenigde Staten a. Via de Nederlandse ambassadeur in de VS zullen de VS autoriteiten worden gevraagd daar waar mogelijk in voorkomende gevallen in eerste instantie gebruik te maken van de formele kanalen om gegevens uit te wisselen tussen toezichthouders. Deze gegevens dienen niet rechtstreeks via Nederlandse vestigingen in de VS worden opgevraagd. b. Tijdens het regulier overleg wederzijdse rechtshulp met de Department of Justice (DoJ), dat is voorzien voor september dit jaar, zal door vertegenwoordigers van het ministerie
23
van Justitie het hiervoor onder 5 aangeduide vierde geval waarbij sprake was van een verzoek om gegevens door het DoJ, aan de orde worden gesteld, teneinde de precieze aard van het onderzoek te achterhalen en de zienswijze van de VS vertegenwoordigers op de al dan niet toepasselijkheid van het rechtshulpverdrag. De Tweede Kamer zal op de gebruikelijke wijze over de uitkomsten van dit overleg worden geïnformeerd. c.
Voor die gevallen waar er geen officiële kanalen bestaan zal, in overleg met de betrokken nationale autoriteiten, zoals het CBP, en Amerikaanse autoriteiten, worden bezien hoe in deze gevallen op een verantwoorde wijze, binnen de privacyrechtelijke kaders, een eventuele uitwisseling van gegevens plaats kan vinden.
II. Europees verband Nederland zal met de EC de uitkomsten delen van het onderzoek. Bij de EC zal in het bijzonder gewezen worden op de volgende punten: a. De verhouding tussen de (privacy)regels en (al dan niet verplichte) internationale gegevensuitwisseling zal onder de aandacht worden gebracht. Het is waarschijnlijk dat de SWIFT-materie geenszins op zichzelf staat en dat ook andere sectoren in andere Europese landen hier mee te maken hebben. Immers, ook andere ondernemingen/sectoren zullen evenals SWIFT gegevens naar de VS transporteren als gevolg van de bedrijfstructuur. Daarnaast is het waarschijnlijk dat ook andere Europese ondernemingen/sectoren geconfronteerd zijn/worden met verzoeken om direct informatie te verstrekken. b. Vervolgens verdienen ook de VS bepaling(en) met extraterritoriale werking extra aandacht. Gekeken moet worden of, en zo ja, hoe deze regelgeving wordt toegepast op Europese ondernemingen. Doel dient te zijn dat in al deze gevallen wordt voorkomen dat Europese ondernemingen moeten kiezen in welke jurisdictie zij de regels respecteren. c.
Daarnaast zal Nederland er via de EU Commissie er op aandringen dat de VS het in de toekomst mogelijk maken dat ook financiële instellingen tot Safe Harbor kunnen toetreden.
24