Verstrekking van gegevens aan autoriteiten VS
Samenvatting van het onderzoek naar gegevensverstrekking aan de autoriteiten van de VS dat naar de Tweede Kamer is gestuurd.
Vorig jaar werd publiek bekend dat de VS gegevens opeist van een vestiging van SWIFT (Society for Worldwide Interbank Financial Telecommunication). Over deze verstrekking stelde de Tweede Kamer reeds twee maal vragen. Vervolgens berichtte de media afgelopen maart over de vermeende directe verstrekking (zonder tussenkomst van de autoriteiten) van financiële gegevens aan de autoriteiten in de VS. Deze berichtgeving heeft tot vragen geleid tijdens het vragenuurtje en tot Kamervragen. De minister van Financiën heeft toentertijd toegezegd deze berichtgeving nader te onderzoeken, samen met zijn collega van Justitie. Dit onderzoek is vandaag naar de Kamer gestuurd, de Kamervragen worden gelijktijdig hierin beantwoord.
In het verslag van het onderzoek wordt allereerst ingegaan op de verstrekking door SWIFT en vervolgens op de ‘directe gegevensverstrekking’ door Nederlandse ondernemingen aan de VS van gegevens die zich niet in de VS bevinden.
Gegevensverstrekking door SWIFT
SWIFT heeft een vestiging in de EU en een vestiging in de VS. Gegevens van internationale betalingen worden bij beide vestigingen opgeslagen (gespiegeld) en voor een periode van vier maanden bewaard. Dit spiegelen gebeurt om betrouwbaarheidsredenen.
Sinds 2001 heeft SWIFT administratieve dwangbevelen ontvangen van het Amerikaanse Ministerie van Financiën (UST) in het kader van onderzoek naar terrorismefinanciering.
De Europese privacytoezichthouders oordeelden eind vorig jaar echter dat de verstrekking van de gegevens strijd oplevert met EU-richtlijnen. Bovendien hadden de financiële instellingen die gebruik maken van SWIFT, hun klanten moeten inlichten over het transport van de gegevens naar de VS.
Om deze reden is op nationaal en EU-niveau actie ondernomen om samen met de VS en SWIFT de huidige praktijk van het internationale betalingsverkeer weer op één lijn te brengen met de eisen van de Europese Privacyrichtlijn, waaraan de Nederlandse Wet bescherming Persoonsgegevens grotendeels is ontleend.
Deze acties hebben ertoe geleid dat de Nederlandse banken hun klanten inmiddels hebben geïnformeerd over de gegevensverstrekking door SWIFT. Daarnaast zal SWIFT waarschijnlijk op korte termijn toetreden tot de zogenaamde “Safe Harbor”-afspraken. Deze afspraken zijn door de Europese Commissie gemaakt met de Amerikaanse overheid om transport naar de VS van Europese gegevens mogelijk te maken. Deze afspraken leiden ertoe dat extra waarborgen worden ingebouwd bij het transport van de persoonsgegevens naar de VS.
Daarnaast onderhandelt de Europese Commissie met de VS om extra waarborgen af te spreken bij de verstrekking ten behoeve van de bestrijding van de financiering van terrorisme.
Een mogelijke oplossing voor de langere termijn is aanpassing van de bedrijfsstructuur van SWIFT, waarbij gegevens van Europese burgers niet langer gespiegeld worden in de VS. SWIFT heeft aangegeven deze stap te overwegen.
Verder blijkt uit het verslag dat het noodzakelijk is om in Europees verband de bredere discussie aan te gaan inzake de compatibiliteit van het internationale (gegevens)verkeer met de privacyregels.
Directe gegevensverstrekking
Er is onderzoek verricht naar de verstrekking van gegevens over financiële transacties aan autoriteiten in de VS. Uit dit onderzoek is niet naar voren gekomen dat er sprake is van systematische directe verstrekking van gegevens door Nederlandse banken aan de Amerikaanse autoriteiten, buiten bestaande formele kaders om.
Kern van het onderzoek op dit terrein was de vraag of datgene wat er daadwerkelijk gebeurt, in strijd is met bilaterale afspraken of (inter)nationale regels. Daarbij gaat het om het verstrekken, door vestigingen van Nederlandse bedrijven in de VS, aan autoriteiten in de VS van gegevens die zich niet in de VS bevinden.
Uit het onderzoek kwam een viertal gevallen naar voren waarin de Amerikaanse overheid direct Nederlandse (financiële) instellingen heeft benaderd. In twee van de vier gevallen is geconstateerd dat gegevens in het kader van het financi ële toezicht niet via de Nederlandse toezichthouders zijn opgevraagd. In beide gevallen was echter geen sprake van een overtreding door de Amerikaanse autoriteiten. Het derde geval betrof gegevensuitwisseling tussen een financiële instelling en een Amerikaanse toezichthouder waarmee de Nederlandse toezichthouders geen afspraken hebben gesloten die gegevensuitwisseling mogelijk maakt. In het vierde geval is een Nederlands bedrijf door de Amerikaanse overheid benaderd met een verzoek om gegevens te verstrekken die zich in Nederland bevinden. Deze gegevens zijn opgevraagd door vertegenwoordigers van het Department of Justice. De precieze aard van het onderzoek in het kader waarvan dit is gebeurd, is nog niet duidelijk. Voorzover deze gegevens in het kader van een strafrechtelijk onderzoek zouden zijn opgevraagd, had het verzoek via het bilaterale verdrag inzake wederzijdse rechtshulp in strafzaken tussen Nederland en de Verenigde Staten (Trb. 1981, 188) moeten worden gedaan.
Naast de gevallen waarin concreet om gegevens werd verzocht is gedurende het onderzoek uit de gesprekken naar voren gekomen dat Nederlandse ondernemingen een constante druk voelen van de Amerikaanse instanties die met toezicht en opsporing zijn belast. Dit uit zich niet alleen in verscherpt toezicht maar bijvoorbeeld ook in de rondgang van de UST bij belangrijke Europese banken om hen te overtuigen vrijwillig de strenge VS-sancties ten aanzien van Iran door hun gehele organisatie te implementeren.
Maatregelen
Bij de VS zal Nederland erop aandringen dat gebruik wordt gemaakt van de beschikbare formele kanalen om gegevens op te vragen. Het hiervoor beschreven vierde geval van directe gegevensverstrekking zal in het reguliere overleg tussen het Nederlandse en Amerikaanse ministerie van Justitie aan de orde worden gesteld. Voor de gevallen waarvoor geen officiële kanalen bestaan, zal in overleg met de betrokken nationale autoriteiten, zoals het College Bescherming Persoonsgegevens, en Amerikaanse autoriteiten overlegd worden hoe op een verantwoorde wijze eventuele uitwisseling van gegevens kan plaatsvinden.
Verder zal Nederland de Europese Commissie op de hoogte stellen van de uitkomsten van het onderzoek en met name aandacht vragen voor algemene verhouding tussen privacyregels en de internationale gegevensuitwisseling. De onderwerpen die in het onderzoek zijn behandeld staan geenszins op zichzelf. Ook zal Nederland voorstellen om de gevolgen van extraterritoriaal werkende bepalingen van Amerikaanse wetgeving nader te onderzoeken in EU verband.