In deze brief informeer ik u over het Verdrag tussen de Verenigde Staten van Amerika en de Europese Unie inzake de bescherming van persoonsgegevens met betrekking tot het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten. (Dit is het zogenoemde Parapluverdrag of Umbrella Agreement)...

...Tot voor kort werd agendering op Raadsniveau voorzien voor een JBZ-Raad aan het einde van deze maand. Zeer recent is gebleken dat het onderwerp - eerder dan verwacht – als hamerstuk op de JBZ-Raad van vandaag 20 mei 2016 kon worden geagendeerd vanwege de opheffing van enige voorbehouden. De besluitvormingsprocedure licht ik in deze brief verder toe.

Het doel van het Parapluverdrag is om een hoog niveau van bescherming van persoonsgegevens te verzekeren en de samenwerking tussen de VS en de EU en haar lidstaten te bevorderen, met betrekking tot de preventie, het onderzoek, opsporing of vervolging van strafbare feiten, waaronder terrorisme. Het betreft alle persoonsgegevens van betrokkenen uit de Europese Unie die voor strafrechtelijke doeleinden worden uitgewisseld met de Verenigde Staten. De overeenkomst vormt zelf geen juridische basis voor informatie-overdracht, maar biedt een “paraplu” voor bestaande en toekomstige verdragen met de VS die strekken tot overdracht van persoonsgegevens ten behoeve van strafrechtelijke rechtshandhaving...

...Op EU-niveau vormt het Parapluverdrag een raamwerk voor de bestaande overeenkomsten inzake Passenger Name Records en inzake bankgegevens.

Na de inwerkingtreding van het Parapluverdrag moeten alle persoonsgegevens die worden doorgegeven voor het doel van strafrechtelijke rechtshandhaving door de EU of door autoriteiten van lidstaten (of private partijen als dit is toegestaan op grond van een overeenkomst) aan de VS, overgedragen worden aan en verwerkt worden door VS-rechtshandhavingsautoriteiten in overeenstemming met alle regels voor gegevensbescherming die zijn opgenomen in het verdrag. Deze regels betreffen: verwerkingsnormen (bijv. kwaliteit en integriteit van data, veiligheid van gegevens, geautomatiseerde besluitvorming, bijzondere persoonsgegevens), belangrijke waarborgen en beperkingen (doelbinding, gebruiksbeperking, verdere doorgifte, bewaartermijnen, non-discriminatie) en individuele rechten (toegang, correctie, administratieve en gerechtelijke klachtprocedures). Op deze wijze zal het Parapluverdrag leemten in bestaande overeenkomsten van lidstaten met de VS invullen en tevens voor toekomstige verdragen een veiligheidsnet bieden zodat bij voorbaat vaststaat dat het niveau van gegevensbescherming in zulke verdragen aan de normen van het Parapluverdrag zal voldoen...

...De Europese Toezichthouder Gegevensbescherming (EDPS) heeft gesuggereerd dat de Commissie verder zou moeten onderhandelen over een addendum bij het verdrag, waarin onder meer zou moeten worden vastgelegd dat niet alleen ingezetenen van de EU recht krijgen op judicial redress, maar dat alle personen die beschermd worden door het EU Handvest voor de Grondrechten dit recht zouden moeten hebben. Dit betekent dat ieder die aanwezig is op Europees grondgebied toegang zou moeten hebben tot een judicial redressprocedure. Verder zou verzekerd moeten worden dat de bepalingen inzake judicial redress effectief zijn, zoals bedoeld in het Handvest. Ook vindt de EDPS dat de preventie van bulk-overdracht van bijzondere persoonsgegevens beter moet worden vastgelegd.

De Europese Commissie heeft op de opinie van de EDPS gereageerd en meent dat het feit dat niet elk individu in de EU toegang heeft tot het nieuwe recht op judicial redress (zoals vastgelegd in de Privacy Act) verenigbaar is met de normen van het Europese recht, inclusief het Handvest voor de Grondrechten....

...Er zijn mogelijkheden, ook voor niet-EU burgers, om een rechtsgang overeenkomstig het recht van de VS te benutten op grond van andere VS-wetgeving, bijvoorbeeld de Administrative Procedure ACT, de Freedom of Information Act of de Electronic Communications Privacy Act. Het geheel van deze elementen rechtvaardigt volgens de Commissie de conclusie dat het totale raamwerk verenigbaar is met de normen van het primaire EU-recht.

...De EDPS meent dat bulkoverdracht van bijzondere persoonsgegevens nooit mag plaatshebben en beveelt daarom aan dat deze moet worden uitgesloten van de reikwijdte van het Parapluverdrag. 

De Commissie stelt dat de EDPS op dit punt miskent dat het Parapluverdrag geen juridische basis biedt voor gegevensoverdracht. De functie van dit verdrag is het voorzien in een basisniveau voor bescherming voor alle soorten overdrachten op grond van overeenkomsten die dat toestaan...

...Op grond van de inhoud van het Parapluverdrag is beoordeeld of de Unie exclusief bevoegd is om het verdrag te sluiten of dat de lidstaten mede-bevoegd zijn het verdrag te sluiten...  Dit betekent dat de ratificatie van het verdrag alleen op Europees niveau dient te geschieden en dat er geen goedkeuring benodigd is van de nationale parlementen. Het verdrag betreft alleen gegevensbescherming en geeft geen grondslag voor overdracht van persoonsgegevens in het kader van politie- en justitiesamenwerking. Bevoegdheden van lidstaten op deze terreinen van samenwerking zijn dan ook niet in het geding.

Alles bij de bron; RijksOverheid