| Ingediend | 26 maart 2025 |
|---|---|
| Beantwoord | 14 april 2025 (na 19 dagen) |
| Indiener | Inge van Dijk (CDA) |
| Beantwoord door | Eelco Heinen (VVD) |
| Onderwerpen | bestuur economie markttoezicht parlement |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2025Z05640.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20242025-1947.html |
Ja.
Nee, dat klopt niet. CCV is samen met vele andere partijen actief op de markt voor retailbetalingen. CCV is één van de grotere aanbieders van betaalautomaten aan de kassa en bijbehorende (betaal)diensten aan winkeliers en horecaondernemers in Nederland, maar retailbetalingen lopen ook via andere partijen. CCV heeft een vergunning bij De Nederlandsche Bank als afwikkelonderneming en als betaaldienstverleners.
Welke instellingen wel en niet tot de kritieke (betalings)infrastructuur behoren heb ik samen met de Minister van Justitie en veiligheid en in samenspraak met de toezichthouders bepaald. Ik kan geen openbare uitspraken doen over welke instellingen onder de kritieke, dan wel vitale, infrastructuur van Nederland behoren aangezien dit vertrouwelijke informatie betreft.
Wel is het zo dat investeringen in vitale aanbieders die binnen de reikwijdte van de Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo) vallen, moeten worden gemeld en worden beoordeeld op risico’s voor de nationale veiligheid. Omdat dit ook vertrouwelijke informatie betreft kan ik niet ingaan op berichten in de media of iets wel of niet is gemeld, en kan ik geen informatie delen over de uitkomsten van een eventueel onderzoek.
De Clarifying Lawful Use of Overseas Data Act (CLOUD Act) is per maart 2018 van toepassing in de Verenigde Staten. Aanbieders van elektronische communicatiediensten (ECD’s) of remote computing services(RCS) worden, indien aan de wettelijke voorwaarden hiervoor wordt voldaan, verplicht om gegevens die middels hun diensten worden verstuurd te bewaren en te verstrekken op verzoek van de Amerikaanse overheid.
Of een bedrijf dat buiten de VS is gevestigd is onder de werking van de CLOUD Act valt, is afhankelijk van het soort bevel dat op grond van die wet wordt uitgevaardigd en van de concrete feiten en omstandigheden van de casus.
CCV, dat zelf niet in de VS is gevestigd, zou onder de werking van de Amerikaanse CLOUD Act kunnen vallen na de overname. Hiervoor gelden echter verschillende voorwaarden. Zo moet deze entiteit zodanige banden met de Verenigde Staten hebben dat een Amerikaanse rechter (persoonlijke) jurisdictie over haar heeft. Daarnaast is een bevel nodig van de Amerikaanse overheid dat aannemelijk maakt dat er een gegronde verdenking bestaat dat de gezochte communicatie daadwerkelijk bewijs zal opleveren van een strafbaar feit. Daarnaast moet de EU-entiteit het gevraagde gegevensmateriaal in bezit, bewaring of onder controle hebben om onder het bevel te vallen.2 Mocht deze casus onder de CLOUD Act vallen, dan dient opgemerkt te worden dat het risico dat de Amerikaanse overheid toegang krijgt tot de gegevens in de praktijk klein is. Het Nationaal Cyber Security Centrum (NCSC) heeft in 2022 een algemene juridische analyse laten uitvoeren naar de mogelijke impact van de CLOUD act op diverse cloud providers. Hieruit blijkt dat de risico’s beperkt lijken te zijn.3
In algemene zin kan toegang tot Europese betaalgegevens door een buitenlandse overheid leiden tot risico’s op het gebied van privacy, gegevensbescherming en het vertrouwen van klanten in financiële instellingen. Hoewel de kans dat dergelijke toegang zich in de praktijk voordoet als relatief laag wordt ingeschat, gezien de voorwaarden die geschetst worden in het antwoord op vraag 5, kan dit risico niet volledig worden uitgesloten. Wel kent de Europese Unie regelgeving die deze risico’s beperkt, zie antwoord op vraag 7.
Ja, de Europese Algemene verordening gegevensbescherming (AVG) is sinds 25 mei 2018 van toepassing in de gehele Europese Unie. De AVG is het normenkader voor de bescherming van persoonsgegevens, inclusief de doorgifte van gegevens naar landen buiten de Europese Economische Ruimte, zogenaamde «derde landen». Betaaldata vallen hier ook onder. Europese bedrijven kunnen geraakt worden door de extraterritoriale werking van buitenlandse wetgeving zoals de CLOUD Act waarbij ze moeten voldoen aan zowel Amerikaanse als Europese regelgeving. Hoewel de AVG dus een sterke bescherming biedt, is het belangrijk voor Europese bedrijven om zich bewust te zijn van de mogelijke impact van de CLOUD Act en passende maatregelen te nemen om de hoge normen uit de AVG te waarborgen.
De meeste Amerikaanse aanbieders van ECD’s hebben zelf ook passende maatregelen genomen om persoonsgegevens te beschermen om te kunnen voldoen aan de AVG en specifiek de Europese normen omtrent doorgifte van persoonsgegevens naar derde landen. Met standaard contractbepalingen van de Europese Commissie kunnen hierover afspraken worden gemaakt. Daarnaast bestaat er tussen de EU en de Verenigde Staten het EU-US Data Privacy Framework waarin de Europese Commissie en de Amerikaanse regering onder meer afspraken hebben gemaakt over de rechtsbescherming van EU-burgers wanneer gegevens worden doorgegeven aan de VS. Tot slot passen Amerikaanse ECD’s technische maatregelen, zoals encryptie, toe om gegevens af te schermen.