Nieuwe Swift-overeenkomst in strijd met privacywetgeving
Persbericht, 28 juni 2010
De Europese privacytoezichthouders hebben de leden van het Europees Parlement laten weten dat de nieuwe versie van de Swift-overeenkomst voor het uitwisselen van bankgegevens tussen de Europese Unie en de Verenigde Staten (Swift II) in strijd is met EU-regelgeving. Enkele bepalingen van het ontwerp brengen ernstige risico’s mee voor de bescherming van persoonsgegevens en ondermijnen de huidige EU-standaard voor databescherming. De toezichthouders roepen de leden van het Europees Parlement op dit te betrekken in hun bespreking over Swift II tijdens hun plenaire vergadering van 5 tot 8 juli a.s..
De ‘Terrorist Finance and Tracking Program II Agreement’, beter bekend als de Swift II-overeenkomst, is begin juni 2010 opgesteld door de Europese Commissie en de US Treasury Department (UST). De overeenkomst ziet op de overdracht van gegevens over financiële transacties van de EU aan de VS. De gegevens mogen door de Amerikaanse autoriteiten worden gebruikt om terroristische activiteiten te voorkomen en te bestrijden. Een eerdere overeenkomst voor het uitwisselen van bankgegevens in het kader van de terrorismebestrijding is in februari van dit jaar door het Europees Parlement verworpen. De Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep (WP29) en in de Working Party on Police and Justice (WPPJ), constateren dat de nieuwe overeenkomst in vergelijking met het vorige ontwerp op een aantal punten is verbeterd, maar blijven stellen dat de overeenkomst in strijd is met EU-wetgeving. Enkele bepalingen van de overeenkomst brengen ernstige risico’s mee voor de bescherming van persoonsgegevens en ondermijnen de huidige EU-standaard voor gegevensbescherming.
Het belangrijkste punt van kritiek betreft het ontbreken van voldoende rechtsbescherming. De bepalingen van de ontwerpovereenkomst garanderen personen van wie de gegevens in de VS worden verwerkt geen toegang tot de rechter. De overeenkomst bepaalt wel dat dit recht zal worden gerespecteerd, maar stelt tegelijkertijd geen nieuwe rechten in het leven te roepen of toe te kennen aan welke persoon dan ook. Omdat het geldend recht van de VS niet voorziet in rechtstoegang voor niet-onderdanen van de VS, betwijfelen de Europese privacytoezichthouders ten zeerste of voor hen wel een mogelijkheid voor toegang tot de rechter beschikbaar zal zijn.
Daarnaast constateren de privacytoezichthouders dat de overeenkomst de bevoegdheden die zij krachtens EU-recht hebben, inperkt. De overeenkomst reduceert de toezichthouders tot brievenbus voor rapportages die door medewerkers van de UST worden gemaakt. Op basis van de overeenkomst kunnen de toezichthouders de relevante informatie niet zelf vergaren, noch beoordelen en nagaan of is voldaan aan de vereisten van gegevensbescherming. Dit betekent dat de Europese toezichthouders dan ook niet in staat worden gesteld om vast te stellen of de rechten van individuele betrokkenen in acht zijn genomen.
Tevens hebben de Europese toezichthouders ernstige bedenkingen bij overdracht van grote hoeveelheden financiële gegevens aan de VS, die vervolgens verstrekt kunnen worden aan opsporingsinstanties zowel in de VS als in de EU-landen. De voorwaarden voor doorgifte van de gegevens voldoen niet aan de daarvoor geldende eisen van Europese wetgeving, zoals een maximale bewaartermijn van vijf jaar en het principe van doelbinding.
Indien de overeenkomst in werking treedt, zullen de Europese privacytoezichthouders er in ieder geval naar streven dat de grootschalige overdracht en de doorgifte van financiële gegevens deel uitmaken van de eerste gezamenlijke inspectie. Zij willen ook zeker stellen dat gegevens over strikt intra-Europese financiële transacties, de zogeheten SEPA-gegevens (Single European Payment Area) niet aan de VS worden doorgegeven. De overeenkomst biedt hierover onvoldoende zekerheid.