De overname van het Nederlandse fintechbedrijf CCV door het Amerikaanse concern Fiserv heeft geleid tot zorgen in de Tweede Kamer over de veiligheid van Nederlandse betaalgegevens. Minister van Financiën Eelco Heinen erkent dat er een mogelijkheid bestaat dat deze data onder bepaalde omstandigheden bij de Amerikaanse overheid terechtkomen, al acht hij die kans klein.
Betaaldata
In maart werd CCV, een van de grootste aanbieders van betaalautomaten in Nederland, overgenomen door Fiserv. Deze overname leidde tot schriftelijke vragen van CDA-Kamerlid Inge van Dijk. Zij wilde onder meer weten of CCV behoort tot de ‘kritieke betalingsinfrastructuur’ van Nederland en of de Amerikaanse overheid toegang zou kunnen krijgen tot gegevens van Nederlandse consumenten en bedrijven.
Vertrouwelijke informatie
Heinen geeft geen uitsluitsel over de status van CCV binnen de kritieke infrastructuur, omdat dat volgens hem vertrouwelijke informatie betreft. Wel gaat hij in op het risico dat Amerikaanse inlichtingendiensten of justitie toegang kunnen krijgen tot de betaalgegevens. Dat risico bestaat volgens Heinen onder de zogeheten CLOUD Act, een Amerikaanse wet die bedrijven verplicht in sommige gevallen gegevens over te dragen aan de Amerikaanse autoriteiten – ook als die bedrijven buiten de VS gevestigd zijn.
“Of een buitenlands bedrijf onder de werking van deze wet valt, hangt af van het soort bevel en de feitelijke omstandigheden”, aldus Heinen. Een bevel is alleen geldig als het bedrijf voldoende binding met de VS heeft, bijvoorbeeld via een moedermaatschappij, en als de Amerikaanse rechter jurisdictie kan aannemen. Bovendien moet de informatie worden opgevraagd in het kader van een gerechtvaardigde verdenking van een strafbaar feit.
Nationale digitale veiligheid
Het Nationaal Cyber Security Centrum (NCSC) heeft eerder, in een juridische analyse uit 2022, geconcludeerd dat de kans dat de Amerikaanse overheid in de praktijk toegang krijgt tot deze gegevens, ‘klein’ is. Toch erkent Heinen dat de technologische en juridische situatie sinds die tijd flink is veranderd, wat het noodzakelijk maakt om alert te blijven op dit soort overnames en hun implicaties voor de nationale digitale veiligheid. Van Dijk heeft inmiddels aangegeven aanvullende vragen te overwegen.