Vragen van het lid Schouw (D66) aan de minister van Veiligheid en Justitie over het voorstel van de Europese Commissie inzake EU PNR (ingezonden 1 augustus 2011).

Antwoord van minister Opstelten (Veiligheid en Justitie) (ontvangen 6 september 2011) Zie ook Aanhangsel Handelingen, vergaderjaar 2010–2011, nr. 3426. 

Vraag 1

Bent u bekend met het voorstel van de Europese Commissie voor een richtlijn over het gebruik van passagiersgegevens voor het voorkomen, opsproren, onderzoeken en vervolgens van terroristische misdrijven en zware criminaliteit (EU PNR)?1

Antwoord 1

Ja.

Vraag 2 en 3

Kunt u de stelling uit de «explanatory memorandum» van het voorstel, dat Nederland wetgeving heeft voor het verzamelen en verwerken van PNR-gegevens en/of het gebruik van PNR-gegevens aan het testen is, verder toelichten?2 Kunt u preciseren hoe PNR-gegevens in Nederland worden verzameld, getest en/of gebruikt?

Op basis van welke rechtsgrondslag worden er in Nederland PNR-gegevens verzamel, getest en of gebruikt?

Antwoord 2 en 3

Ten aanzien van de vragen 2 en 3:

Op dit moment wordt in Nederland (beperkt) gebruik gemaakt van PNR-gegevens door de Koninklijke Marechaussee, de Douane en de AIVD. In dit verband verwijs ik naar het BNC-fiche over deze concept-richtlijn (TK 2010–2011, 22 112, nr. 1149), alsmede naar de brief van de Minister van Justitie d.d. 11 november 2008 (TK 2008–2009, 23 490 en 22 112, nr. 531), waarin is uiteengezet op welke wijze in Nederland gebruik wordt gemaakt van passagiersgegevens door de verschillende organisaties. In aanvulling hierop merk ik het volgende op.

Koninklijke Marechaussee

De Koninklijke Marechaussee maakt bij de uitvoering van de politietaak op de luchthaven Schiphol en bij de uitvoering van de bij of krachtens de Vreemdelingenwet opgedragen taken gebruik van passagiersgegevens.3

De officier van justitie vordert in individuele gevallen, voornamelijk op grond van artikel 126nd Wetboek van Strafvordering, PNR-gegevens bij luchtvaartmaatschappijen. De Koninklijke Marechaussee geeft uitvoering aan een dergelijke vordering door de gegevens op te vragen. Deze PNR-gegevens worden gebruikt in een strafrechtelijk onderzoek. Dit betreft onderzoeken waarbij sprake is van een concrete verdenking van ernstige strafbare feiten.

Verder kan de Koninklijke Marechaussee als toezichthouder in het kader van de Vreemdelingenwet en op basis van de artikelen 5:11, 5:13 en 5:16 van de Algemene wet bestuursrecht PNR-gegevens opvragen bij luchtvaartmaatschappijen. Dit laatste in verband met het leggen van claims bij luchtvaartmaatschappijen voor het vervoer van onjuist gedocumenteerde of ongedocumenteerde vreemdelingen in het kader van de sanctietoepassing. Het opvragen gebeurt ook voor deze doeleinden per individueel geval. De PNR-gegevens worden verwerkt in weigeringen en processen verbaal die worden opgemaakt per individueel geval.

Douane

De Douane maakt voor haar controletaken al enige jaren gebruik van PNR-gegevens. Het opvragen en raadplegen van PNR-gegevens is gegrond op in het Communautair Douanewetboek (Verordening (EEG) nr. 2913/92) en de Algemene douanewet (Stb. 2008, 111) aan de douaneautoriteiten toegekende bevoegdheden. Het Communautair Douanewetboek verplicht de douaneautoriteiten om hun controles te baseren op door middel van geautomatiseerde gegevensverwerkingstechnieken uitgevoerde risicoanalyses.

PNR-gegevens worden gebruikt ten behoeve van de controle op goederen die door reizigers worden vervoerd. Op deze wijze is de Douane in staat om meer gericht te controleren. Analyse en controle zijn gericht op het onderkennen van met name aan het reisgedrag gerelateerde gegevens, die aanleiding kunnen zijn tot een nader onderzoek, gericht op de mogelijke aanwezigheid bij de betrokkenen van aan beperkingen, verboden of heffingen onderworpen goederen.

Ten behoeve van de analyse van vooraf geselecteerde risicovluchten worden in het voor de douane toegankelijke deel van systemen van de luchtvaartmaatschappijen PNR-gegevens door middel van de «pull-methode» geraadpleegd. Er wordt gezocht naar ongebruikelijke (reis)patronen. Pas na een «hit» worden ter identificatie van de betreffende reiziger diens persoonsgegevens gebruikt.

AIVD

De AIVD is op grond van de WIV 2002 bevoegd passagiersgegevens te verwerken met inachtneming van de eisen die daaraan bij of krachtens de WIV 2002 zijn gesteld. Dit betekent dat de verwerking van gegevens slechts plaatsvindt in het kader van de bescherming van de nationale veiligheid en voor zover dat noodzakelijk is voor een goede uitvoering van de wettelijke taken die aan de AIVD zijn toebedeeld. Reisgegevens vormen een essentieel onderdeel van het inzichtelijk maken en het duiden van (inter-) nationale dreiging.

Passagiersgegevens en grenstoezicht

Het aantal reizigers via de lucht neemt als gevolg van de globalisering komende jaren jaarlijks fors toe. Dit kan er zonder maatregelen toe leiden dat de wachtrijen en wachttijden oplopen. Om de doorloopsnelheid van de passagier te bevorderen en tegelijkertijd de veiligheid te verbeteren, wordt gezocht naar een efficiënter en meer risicogericht grenstoezicht. Tijdige passagiersinformatie maakt het mogelijk het overgrote deel van de reizigers, die geen risico vormen vanuit een oogpunt van veiligheid en grenstoezicht, snel de grens te laten passeren. Een kabinetsvisie ten aanzien van het gebruik van passagiersgegevens ten behoeve van het grenstoezicht is in voorbereiding en zal u naar verwachting dit najaar kunnen worden toegezonden.

Vraag 4

Is deze doorgifte van PNR-gegevens getoetst door het College bescherming persoonsgegevens op conformiteit met nationale en Europese wetgeving betreffende bescherming persoonsgegevens?

Antwoord 4

Koninklijke Marechaussee:

Er is feitelijk geen sprake van doorgifte van PNR-gegevens, maar van een vordering op grond van het Wetboek van Strafvordering ten behoeve van het strafrechtelijk onderzoek of de Vreemdelingenwet/Algemene Wet Bestuursrecht in het kader van het vreemdelingentoezicht.

De verwerkingsgrondslag voor PNR-gegevens is te vinden in de Wet Politiegegevens (Wpg). Het College Bescherming Persoonsgegevens houdt toezicht op de naleving van de Wpg door de Koninklijke Marechaussee.

Douane:

Ja, het College bescherming persoonsgegevens heeft kennis genomen van de werkmethode van de Douane en heeft geen aanleiding gevonden om hiertegen bezwaar te maken.

AIVD:

De verwerking van gegevens – zowel persoonsgegevens als andere gegevens – door de inlichtingen- en veiligheidsdiensten, AIVD en MIVD, is uitputtend geregeld in de WIV 2002. De Wet bescherming persoonsgegevens (Wbp) is daarop niet van toepassing; dat is in artikel 2, lid 2, sub a, van de Wbp bepaald. Dat houdt ook in dat het College bescherming persoonsgegevens geen rol heeft als toezichthouder waar het gaat om de verwerking van persoonsgegevens door of ten behoeve van de inlichtingen- en veiligheidsdiensten. Met de inwerkingtreding van de WIV 2002 voorziet de wet echter in een afzonderlijke, onafhankelijke en gespecialiseerde toezichthouder, te weten de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten. Deze commissie ziet mede toe op de rechtmatige verwerking van gegevens door de inlichtingen- en veiligheidsdiensten en brengt van haar toezichtsactiviteiten rapportages uit.

Vraag 5

Waarom loopt u vooruit op de geplande EU-afspraken over het gebruik van PNR-gegevens?

Antwoord 5

Van vooruitlopen is geen sprake. De ontwerp EU PNR-richtlijn beoogt het Europese wettelijke kader te creëren voor het verwerken en opslaan van PNR-gegevens ten behoeve van de bestrijding van terrorisme en zware criminaliteit. Deze EU-richtlijn is nog niet vastgesteld. Op basis van huidige nationale wettelijke bevoegdheden (zie ook het antwoord op vraag 3) bestaat een (beperkte) mogelijkheid voor verschillende overheidsinstanties om van de PNR-gegevens van deze luchtvaartmaatschappijen gebruik te maken.

Vraag 6

Kunt u toelichten of op dit moment luchtvaartmaatschappijen worden verplicht passagiersgegevens over te dragen aan de grensbewakingsautoriteiten? (zie bijgevoegde attachment – NL Carrier Notification Letter). Wat wordt er precies bedoeld met passagiersgegevens? Om welke gegevens en welke velden uit de PNR gaat het? Acht u dit in lijn met richtlijnen van het International Air Transportation Association (IATA)? Acht u dit in lijn met Europese regels inzake gegevensbescherming?

Antwoord 6

Koninklijke marechaussee

U verwijst in uw vraag naar de Nederlandse Carrier Notification Letter d.d.11 juli 2011. In deze brief wordt gesproken over het vorderen van passagiersgegevens. Het gaat hier echter om API-gegevens die worden opgevraagd door de Koninklijke Marechaussee en niet om PNR-gegevens. Zie voor wat betreft het gebruik van PNR-gegevens de antwoorden op de vragen 2 en 3. Ten aanzien van de API-gegevens bericht ik u als volgt.

Op grond van artikel 4, derde lid, van de Vreemdelingenwet 2000 en artikel 2.2a, eerste lid, van het Vreemdelingenbesluit 2000 kunnen luchtvaartmaatschappijen op vordering van de grenstoezichtsautoriteiten worden verplicht om passagiersgegevens te verzamelen en te verstrekken. Deze wettelijke bepaling is een implementatie van Richtlijn 2004/82/EU van 29 april 2004 betreffende de verplichting voor vervoerders om een beperkt aantal passagiersgegevens door te geven (de zogenaamde «API-richtlijn»). Volgens deze richtlijn is het voor een doeltreffende bestrijding van illegale immigratie en betere grenscontroles van essentieel belang dat alle lidstaten een regeling invoeren waarbij de verplichtingen worden vastgesteld die gelden voor luchtvervoerders die passagiers naar het grondgebied van de lidstaten vervoeren.

Sinds de implementatie van de API-richtlijn in de vreemdelingenwetgeving zijn tot op heden in Nederland nog slechts op beperkte schaal API-gegevens verstrekt en verwerkt. In 2009 is een pilot-project van start gegaan, waarbij KLM op grond van artikel 4, derde lid, van de Vreemdelingenwet 2000 en artikel 2.2a, eerste lid, van het Vreemdelingenbesluit 2000, API-gegevens verstrekt aan de Koninklijke Marechaussee met betrekking tot de inkomende vluchten vanaf 12 bestemmingen.

De nu gevraagde API-gegevens zijn de minimale gegevens conform de Richtlijn 2004/82/EG, te weten: nummer en aard van het reisdocument, nationaliteit, volledige naam, geboortedatum, plaats van binnenkomst in de EU en gegevens over vervoermiddel alsmede tijd van vertrek en aankomst en het totaal aantal passagiers en het eerste instappunt. Het betreft een deel van de informatie die terug te vinden is op het machine-leesbare deel van het paspoort van de passagier, aangevuld met informatie over de desbetreffende vlucht.

Op basis van de ervaringen ten aanzien van de pilot met KLM is geconcludeerd dat door het tevoren ontvangen van passagiersgegevens efficiënter kan worden opgetreden door de grensautoriteiten. Daarmee kan doeltreffender worden opgetreden tegen passagiers die gesignaleerd staan of een verhoogd risico kunnen vormen, terwijl meer passagiers sneller en soepeler – zonder wachttijden of ondervragingen – de grens kunnen passeren. Op grond van deze ervaringen is besloten om vanaf 1 januari 2012 aan luchtvaartmaatschappijen die vluchten uitvoeren op 27 specifieke bestemmingen, die uit het oogpunt van illegale immigratie als risicovol worden aangemerkt, de verplichting op te leggen om API-gegevens te verstrekken. Per brief van 11 juli j.l. zijn de luchtvaartmaatschappijen hierover geïnformeerd. Zoals ook al in de brief van 11 juli 2011 is aangegeven, zal voor de wijze waarop de gegevens worden verstrekt worden aangesloten bij de «Guidelines on Advance Passenger Information», die mede zijn opgesteld door IATA.

Het gebruik van API-gegevens is conform de vereisten neergelegd in de API-richtlijn en de Europese regels inzake gegevensbescherming.

Douane:

Het volgende kan worden vermeld ten aanzien van het gebruik van de Douane. In de door de Nederlandse Douane toegepaste methodiek worden de in systemen van de luchtvaartmaatschappijen voorhanden PNR-gegevens geraadpleegd: er is geen sprake van het overdragen van passagiersgegevens. De te raadplegen PNR-gegevens betreffen alleen de door de passagier aan de luchtvaartmaatschappij verstrekte gegevens, zoals die ook zijn opgenomen in de bijlage bij de Guidelines on Passenger Name Record (PNR) van de International Civil Aviation Organization (ICAO), document 9944. IATA onderschrijft deze ICAO Guidelines, evenals de Wereld Douane Organisatie. De Europese regels inzake gegevensbescherming worden door de douane nageleefd als onderdeel van de verplichting tot geheimhouding uit het Communautair douanewetboek, waarbij kan worden verwezen naar specifieke bepalingen inzake gegevensbescherming, met name Richtlijn 95/45/EG en Verordening 45/2001.

Vraag 7

Worden deze gegevens opgeslagen? In welke vorm, voor hoelang en wie toegang heeft tot deze gegevens?

Antwoord 7

Koninklijke Marechaussee

Voor wat betreft de API-gegevens geldt dat deze door de desbetreffende luchtvaartmaatschappij worden verstrekt aan de autoriteit die belast is met het grenstoezicht, te weten de Koninklijke Marechaussee. De Koninklijke Marechaussee verwerkt deze gegevens in het kader van de wettelijke taak ten aanzien van het grenstoezicht en het tegengaan van illegale immigratie, zoals in artikel 4 van de Vreemdelingenwet is bepaald. Deze gegevens worden, in lijn met de eisen gesteld in de API-richtlijn, door de Koninklijke Marechaussee slechts zeer tijdelijk bewaard. Op grond van artikel 2.2b van het Vreemdelingenbesluit 2000 dient de Koninklijke Marechaussee deze gegevens binnen 24 uur te vernietigen. Uitsluitend in die concrete gevallen dat de Koninklijke Marechaussee de gegevens later nog nodig heeft voor de uitoefening van haar taken mogen de gegevens langer worden bewaard.

Indien in concrete gevallen PNR-gegevens worden gevorderd door de officier van justitie dan blijven deze gegevens bewaard zolang het onderzoek duurt en/of nodig is voor de strafrechtelijke vervolging. De PNR-gegevens worden verwerkt in processenverbaal die worden opgemaakt per individueel geval. Bij het verwerken van de gegevens is de Wpg het wettelijk kader.

Douane

De geraadpleegde PNR-gegevens van de geselecteerde vluchten worden door de Douane niet opgeslagen, behoudens in die gevallen waarin een controle is ingesteld en/of wanneer een ingestelde controle tot corrigerende maatregelen heeft geleid. De gegevens worden ten behoeve van de verwerking van de analyse gedurende een korte tijd (maximaal 2 maal 24 uur) na raadpleging vastgehouden en zijn uitsluitend toegankelijk voor die Douane-medewerkers die uit hoofde van hun functie toegang moeten hebben.

AIVD

De AIVD is in het kader van zijn wettelijke taakuitvoering bevoegd (persoons)gegevens (en dus ook passagiersgegevens) te verwerken. Onder verwerken wordt ook het opslaan van gegevens begrepen. Hierbij worden de eisen die bij of krachtens de WIV 2002 zijn gesteld in acht genomen. Toegang tot deze gegevens is beperkt tot medewerkers van de AIVD die uit hoofde van hun functie toegang moeten hebben

Vraag 8

Wat wordt bedoeld met «een vordering»? Hoe vaak is een vordering tot het doorgeven van PNR-gegevens uitgegeven? Hoe breed zijn dergelijke vorderingen geformuleerd? Bent u van mening dat met de genoemde vorderingen in feite een systematische doorgifte van PNR gegevens tot stand is gebracht?

Antwoord 8

In de brief van 11 juli jl. waarnaar u verwijst in vraag 6 en die, zoals eerder aangegeven, betrekking heeft op API-gegevens, wordt gesproken over «een vordering». Het gaat hier om het begrip «vordering», zoals dat is opgenomen in artikel 2.2a, eerste lid, van het Vreemdelingenbesluit 2000 en die een zelfde betekenis heeft als het begrip vordering in de artikelen 5:16 en 5:17 van de Algemene wet bestuursrecht. Hiermee wordt tot uitdrukking gebracht dat het niet een vrijblijvend verzoek betreft, maar een opdracht waaraan gevolg dient te worden gegeven. In artikel 184 Wetboek van Strafrecht is het opzettelijk niet voldoen aan een bevel of een vordering van een toezichthouder of opsporingsambtenaar strafbaar gesteld.

Daarnaast kennen we de «vordering» van het Openbaar Ministerie waarmee, op basis van onder meer artikel 126nd van het Wetboek van Strafvordering, PNR-gegevens worden gevorderd in het kader van een strafrechtelijk onderzoek. De vordering wordt door de officier van justitie gegeven aan (in dit geval) de betrokken luchtvaartmaatschappij. De verkregen gegevens worden ter waarheidsvinding opgevraagd en aan een bepaalde zaak gekoppeld door middel van een proces verbaal.

In 2010 heeft het Openbaar Ministerie ongeveer 9500 keer gegevens gevorderd (in het kader van ca.700–800 strafrechtelijke onderzoeken). Het gaat daarbij – afhankelijk van de zaak – om boekingsgegevens en/of vluchtgegevens en/of bagagegegevens en/of passagiersgegevens. Bij toepassing van artikel 126nd Wetboek van Strafvordering kan niet gesproken worden over «systematische doorgifte van PNR-gegevens» nu het hier telkens om een vraagstelling per afzonderlijke casus is. Dit beeld wordt bevestigd als de genoemde aantallen opvragingen worden geplaatst in het totaal van de passagiers die jaarlijks via de nationale luchthaven reizen.

In het kader van de Vreemdelingenwet/Algemene wet bestuursrecht zijn ongeveer 100 keer PNR-gegevens opgevraagd. De strekking van het opvragen, zoals de Koninklijke Marechaussee dat in een individueel geval doet, is het verkrijgen van de historische gegevens over (bijvoorbeeld) een reisroute die een vliegtuig of passagier heeft gevolgd. Daarbij worden passagierslijsten opgevraagd waarop staat welke passagiers aan boord van de vlucht hebben gezeten, en de bijbehorende boekingsgegevens waarop informatie voorkomt van de personen die op een bepaalde vlucht hebben gezeten. Ook hierbij is geen sprake van systematische doorgifte van PNR-gegevens.

X Noot
1

Proposal for a directive of the European Parliament en de Raad on the use of Passenger Name Record data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime 2011/0023 (COD).

X Noot
2

Pagina 4 in de Proposal for a directive of the European Parliament en de Raad on the use of Passenger Name Record data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime.

X Noot
3

In de praktijk worden verschillende soorten passagiersgegevens gebruikt. Ter verduidelijking een toelichting.

Passenger Name Record = PNR

Onder PNR wordt verstaan een bestand van reisgegevens van een passagier, dat alle informatie bevat die de luchtvaartmaatschappijen nodig hebben om reserveringen te kunnen verwerken en controleren bij elke reis die door of namens een passagier wordt geboekt. Daarbij gaat het om gegevens als naam, medepassagiers, reisroute, reisbureau, betaalwijze, contactgegevens enz. Als meerdere passagiers samen een reis reserveren zijn ook de gegevens van de medereizigers in dezelfde PNR opgenomen. Een dergelijk bestand bevindt zich in reserveringssystemen van de luchtvaartmaatschappijen en/of wereldwijde distributie- of soortgelijke systemen.. De PNR-dataset is opgenomen in de bijlage bij de Guidelines on Passenger Name Record (PNR) van de International Civil Aviation Organization (ICAO), documentnummer 9944. IATA onderschrijft deze ICAO Guidelines, evenals de Wereld Douane Organisatie. Deze lijst komt overeen met de lijst van PNR-gegevens die is opgenomen in het voorstel voor een EU PNR-Richtlijn. Er bestaat geen verplichting voor luchtvaartmaatschappijen om de wel in de lijst opgenomen, maar in de PNR ontbrekende informatie te verzamelen. Bepaalde API-gegevens kunnen deel uitmaken van de PNR-gegevens als deze op basis van een verplichting van overheidswege door de luchtvaartmaatschappij zijn verzameld.

Advance Passenger Information = API

Door de WCO/IATA/ICAO zijn richtlijnen vastgesteld m.b.t. het doorgeven van API-gegevens door de luchtvaartmaatschappijen aan grensbewakingsautoriteiten wereldwijd (Guidelines on Advance Passenger Information (API), laatste update juni 2010). Volgens deze richtsnoeren betreft API een set van maximaal 39 gegevens, die betrekking hebben op de vlucht en de individuele passagier en zijn bagage. De vluchtgegevens zijn beschikbaar in de departure control systemen (DCS) van de luchtvaartmaatschappijen, terwijl de passagiersdata overeenkomen met de gegevens in het machine-leesbare deel van het paspoort, andere officiële reisdocumenten en het reserveringssysteem van de luchtvaartmaatschappij.

Anders dan bij PNR-gegevens die door de luchtvaartmaatschappij worden verzameld ten behoeve van de eigen bedrijfsvoering worden API-gegevens verzameld in verband met een verplichting van overheidswege. Op EU niveau is reeds in 2004 met richtlijn 2004/82/EG bepaald dat de lidstaten, voor grensbewaking en het tegengaan van illegale migratie, een wettelijke verplichting zullen opnemen voor de luchtvaartmaatschappijen om op verzoek van de nationale grensbewakingsautoriteiten API-gegevens aan te leveren. Volgens de richtlijn dient de API gegevens-set tenminste 9 vlucht- en passagiersgegevens te bevatten. Deze (minimale) verplichting is in de Nederlandse vreemdelingenwetgeving geïmplementeerd. Zie tevens het antwoord op vraag 6.

Naar boven