In het Algemeen Overleg op donderdag 8 december jl. heb ik goede nota genomen van de zorgen die u hebt geuit over de bescherming van persoonsgegevens in het kader van de overeenkomst.

Het advies van de EDPS is nadien verschenen. Ik vind dan ook dat dit advies goed bekeken moet worden en verwacht van de Europese Commissie tijdens de komende JBZ-Raad een inhoudelijke reactie. Dit heb ik inmiddels aan de Commissie laten weten.

Daarbij merk ik op dat bij overeenkomsten met derde landen het Europese gegevensbeschermingsrecht niet onverkort maatgevend kan zijn. Er zijn evidente verschillen tussen de onderhandelingspartners van de EU en de EU zelf. Zo zijn er verschillen in de waardering van het veiligheidsbelang en in de systematiek van bescherming van de persoonlijke levenssfeer. Vertaald naar het perspectief van de individuele burger: iemand die reist naar een ander land (buiten de EU) kan niet op dezelfde wijze dezelfde rechten uitoefenen als iemand die binnen de EU reist. Wel zet de EU erop in om een, naar Europese maatstaven, goed niveau van rechten overeen te komen met derde landen.

Staten definiëren hun eigen veiligheidsniveau. Dit recht kan ook aan de VS niet ontzegd worden. Verder merk ik op dat de luchtvaartmaatschappijen belang hebben bij afspraken tussen de VS en de EU. Enerzijds moeten de luchtvaartmaatschappijen voldoen aan de voorwaarden die de VS stellen, anderzijds dienen ze te voldoen aan de voorwaarden van het Europese gegevensbeschermingsrecht. Mede uit dit oogpunt is het van belang dat de overeenkomst wordt afgerond.

De EDPS stelt dat het gebruik van PNR-gegevens voor strafbare feiten die niet vallen onder de definitie van terroristische misdrijven en zware strafbare feiten expliciet moeten worden uitgesloten.

Het kabinet gaat ervan uit – en dat heeft de Europese Commissie bij navraag bevestigd – dat de doelbinding van de overeenkomst is beperkt tot voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware strafbare feiten. Het is uitdrukkelijk niet de bedoeling dat de Verenigde Staten de definities rekkelijkheid hanteert om PNR-gegevens voor bijvoorbeeld voor overtredingen te gebruiken. Er moet de eerste beoordeling van de werking van de overeenkomst expliciet op worden gelet dat PNR-gegevens worden gebruikt voor zware strafbare feiten.

De EDPS stelt dat gebruik in geval van een ernstige dreiging en voor de bescherming van vitale belangen van een individuele persoon alleen betrekking mag hebben op de doelbinding: het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware strafbare feiten.

Het gaat om uitzonderlijke situaties waarbij mensenlevens op het spel kunnen staan. Het concept «ernstige bedreigingen van vitale belangen» is ook opgenomen in de Europese Richtlijn uit 1995 en maakt dus onderdeel uit van het EU-acquis. Als het gebruik van gegevens door de Amerikaanse rechter wordt gelast, dan vindt deze procedure in de VS doorgaans op tegenspraak plaats en is de betrokken persoon derhalve in de gelegenheid om zijn mening te geven.

De EDPS merkt op in de lijst van PNR-rubrieken die de luchtvaartmaatschappijen verstrekken aan Deparment of Homeland Security, een aantal gegevens is opgenomen die niet precies zijn gedefinieerd. Het betreft met name de «open velden», zoals «alle beschikbare contactgegevens» of «alle beschikbare betalingsgegevens» alsook informatie over de reisagent. Deze gegevens zouden volgens EDPS niet moeten worden doorgegeven aan de Verenigde Staten.

De lijst van PNR-rubrieken sluit aan bij de rubrieken die de luchtvaartindustrie gebruikt in de reserveringssystemen. Deze rubrieken zijn internationaal vastgesteld. Betalingsgegevens (het gaat hier om de betaalwijze, niet de volledige creditcardgegevens) en contactgegevens kunnen essentieel zijn voor het voorkomen en opsporen van ernstige strafbare feiten en terrorisme. Daarnaast zijn de contactgegevens van belang om vast te stellen of sprake is van een onderdaan van de Europese Unie. Immers, in de overeenkomst is opgenomen dat de Verenigde Staten de betreffende EU-lidstaat moet informeren indien gegevens van onderdanen van deze EU-lidstaat zijn doorgegeven aan een ander land in het kader van het voorkomen en opsporen van ernstige strafbare feiten en terrorisme.

Bijzondere gegevens zijn gegevens waarvan etniciteit, seksuele voorkeur, e.d. kunnen worden afgeleid. In de conceptovereenkomst van 9 november 2011 is opgenomen dat alle ontvangen bijzondere gegevens worden gefilteerd en gemaskeerd en voor 30 dagen mogen worden bewaard. De gevoelige gegevens kunnen alleen worden gebruikt in zeer uitzonderlijke omstandigheden waarin het leven van een individu in gevaar zou kunnen worden gebracht of ernstig verstoord. Na de termijn van 30 dagen moeten de gegevens worden gewist, tenzij er een wettelijke verplichting bestaat de gegevens langer te bewaren (bijvoorbeeld voor een concreet strafrechtelijk onderzoek, vervolging daarvan).

De EDPS schrijft in zijn advies dat bijzondere gegevens niet gebruikt zouden mogen worden en de luchtvaartmaatschappijen zouden deze gegevens niet moeten sturen naar de Verenigde Staten.

In de JBZ-raad van 2 december 2010 is het onderhandelingsmandaat aangenomen, waarbij is vastgesteld dat bijzondere gegevens onder de eerder genoemde voorwaarden mogen worden gebruikt. Destijds is dus al de keuze gemaakt dat het verstrekken en gebruiken van bijzondere gegevens is toegestaan.

Hierbij wil ik opmerken dat de uitvoering van deze bepaling door de VS is geëvalueerd tijdens de gezamenlijke review van de huidige PNR-overeenkomst in 2010. De Europese Commissie heeft aangegeven dat in deze review in 2010 is aangetoond dat DHS nooit gevoelige gegevens heeft gebruikt terwijl de overeenkomst van 2007 wel de mogelijkheid biedt dit te doen.

De PNR-gegevens worden door de Verenigde Staten 15 jaar bewaard. Deze termijn is weliswaar gelijk aan de huidige overeenkomst, maar er is in de nieuwe overeenkomst een aantal wijzigingen aangebracht over het gebruik gedurende deze termijn. De EDPS oordeelt dat een bewaartermijn 15 jaar disproportioneel is; ongeacht of het gebruik van de gegevens beperkt is.

Het kabinet is daarentegen van mening dat ten aanzien van beperking van het gebruik van de gegevens een aantal belangrijke stappen zijn genomen. De bewaartermijn van de volledige 15 jaar is alleen van toepassing op terroristische misdrijven. Voor de overige misdrijven wordt een termijn van 10 jaar gehanteerd. Ook is de toegang tot de gegevens en het gebruik van de persoonsgegevens aangepast. Zo worden de gegevens waaruit de identiteit van de passagier zou kunnen worden afgeleid na 6 maanden geanonimiseerd en afgeschermd. Alleen een beperkt aantal speciaal gemachtigde ambtenaren heeft toegang tot de gegevens. Hoewel de bewaartermijnen van 15 jaar en 10 jaar lang zijn naar Nederlandse begrippen, waardeert het kabinet het dat de Europese Commissie in deze gecompliceerde onderhandelingen een reductie van de termijn voor alle misdrijven, behalve terroristische misdrijven, heeft bereikt. Naar de mening van de Europese Commissie is er verder ook geen ruimte voor onderhandelingen met de Verenigde Staten op dit punt meer.

EDPS merkt in haar advies op dat PNR-gegevens alleen door middel van de push-methode mogen worden verstrekt. In het voorliggende voorstel staat echter dat DHS gebruik mag maken van de pull-methode in bepaalde omstandigheden. Nederland heeft hierover in Europese gremia eerder opgemerkt dat dit niet in lijn is met het onderhandelingsmandaat van 2 december 2010, waarin de doorgifte van PNR-gegevens uitsluitend via de push-methode zou plaatsvinden. Op dit punt is dan ook een reactie van de Europese Commissie gevraagd. Volgens de Europese Commissie zal DHS de volgende mogelijkheden hebben om de pull-methode te gebruiken, ongeacht of de luchtvaartmaatschappij beschikt over een push-methode:

• – om technische redenen: als de luchtvaartmaatschappij om technische redenen niet in staat is om tijdig op verzoeken te reageren. Dit zou zich kunnen voordoen als de luchtvaartmaatschappij niet beschikt over de technische capaciteit om te reageren op «ad hoc» (niet geplande) verzoeken van DHS of als een storing in het push-systeem is opgetreden.

• – om uitzonderlijke en dringende veiligheidsredenen: bij een specifieke, dringende en ernstige bedreiging. In dergelijke gevallen heeft de luchtvaartmaatschappij de technische software en hardware ter beschikking om de gegevens te duwen (pushen), maar is het onder die omstandigheden niet redelijk om te verwachten dat DHS moet wachten totdat zijn verzoek wordt beantwoord.

De Europese Commissie acht het redelijk en legitiem dat DHS de mogelijkheid heeft om gebruik te maken van de pull-methode in deze twee situaties.

De Europese Commissie voegt toe dat tijdens de evaluatie van de overeenkomst zeer grondig zal worden nagaan hoe DHS deze mogelijkheden tot het «halen»van gegevens gebruikt en zij zal nagaan hoe vaak hiervan gebruik is gemaakt en om welke redenen.

De EDPS verwelkomt artikel 5 ten aanzien van de veiligheid en integriteit van de gegevens, in het bijzonder de verplichting om betrokken individuele personen te informeren over een privacy incident. Een aantal elementen van de melding moet volgens de EDPS worden verhelderd: de te informeren autoriteiten, de definiëring van «significant privacy incident» en de inhoud van de melding aan personen en autoriteiten.

Ik deel de mening van de EDPS dat artikel 5 een goede toevoeging is ten opzichte van de bestaande afspraken. Ook de Europese Richtlijn uit 1995 (inz. de bescherming van personen in verband met de verwerking van persoonsgegevens) kent een dergelijke bepaling niet.

Uit het artikel blijkt onder meer dat het bij incidenten kan gaan om onbevoegde toegang of openbaarmaking. De aanbevelingen van de EDPS voor de preciese uitwerking van het artikel moeten mijns inziens meegenomen worden in de praktische afspraken die ter uitvoering van de overeenkomst zullen worden gemaakt. Ik breng dit ook onder de aandacht van de Commissie.

De EDPS vindt dat de nationale gegevensbeschermingsautoriteiten samen met het Department of Homeland Security moeten werken aan de procedures en modaliteiten ter uitoefening van de rechten van personen.

Ook dit punt zou meegenomen moeten worden in de afspraken die voor de uitvoering van de overeenkomst gemaakt moeten worden.

De EDPS merkt op dat zelfs als een recht op een gerechtelijke toets («judicial review») in de VS wordt toegekend, dit recht niet gelijkwaardig zou kunnen zijn aan een effectieve rechtsgang in de EU.

In een onderhandelingssituatie zoals tussen de EU en de VS is het niet altijd mogelijk om de Europese normen overeen te komen. Dit is eigen aan het te bereiken compromis. Het is niettemin belangrijk om te constateren dat ook op het punt van de rechtsbescherming van passagiers vooruitgang is bereikt ten opzichte van de eerdere afspraken uit 2007.

Ook ten aanzien van de doorgifte van gegevens aan nationale autoriteiten en aan derde landen pleit de EDPS voor verdere uitwerking en verfijning.

De bedoelde doorgifte is met diverse waarborgen omkleed. De ontvanger van de gegevens moet verzekeren dat het gebruik overeenstemt met de voorwaarden van de overeenkomst. Er moet bij doorgifte expliciet worden afgesproken dat de gegevensbescherming vergelijkbaar moet zijn met hetgeen in de overeenkomst is afgesproken. PNR gegevens worden alleen gedeeld ter ondersteuning van zaken die al onderzocht worden.

Ik wijs op de verklaring van de Europese Unie die bij de overeenkomst is gevoegd en ziet op de artikelen 17 en 23.

In de context van de evaluatie («review») verzoekt de Unie informatie van de VS ten aanzien van de uitwisseling van informatie over de doorgitfte van PNR-data van EU-inwoners en EU-burgers aan autoriteiten van derde landen. De Unie zal ook alle informatie vragen aan de VS over de implementatie van de voorwaarden die deze doorgifte betreffen. Bij de evaluatie zal de EU in het bijzonder aandacht geven aan alle waarborgen voor de implementatie van de voorwaarde van art. 17, tweede lid: derde landen die data ontvangen moeten ermee instemmen data beschermingsmaatregelen te treffen die vergelijkbaar zijn met de overeenkomst tussen de EU en de VS.

Ik vind het belangrijk dat in de Unieverklaring is vastgelegd dat de doorgifte van gegevens aan derde landen een bijzonder punt van aandacht is en dat dit ook een belangrijk onderdeel zal vormen van de evaluatie die na een jaar wordt gehouden.

Overigens wijs ik erop dat het gegevensbeschermingsrecht in de VS anders is gestructureerd dan in de EU. Het is niet mogelijk om op Europees verzoek de VS-wetgeving aan te passen. Gegeven deze situatie is de kernvraag of het alternatief, dat de overeenkomst biedt, voldoende is. We kunnen constateren dat de rechtsbescherming nu veel beter geregeld is dan in de overeenkomst uit 2007.

De EDPS vindt dat bij de evaluatie van de overeenkomst rekening gehouden moet worden met nieuwe Europese wetgeving inzake gegevensbescherming. Ook zou verwezen moeten worden naar de nog te sluiten nieuwe kaderovereenkomst voor gegevensbeschering tussen de EU en de VS ten aanzien van gegevens uitwisseling in verband met politie samenwerking en justitiële samenwerking in strafzaken.

Ik ga ervan uit dat de EU, als er op het moment van evaluatie nieuwe Europese normen gelden of een nieuw verdrag met de VS is gesloten, daarmee rekening zal houden. Er zal dan over kunnen worden gesproken met de VS. Uiteraard kan op de gevolgen daarvan niet worden vooruitgelopen. Ik vind het in de eerste plaats van belang dat bij de evaluatie goed in beeld wordt gebracht of de bepalingen van de nu te sluiten overeenkomst zorgvuldig worden nageleefd.

In artikel 23 is vastgelegd dat de partijen gezamenlijk de uitvoering van de overeenkomst zullen evalueren een jaar na in werkingtreding en ook nadien. Het is (art. 23, tweede lid) vastgelegd dat de partijen gezamenlijk vooraf zullen bepalen hoe de evaluatie zal worden uitgevoerd en onder welke voorwaarden. De EU wordt vertegenwoordigd door de Europese Commissie. Hierbij kunnen deskundigen inzake gegevensbescherming en rechtshandhaving worden betrokken. De Commissie zal over de evaluatie rapporteren aan het Europees Parlement en aan de Raad.

Ik vind deze evaluatiebepaling essentieel. Het ligt mijns inziens in de rede dat ook autoriteiten voor gegevensbescherming (nationaal of Europees) hierbij een rol krijgen. Het is van belang dat de Commissie tijdig uitwerkt hoe het evaluatieteam wordt samengesteld en hier de lidstaten bij betrekt.

Concluderend refereer ik aan mijn standpunt dat ik in het vertrouwelijke AO van 8 december naar voren heb gebracht. De ontwerp-overeenkomst brengt een aantal belangrijke verbeteringen met zich ten opzichte van de huidige situatie (de voorlopige toepassing van het akkoord EU-VS uit 2007). Deze verbeteringen zijn mede door de positie die Nederland heeft ingenomen tot stand gekomen. De overeenkomst is naar onze normen zeker niet perfect en is een compromis – bereikt na stevige onderhandelingen over en weer.

Indien de Raad instemt met het onderhandelingsresultaat zal ik er uitdrukkelijk pleiten dat er bij de evaluatie, die binnen een jaar na in werkingtreding wordt gehouden, zorgvuldig gekeken wordt naar de naleving in de praktijk van de waarborgen die in de overeenkomst zijn opgenomen. Ik zal u verslag doen van de JBZ-Raad en u informeren over de reactie van de Commissie.