Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 10 februari 2023

Overeenkomstig de bestaande afspraken ontvangt u hierbij 5 fiches die werden opgesteld door de werkgroep Beoordeling Nieuwe Commissie voorstellen (BNC).

De Minister van Buitenlandse Zaken, W.B. Hoekstra

Fiche: API verordening rechtshandhaving

1. Algemene gegevens

• a) Titel voorstel

  Proposal for a Regulation of the European Parliament and of the Council on the collection and transfer of advance passenger information for the prevention, detection, investigation and prosecution of terrorist offences and serious crime, and amending Regulation (EU) 2019/818

• b) Datum ontvangst Commissiedocument

  13 december 2022

• c) Nr. Commissiedocument

  COM(2022) 731

• d) EUR-Lex

  EUR-Lex – 52022PC0731 – NL – EUR-Lex (europa.eu)

• e) Nr. impact assessment Commissie en Opinie Raad voor Regelgevingstoetsing

  SWD(2022) 424

  SEC(2022) 444

• f) Behandelingstraject Raad

  Raad Justitie en Binnenlandse Zaken

• g) Eerstverantwoordelijk ministerie

  Ministerie van Justitie en Veiligheid

• h) Rechtsbasis

  Artikel 82(1)(d) en Artikel 87(2)(a) van het Verdrag betreffende de werking van de Europese Unie (VWEU)

• i) Besluitvormingsprocedure Raad

  Gekwalificeerde meerderheid

• j) Rol Europees Parlement

  Medebeslissing

2. Essentie voorstel

a) Inhoud voorstel

Op 13 december 2022 publiceerde de Europese Commissie (hierna: de Commissie) een voorstel voor de verzameling en doorgifte van Advance Passenger Information (API-gegevens) met als doel terroristische misdrijven en zware criminaliteit in de EU te voorkomen, op te sporen, te onderzoeken en te vervolgen. Dit voorstel is gepresenteerd naast een voorstel inzake de verzameling en doorgifte van API-gegevens voor grensbewakingsdoeleinden waarvoor een separaat BNC-fiche wordt opgesteld. De twee voorstellen vervangen samen de huidige API-Richtlijn.1

API-gegevens zijn paspoort- en vluchtgegevens van reizigers die aan boord van een vliegtuig zitten om naar een bestemming in het Schengengebied te vliegen.2 De huidige API-Richtlijn is primair gericht op het gebruik van API-gegevens voor grenscontroles. De huidige Richtlijn laat wel het gebruik van API-gegevens toe voor rechtshandhavingsdoeleinden in overeenstemming met nationaal recht, maar dit is (net als voor grensbewakingsdoeleinden) niet verplicht en alleen van toepassing op vluchten afkomstig uit derde landen naar de EU. Door Nederland wordt hier reeds gebruik van gemaakt. Met deze verordening wordt het gebruik voor rechtshandhavingsdoeleinden consistent geregeld voor alle lidstaten, waarmee wordt tegemoet gekomen aan een van de uitdagingen zoals naar voren gekomen in de evaluatie van de API-Richtlijn in 2020. Separaat zijn in de Richtlijn Passenger Name Records (PNR)3 regels vastgelegd voor het gebruik van PNR-gegevens voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, waarbij lidstaten ook de mogelijkheid hebben de verplichting op het aanleveren van deze gegevens uit te breiden naar vluchten die luchtvaartmaatschappijen binnen de EU en Schengen uitvoeren.

API-gegevens worden beschouwd als «geverifieerde» informatie omdat deze zien op de daadwerkelijke paspoortinformatie van de reiziger die uiteindelijk aan boord van het vliegtuig is gegaan, en die ook door rechtshandhavingsinstanties kan worden gebruikt om verdachten en gezochte personen te identificeren. PNR-gegevens zijn «niet-geverifieerde» informatie die door passagiers worden verstrekt op het moment van boeken. Volgens de Commissie vergroot het gecombineerde gebruik van API-gegevens met PNR-gegevens de betrouwbaarheid van PNR-gegevens, en stelt het bevoegde nationale autoriteiten beter in staat de identiteit van passagiers te bevestigen. Zodoende kunnen rechtshandhavingsautoriteiten voorafgaand aan de vluchtaankomst een beoordeling en screening doen van individuen die, op basis van bepaalde objectieve criteria en conform de toepasselijke wetgeving, het hoogst waarschijnlijk worden geacht een dreiging voor de veiligheid te vormen. Doordat API-gegevens momenteel niet op alle vluchten worden verzameld waar PNR-gegevens worden verzameld, is volgens de Commissie een veiligheidslacune ontstaan.

Het voorstel verplicht daarom luchtvaarmaatschappijen API-gegevens bij vluchten vanuit of naar derde landen en bij vluchten binnen de EU en Schengen te verzamelen. De reikwijdte van de API-verordening rechtshandhaving is daarmee gelijk aan die van de PNR-Richtlijn voor zover lidstaten gebruik maken van bovengenoemde mogelijkheid om deze intra-EU toe te passen. Ingevolge het recente arrest van het Hof van Justitie van de Europese Unie (HvJEU) over de PNR-Richtlijn4 kan er alleen sprake zijn van het gebruik van gegevens van álle vluchten binnen de EU indien de betrokken lidstaat met een werkelijke en actuele of voorzienbare terroristische dreiging wordt geconfronteerd. Het voorliggende voorstel houdt met dit arrest rekening door doorgifte van API-gegevens aan de passagiersinformatie-eenheden (PIU’s) van de lidstaten alleen mogelijk te maken door een in te stellen router, voor een door elke lidstaat opgestelde lijst met geselecteerde vluchten binnen de EU.

Het voorstel behelst tevens regels over de doorgifte van de API-gegevens door luchtvaartmaatschappijen naar een nog in te stellen router en de daaropvolgende doorgifte van deze gegevens naar de nationale PIU’s. Zo moeten luchtvaartmaatschappijen de API-gegevens verzamelen op een zodanige wijze dat de gegevens die zij overdragen aan de router accuraat, compleet en up-to-date zijn. Luchtvaartmaatschappijen worden geacht machinaal leesbare gegevens van de reisdocumenten automatisch te verzamelen. Alleen wanneer een reisdocument niet voor een machine leesbaar is, kunnen de gegevens handmatig worden verzameld. De gegevens moeten naar de router worden doorgegeven op het moment van de check-in, alsook direct nadat de deuren van het vliegtuig zijn gesloten en passagiers het vliegtuig niet meer kunnen betreden of verlaten.

De router zal worden beheerd door het EU-agentschap voor grootschalige IT-systemen (eu-LISA) en zal de van luchtvaartmaatschappijen ontvangen API-gegevens onmiddellijk en automatisch delen met de PIU’s van de lidstaten op wiens grondgebied de vlucht zal landen of vertrekken. Bij geselecteerde EU-interne vluchten ontvangen zowel de PIU van de lidstaat waaruit de vlucht vertrekt, als van de lidstaat waar deze aankomt, de API-gegevens. Als een vlucht tussenstops heeft in één of meer lidstaten, dan ontvangen de PIU’s van alle betrokken lidstaten de gegevens.

Op de verwerking van API-gegevens door luchtvaartmaatschappijen is de Algemene Verordening Gegevensbescherming5 van toepassing. De daaropvolgende verwerking van API-gegevens door de PIU’s vindt plaats onder de vereisten en waarborgen die zijn opgenomen in de PNR-Richtlijn6 en uitgelegd door het HvJEU. Eventuele verdere verwerking van de gegevens door nationale rechtshandhavingsautoriteiten moet voldoen aan de voorwaarden van de PNR-Richtlijn en de Richtlijn politie- en justitiegegevens.7 Daarnaast verplicht het voorstel luchtvaartmaatschappijen logs bij te houden van de datum, het tijdstip en de plaats van de overdracht van de API-gegevens. De logs moeten tot één jaar na creatie bewaard worden, na afloop van deze termijn moeten de logs verwijderd worden tenzij zij nodig zijn voor procedures voor het bewaken of waarborgen van de veiligheid en integriteit van de API-gegevens of de rechtmatigheid van de verwerkingen. In dat geval moeten de logs onmiddellijk en permanent verwijderd worden als zij niet meer nodig zijn voor die doelen.

b) Impact assessment Commissie

Het impact assessment van de Commissie onderbouwt met meerdere argumenten de noodzaak om het bestaande API-kader te herzien en daarbij twee voorstellen te presenteren, namelijk API-grensbewaking en API-rechtshandhaving. De Commissie wil meer duidelijkheid bieden aan o.a. nationale autoriteiten en luchtvaartmaatschappijen inzake de verplichting API-gegevens te verzamelen en te verstrekken aan de grensautoriteiten van een lidstaat. Uit zowel de evaluatie uit 20208 als het impact assessment blijkt dat er sprake is van een ongelijke implementatie van de API-richtlijn door lidstaten, bijvoorbeeld ten aanzien van de reikwijdte en gegevensbeschermingsvereisten en de doelbinding: de huidige richtlijn is gericht op migratiedoeleinden en verbetering van de grenscontroles. Het wordt lidstaten weliswaar toegestaan om nationaal te voorzien in gebruik voor rechtshandhavings- en opsporingsdoeleinden en nationale veiligheid, maar de toepassing daarvan is ongelijk in de uitvoeringspraktijk. De richtlijn laat namelijk aan de lidstaten over om een verplichting op te leggen om API-gegevens aan te leveren en de wijze waarop. Als gevolg hiervan wordt niet elke luchtvaartpassagier die de buitengrenzen van het Schengen overgaat gecontroleerd met API-gegevens. Dit heeft niet alleen nadelige gevolgen voor het EU-grensbeheer, maar ondermijnt ook het gebruik van API-gegevens voor het tegengaan van illegale migratie en rechtshandhavingsdoeleinden.

De Commissie beschrijft in het impact assessment ook enkele andere opties dan de bovengenoemde voorstellen die zij heeft overwogen, maar uiteindelijk niet heeft opgenomen in het voorstel. Ten aanzien van rechtshandhavingsdoeleinden werd de mogelijkheid alleen API-gegevens van vluchten naar of vanuit derde landen te verzamelen van de hand gewezen, omdat hiermee nog steeds een gat zou blijven bestaan in de verzameling van API- en PNR-gegevens waar het gaat om vluchten binnen de EU. Een andere optie was om luchtvaartmaatschappijen de keuze te geven om API-gegevens handmatig in plaats van geautomatiseerd te verzamelen. Deze mogelijkheid is afgewezen omdat daarmee de kans op fouten in de gegevens groter is, terwijl voor de verwerking voor rechtshandhavingsdoeleinden een zo hoog mogelijke datakwaliteit nodig is. De passagiersinformatie-eenheden hebben in hun onderzoek naar ernstige misdaden en terrorisme en bij het identificeren van de daders, namelijk baat bij de hogere kwaliteit en de geverifieerde aard van de API-gegevens ten opzichte van PNR-gegevens. De Commissie ziet dit voorstel als een kostenefficiënte oplossing voor luchtvaartmaatschappijen, die tegelijkertijd de mogelijkheid voor fouten en misbruik verkleint.

3. Nederlandse positie ten aanzien van het voorstel

a) Essentie Nederlands beleid op dit terrein

Het kabinet hecht groot belang aan de uitwisseling van informatie in Europees verband ter bestrijding van terrorisme en grensoverschrijdende criminaliteit. Het kabinet is in dat kader voorstander van het gebruik van passagiersgegevens op het terrein van grenstoezicht, terrorismebestrijding en rechtshandhaving zoals reeds gebeurt op basis van de API-Richtlijn en PNR-Richtlijn. Het kabinet vindt het tevens belangrijk dat de EU informatie-uitwisselingprocessen effectief en efficiënt zijn waardoor eindgebruikers, zoals rechtshandhavingsautoriteiten, sneller en vollediger informatie beschikbaar hebben om hun taken te kunnen uitoefenen. Het kabinetsbeleid is erop gericht om enerzijds de veiligheid te waarborgen en anderzijds de grondrechten van het individu te beschermen.9 Een goede kwaliteit van informatie is voor het kabinet een essentiële voorwaarde voor het gebruik van systemen en het uitwisselen van informatie, passend bij de mogelijkheden van de betreffende informatiebron en bijbehorende juridische kaders.

b) Beoordeling + inzet ten aanzien van dit voorstel

Het kabinet verwelkomt het voorstel van de Commissie voor herziening van de API-Richtlijn en onderschrijft in grote lijnen de tekortkomingen in het bestaande API-kader die de Commissie heeft geïdentificeerd waar het voorstel voor deze verordening een oplossing voor moet bieden.

Het kabinet is voorstander van de verduidelijking die dit voorstel voor een verordening brengt ten aanzien van de verzameling en doorgifte van API-gegevens in het kader van rechtshandhaving. Door Nederland wordt reeds gebruik gemaakt van de mogelijkheid die de huidige API-Richtlijn biedt voor het gebruik van de gegevens voor rechtshandhavingsdoeleinden. Met deze verordening wordt dit consistent geregeld voor alle lidstaten, waarmee wordt tegemoetgekomen aan een van de uitdagingen zoals naar voren gekomen in de evaluatie van de API-Richtlijn in 2020.10 Het kabinet verwelkomt daarbij ook de brede toepassing van dit voorstel op vluchten vanuit of naar derde landen en op vluchten binnen de EU. Zoals de Commissie aangeeft, kunnen de PIU’s hiermee beschikken over gecombineerde API- en PNR-gegevens, waarmee de gegevens optimaal gebruikt kunnen worden in de strijd tegen ernstige criminaliteit en terrorisme.

Het kabinet verwelkomt daarbij dat de Commissie in het voorstel reeds rekening heeft gehouden met het eerdergenoemde arrest van het HvJEU inzake de PNR-Richtlijn. Naar aanleiding van het verzoek van de Eerste Kamer hiertoe11 zal het kabinet in dit fiche tevens reflecteren op dit arrest. Het Hof legt hierin verschillende bepalingen van de PNR-Richtlijn uit in het licht van de grondrechten die zijn neergelegd in het Handvest, in het bijzonder het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens. Daarbij is volgens het Hof niet gebleken van feiten of omstandigheden die de geldigheid van de PNR-Richtlijn kunnen aantasten. Volgens het Hof vereisen de grondrechten dat de bevoegdheden waarin de PNR-Richtlijn voorziet, slechts worden uitgeoefend voor zover dat strikt noodzakelijk is. Zoals hiervoor opgemerkt heeft het Hof zich daarbij ook uitgesproken over de toepassing van de PNR-Richtlijn op vluchten binnen de EU. Dit arrest wordt momenteel door lidstaten bestudeerd op de consequenties voor de operatie van de verschillende (nationale) passagiersinformatie-eenheden en de onderliggende nationale wetgeving. Het kabinet acht het van cruciaal belang de gevolgen van het arrest van het HvJEU gezamenlijk vanuit Europees perspectief te adresseren zodat een sterke informatiepositie van de verschillende lidstaten in de strijd tegen terrorisme en ernstige criminaliteit kan worden gehandhaafd en het zorgvuldig samengestelde systeem van privacy waarborgen dat de PNR-richtlijn omvat, blijvend kan worden gegarandeerd. Per brief van 30 juni jl. heeft de Minister van Justitie en Veiligheid toegezegd zich daar de komende periode in Europa actief voor in te zetten.12 Sinds het arrest benadrukt het kabinet in Brussel op verschillende niveaus de urgentie en het belang van een EU-brede aanpak, waarbij het arrest van het HvJEU als uitgangspunt wordt genomen. In samenwerking met andere lidstaten, het Voorzitterschap van de Raad en de Commissie wordt bezien welke oplossingsrichtingen hier recht aan doen.

Ingevolge dit arrest heeft de Commissie ervoor gekozen dat API-gegevens voor vluchten binnen de EU alleen worden doorgegeven aan de PIU’s van de lidstaten voor een lijst met geselecteerde vluchten die per lidstaat kan verschillen. Deze lijst wordt op grond van de PNR-Richtlijn opgesteld. Momenteel wordt in de context van de PNR-Richtlijn besproken hoe hier uiting aan kan worden gegeven. Het kabinet kan zich hierin vinden. Het kabinet tekent wel aan dat deze lijst regelmatig bijgewerkt zal moeten worden en zal in dat kader aandacht vragen voor het belang van de uitvoerbaarheid van deze bepaling, zowel aan de kant van de lidstaten als van eu-LISA. Zo moet de procedure op EU-niveau zo ingericht worden dat de router in staat is onmiddellijk de bijgewerkte lijst van geselecteerde vluchten te implementeren en de juiste gegevens aan de lidstaten door te geven. Het kabinet zal zich hiertoe inzetten. Daarnaast zal het kabinet verduidelijking zoeken of de (tijdelijke) selectie van alle vluchten mogelijk is, indien een lidstaat met een werkelijke en actuele of voorzienbare terroristische dreiging wordt geconfronteerd.

Het kabinet ziet tevens graag nadere verduidelijking ten aanzien van het toepasselijke gegevensbeschermingsregime voor de rechtshandhavingsverordening, specifiek waar het gaat om de bewaartermijnen. De Commissie geeft in haar toelichting op het voorstel aan dat de PNR-Richtlijn zoals uitgelegd door het HvJEU hierop van toepassing is, maar dit komt niet expliciet terug in de bepalingen van de het voorstel. Het kabinet zal ook informeren of de verplichting voor luchtvaartmaatschappijen om API-gegevens via de router aan te leveren gevolgen heeft voor de separate datastroom met PNR-gegevens, waarvan API-gegevens onderdeel uitmaken, die luchtvaartmaatschappijen op basis van de PNR-Richtlijn bij de PIU’s aanleveren.

De volgende punten zijn relevant voor zowel de API-grensbewaking als de API-rechtshandhaving verordening. Het kabinet kan zich erin vinden dat luchtvaartmaatschappijen worden geacht machinaal leesbare gegevens van de reisdocumenten automatisch te verzamelen en zal er aandacht voor vragen dat dit op een zo toekomstbestendig mogelijke wijze wordt verwoord, met het oog op technologische ontwikkelingen. Enkel dan kan de kwaliteit en betrouwbaarheid van API-data die door luchtvaartmaatschappijen wordt verzameld, worden gegarandeerd. Dit zal ook een betere verwerking van API-gegevens ondersteunen en het risico op vals positieve of negatieve overeenkomsten als gevolg van een lage kwaliteit van data verminderen.

Het kabinet is ook voorstander van de opname van de opname van een aanvullend moment waarop luchtvaartmaatschappijen API-gegevens doorgeven (ook bij check-in, naast na het sluiten van de deuren van het vliegtuig). Met het toevoegen van het doorgiftemoment bij check-in krijgen de bevoegde autoriteiten meer tijd om de gegevens te vergelijken met de relevante databanken, in het bijzonder wanneer het gaat om korte vluchten.

Het kabinet staat positief tegenover het voorstel van de Commissie om gebruik te maken van een router voor de doorgifte van API-gegevens. Met de komst van de router verdwijnen de thans in gebruik zijnde verbindingswegen van de luchtvaarmaatschappijen naar de bevoegde autoriteiten van alle verschillende lidstaten op basis van de API-Richtlijn; voor PNR blijven die verbindingen vooralsnog bestaan. Het aanleveren van de gegevens wordt daarmee aanzienlijk vergemakkelijkt voor de luchtvaartmaatschappijen, doordat zij voor API-gegevens één centraal aanleverpunt krijgen. Na een initiële investering kunnen luchtvaartmaatschappijen hiermee bovendien aanzienlijk besparen op transmissiekosten. Ook wordt daarbij door eu-LISA zoveel mogelijk gebruik gemaakt van bestaande technische componenten in het kader van EES en ETIAS. Het kabinet tekent daarbij wel aan dat luchtvaartmaatschappijen vroegtijdig geïnformeerd moeten worden over het moment van overgang op de router in verband met de (vaak langlopende) contracten met technische bedrijven voor de huidige aanlevering van API-gegevens. Het is in dat licht positief dat de Commissie een periode van twee jaar voorziet nadat de router operationeel is, voordat het gebruik ervan verplicht wordt.

Het kabinet zal aandacht vragen voor de randvoorwaarden die nodig zijn bij het gebruik van de router, zoals de beschikbaarheid en kwaliteit van de verbinding en een back-up bij technische storingen. Uit het voorstel wordt nog onvoldoende duidelijk hoe de uitwisseling in die gevallen gegarandeerd kan worden. Het kabinet ziet daarnaast graag dat na een onverhoopte technische storing van de router de API-gegevens die niet doorgegeven konden worden, alsnog door de router worden nagezonden aan de bevoegde autoriteiten van de lidstaten indien dit nog technisch mogelijk is, dan wel nog zinvol in de tijd. Deze data kan dan bijvoorbeeld alsnog gebruikt worden in het geval van een asielaanvraag op de luchthaven waarbij de reiziger het paspoort bewust niet overlegt en ten behoeve van statistieken.

c) Eerste inschatting van krachtenveld

Er is brede steun onder de lidstaten voor de herziening van de API-Richtlijn die uit 2004 dateert. Het voorstel van de Commissie is mede tot stand gekomen naar aanleiding van een publieke consultatie en verschillende workshops met experts van de lidstaten en andere partijen. Gelet op de expertbijeenkomsten is er voldoende steun voor de keuze die de Commissie heeft gemaakt met de toepassing van de rechtshandhavingsverordening op vluchten vanuit en naar derde landen, alsook vluchten binnen de EU. Aangaande de precieze uitwerking van het voorstel is het krachtenveld minder duidelijk.

De positie van het Europees Parlement ten aanzien van dit voorstel is nog niet bekend. Wel is bekend dat het Europees Parlement veel waarde hecht aan gegevensbescherming waar het gaat om persoonsgegevens van passagiers. Het ligt daarom voor de hand dat het Europees Parlement hier aandacht voor zal hebben bij de beoordeling van het voorstel. Het voorstel zal behandeld worden door de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) van het Europees Parlement.

4. Beoordeling bevoegdheid, subsidiariteit en proportionaliteit

a) Bevoegdheid

Het oordeel van het kabinet ten aanzien van de bevoegdheid is positief. Het voorstel is gebaseerd op artikel 82, lid 1, onder d VWEU, en artikel 87, lid 2, onder a, VWEU. Artikel 82, lid 1, onder d, VWEU geeft de EU de bevoegdheid tot het vaststellen van maatregelen in het kader van strafvervolging en tenuitvoerlegging van beslissingen de samenwerking tussen de justitiële of gelijkwaardige autoriteiten van de lidstaten te bevorderen. Artikel 87, lid 2, onder a, VWEU geeft de EU de bevoegdheid tot het vaststellen van maatregelen voor de verzameling, opslag, verwerking, analyse en uitwisseling van relevante informatie in het kader van de ontwikkeling van politiële samenwerking waarbij alle bevoegde autoriteiten van de lidstaten betrokken zijn. Het kabinet kan zich vinden in deze rechtsgrondslagen. Op het terrein van de ruimte van vrijheid, veiligheid en recht is sprake van een gedeelde bevoegdheid tussen de EU en de lidstaten (zie artikel 4, lid 2, onder j, VWEU).

b) Subsidiariteit

Het oordeel van het kabinet ten aanzien van de subsidiariteit is positief. De verordening heeft tot doel de informatie-uitwisseling ter bestrijding van terrorisme en grensoverschrijdende criminaliteit te verbeteren. Gezien de grensoverschrijdende aard hiervan kan dit onvoldoende door de lidstaten op centraal, regionaal of lokaal niveau worden verwezenlijkt. Daarom is een EU-aanpak nodig. Met het voorstel wordt tevens beoogd de grensoverschrijdende informatie-uitwisseling te verbeteren. Dergelijke harmonisatie kan ook het beste plaatsvinden op EU-niveau. Een wijziging van bestaande EU-regelgeving kan bovendien slechts op EU-niveau plaatsvinden. Om deze redenen is optreden op het niveau van de EU gerechtvaardigd.

c) Proportionaliteit

Het oordeel van het kabinet ten aanzien van de proportionaliteit is positief. De verordening heeft tot doel de informatie-uitwisseling ter bestrijding van terrorisme en grensoverschrijdende criminaliteit te verbeteren. Het voorgestelde optreden is geschikt om deze doelstelling te bereiken. Zo worden met het verplicht stellen van het opvragen van API-gegevens voor rechtshandhavingsdoeleinden de bevoegde autoriteiten ondersteund in hun onderzoek naar ernstige misdaden en terrorisme. Dit wordt ook bereikt door de toepassing van de verordening op dezelfde vluchten als waarvoor PNR-gegevens worden verzameld. Bovendien gaat het voorstel niet verder dan noodzakelijk om het doel van het optreden te bereiken. Zo worden alleen API-gegevens verzameld van geselecteerde vluchten binnen de EU. De router fungeert daarbij als filter voor de geselecteerde vluchten en stuurt slechts de API-gegevens door van vluchten die door de lidstaat geselecteerd zijn. Daarmee helpt de router tegemoet te komen aan het HvJEU arrest inzake PNR. Met het instellen van een router wordt niet verder gegaan dan nodig om de aanlevering van API-gegevens te vergemakkelijken voor luchtvaartmaatschappijen. Bovendien wordt daarbij door eu-LISA zoveel mogelijk gebruik gemaakt van bestaande technische componenten in het kader van EES en ETIAS.

5. Financiële consequenties, gevolgen voor regeldruk, concurrentiekracht en geopolitieke aspecten

a) Consequenties EU-begroting

De financiële gevolgen zijn door de Commissie voor beide verordeningen (grensbewaking en rechtshandhaving) tezamen gepresenteerd en worden dan ook in beide fiches gelijk beoordeeld. Dit wetgevingsinitiatief zou gevolgen hebben voor de begroting van eu-LISA en DG HOME in verband met het ontwikkelen van de router. Voor eu-LISA is naar schatting een extra budget van ongeveer EUR 45 mln. nodig, waarvan 35 mln. voor de resterende MFK periode 2021–2027. Voor DG HOME gaat het om ongeveer EUR 2,6 mln. Voor eu-LISA wordt daarnaast een extra personeelsbehoefte van 27 fte verwacht. Het overige personeel komt uit een herschikking vanuit ander projecten. De Commissie geeft aan dat het aan eu-LISA en DG HOME toegewezen budget wordt verrekend met de corresponderende Thematische Faciliteit van het Border Management and Visa Instrument (BMVI). Het kabinet zal hier verduidelijking bij de Commissie over vragen. Immers, de hoogte van de Thematische Faciliteit van het BMVI is reeds vastgesteld in de BMVI verordening en deze wordt niet gewijzigd middels voorliggend voorstel. Het kabinet is van mening dat de ontwikkeling van de administratieve uitgaven in lijn moet zijn met de conclusies van de Europese Raad van juli 2020 over het MFK-akkoord.

Het voorstel voorziet daarnaast dat lidstaten voor hun nationale kosten verbonden aan de implementatie van dit voorstel in de periode tot en met 2027 een beroep kunnen doen op het Internal Security Fund (ISF) en het BMVI. Voor de Nederlandse nationale programma’s voor het ISF en het BMVI geldt echter dat deze volledig zijn gealloceerd en er geen ruimte wordt voorzien om de nationale kosten die tot en met 2027 voortvloeien uit beide verordeningen mede te financieren. Het kabinet is van mening dat de benodigde EU-middelen gevonden dienen te worden binnen de in de Raad afgesproken financiële kaders van de EU-begroting 2021–2027 en dat deze moeten passen bij een prudente ontwikkeling van de jaarbegroting. Financiering na 2027 valt onder de onderhandelingen voor het volgende MFK.13

b) Financiële consequenties (incl. personele) voor rijksoverheid en/ of medeoverheden

De financiële gevolgen zijn door de Commissie voor beide verordeningen (grensbewaking en rechtshandhaving) tezamen gepresenteerd en worden dan ook in beide fiches gelijk beoordeeld. Het voorstel met betrekking tot de router zal primair via de EU-begroting moeten worden bekostigd. Dat laat onverlet dat de aansluiting op deze voorziening door lidstaten bijvoorbeeld ICT-matige (hardware en software) gevolgen zal hebben en dat naar verwachting werkprocessen zullen moeten worden aangepast. Dat kan ook leiden tot kosten voor Nederland, die nog nader in kaart moeten worden gebracht. Er wordt geen ruimte voorzien in de nationale programma’s ISF en BMVI om deze kosten mede te financieren. Budgettaire gevolgen worden ingepast op de begroting van het beleidsverantwoordelijke departement, conform de regels van de budgetdiscipline.

Er worden voor de lidstaten geen additionele kosten verwacht in relatie tot het feit dat de PIU’s meer API-gegevens zullen moeten verwerken dan momenteel. Volgens de Commissie gaat deze verwerking mee in die van PNR-gegevens en zijn de bijbehorende kosten voor de toegenomen gegevensverwerking zeer klein, zo niet verwaarloosbaar. Dit moet tevens worden afgezet tegen de naar verwachting verminderde werklast met betrekking tot vals positieve hits vanwege de verbetering in de kwaliteit van de gegevens door de automatisering van de verzameling van API-gegevens.

c) Financiële consequenties en gevolgen voor regeldruk voor bedrijfsleven en burger

De financiële gevolgen zijn door de Commissie voor beide verordeningen (grensbewaking en rechtshandhaving) tezamen gepresenteerd en worden dan ook in beide fiches gelijk beoordeeld. De uitbreiding van de reikwijdte naar vluchten vanuit en naar derde landen en naar vluchten binnen de EU voor rechtshandhavingsdoeleinden leidt tot extra lasten voor de luchtvaartindustrie. De Commissie voorziet specifiek dat de eenmalige kosten voor luchtvaartmaatschappijen om ICT systemen aan te passen om voor meer vluchten API-gegevens door te geven uitkomen op een bedrag van EUR 75 mln. voor de gehele industrie. De kosten zullen daarbij hoger zijn voor luchtvaartmaatschappijen die nog geen API-gegevens verzamelden, dan voor luchtvaartmaatschappijen die hier al wel ervaring mee hebben. De eenmalige kosten voor de verplichting om de API-gegevens automatisch te verzamelen worden door de Commissie geschat op EUR 50 mln. voor de gehele industrie, waarbij er weer verschillen zullen zijn tussen luchtvaartmaatschappijen die reeds een automatisch online check-in systeem hebben en luchtvaartmaatschappijen die hier nog in moeten investeren. De Commissie voorziet tot slot terugkerende kosten voor de luchtvaartindustrie voor de doorgifte van API-gegevens van circa EUR 25 mln. per jaar. Door het centraal aanleveren van deze gegevens via de router worden deze kosten echter teruggebracht naar EUR 17,8 mln. per jaar.

d) Gevolgen voor concurrentiekracht en geopolitieke aspecten

Ten aanzien van de concurrentiekracht geeft de Commissie aan dat de instelling van de router op termijn een aanzienlijke verlaging van transmissiekosten tot gevolg heeft voor de luchtvaartmaatschappijen. Ten aanzien van geopolitieke aspecten beoogt dit voorstel de informatie-uitwisseling op EU-niveau en de informatiepositie van de lidstaten te verbeteren. Dit stelt de EU beter in staat als mondiale speler in de strijd tegen illegale migratie, grensoverschrijdende criminaliteit en terrorisme haar belangen te borgen en weerbaar te zijn in een onderling verbonden wereld.

6. Implicaties juridisch

a) Consequenties voor nationale en decentrale regelgeving en/of sanctionering beleid (inclusief toepassing van de lex silencio positivo)

Een verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in de lidstaten. Daarom behoeft een verordening geen implementatiewetgeving. Naar het zich laat aanzien zullen in ieder geval een aantal (technische) aanpassingen van nationale wet- en regelgeving nodig zijn, bijvoorbeeld waar nog wordt verwezen naar de huidige API-Richtlijn of het schrappen van bepalingen die voortaan rechtstreeks uit de verordeningen voortvloeien. Daarbij is het tevens van belang dat helder is met ingang van welke datum de huidige API-richtlijn wordt ingetrokken en daarmee de regelgeving waarmee deze geïmplementeerd is aangepast.

b) Gedelegeerde en/of uitvoeringshandelingen, incl. NL-beoordeling daarvan

Het voorstel kent de Commissie in artikel 4, lid 5 en 9, artikel 5, lid 3, artikel 10, lid 2, en artikel 11, lid 2 de bevoegdheid toe om gedelegeerde handelingen vast te stellen overeenkomstig artikel 290 VWEU. Het gaat hierbij om de technische vereisten en operationele regels voor de verzameling van API-gegevens, gezamenlijke protocollen en data formats voor de doorgifte van API-gegevens aan de router, technische en procedurele regels voor doorgifte van API-gegevens door de router en regels over verbinding en integratie met de router door PIU’s en luchtvaartmaatschappijen. Het betreft de vaststelling van niet-essentiële onderdelen van de basishandeling, waardoor toekenning van deze bevoegdheden mogelijk is. Omdat het gaat om een aanvulling op de wetgevingshandeling, ligt de keuze voor gedelegeerde handelingen (i.p.v. uitvoeringshandelingen) voor de hand. De bevoegdheidsdelegatie is daarbij volgens het kabinet voldoende afgebakend tot de noodzakelijke technische, operationele en procedurele specificaties en beperkt tot een bepaalde termijn. De bevoegdheidsdelegatie wordt verstrekt voor een periode van vijf jaar vanaf de datum dat de verordening wordt aangenomen. Het kabinet verwelkomt daarnaast dat is opgenomen dat de Commissie voor aanname van een gedelegeerde handeling de experts van de lidstaten zal consulteren in lijn met de principes opgenomen in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

c) Voorgestelde implementatietermijn (bij richtlijnen), dan wel voorgestelde datum inwerkingtreding (bij verordeningen en besluiten) met commentaar t.a.v. haalbaarheid

De voorgestelde datum van inwerkingtreding van de verordening ligt op de twintigste dag volgend op publicatie in het Publicatieblad van de EU. De toepassing van de verordening zal afhankelijk zijn van de datum waarop de router in gebruik kan worden genomen. Deze datum zal door middel van een uitvoeringshandeling (die wordt vastgesteld op basis van de API verordening grensbewaking) in lijn met de API verordening grenzen vastgesteld worden. Het gebruik van de router is pas na een periode van twee jaar na deze datum verplicht. In de tussenliggende periode hebben beide verordeningen een vrijwillig karakter. De artikelen waarmee de Commissie de bevoegdheid wordt toegekend om gedelegeerde en uitvoeringshandelingen aan te nemen zullen wel gelden vanaf de datum van inwerkingtreding van de verordening. Het kabinet zal zich er in de onderhandelingen sterk voor maken dat de lidstaten en luchtvaartmaatschappijen een redelijke termijn krijgen om voorbereidingen op tijd te kunnen voltooien. De huidige tekst van het voorstel geeft geen verdere duidelijkheid over de data van toepassing van de verordening doordat deze door middel van een uitvoeringshandeling wordt vastgesteld. Daarmee is de haalbaarheid momenteel niet in te schatten.

d) Wenselijkheid evaluatie-/horizonbepaling

De Commissie voorziet vier jaar na de inwerkingtreding van de verordening, en elke vier jaar daarna, een brede evaluatie. Daarin zal worden stilgestaan bij de toepassing van de verordening, de resultaten in vergelijking tot de beoogde doelen en de impact op grondrechten. Het evaluatierapport zal worden gedeeld met de Raad, het Europees Parlement, de Europese Toezichthouder voor gegevensbescherming en het Europees Bureau voor de grondrechten. Het kabinet is voorstander van brede en regelmatige evaluaties. In het voorstel is geen horizonbepaling opgenomen.

e) Constitutionele toets

Het voorstel is in overeenstemming met de Europese Verdragen en het Grondrechtenhandvest, alsook de Nederlandse Grondwet. Het voorstel heeft op onderdelen mogelijk impact op de bescherming van grondrechten, met name de bescherming van persoonsgegevens. Het kabinet hecht daarom zwaar aan het oordeel van de Europese Toezichthouder voor gegevensbescherming over de verenigbaarheid van het voorstel met vigerende EU-wetgeving. Tegelijkertijd is het voorstel erop gericht om de veiligheid te waarborgen.

7. Implicaties voor uitvoering en/of handhaving

De uitvoeringsgevolgen zullen nader in kaart moeten worden gebracht. De voorstellen borduren op de bestaande situatie voort maar zullen mogelijk ook wijzigingen van de nationale IT-architectuur en werkprocessen inhouden en extra capaciteit vergen van de betrokken diensten. Inzake handhaafbaarheid borduren de voorstellen op de bestaande situatie voort.

8. Implicaties voor ontwikkelingslanden

Luchtvaartmaatschappijen die vanuit ontwikkelingslanden naar de EU en Schengen vliegen zullen moeten voldoen aan de eisen van de verordening, zoals verzameling van API-gegevens op automatische wijze en aanlevering via de router. Deze gevolgen zijn niet anders dan die voor luchtvaartmaatschappijen in andere landen die intra-EU of naar de EU en Schengen vliegen.