Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 29 oktober 2010

De vaste commissies voor de JBZ-Raad en voor Justitie hebben op 26 oktober jl. gesproken over de Mededeling van de Europese Commissie over de algemene aanpak van de doorgifte van passagiersgegevens (Passenger Name Record – PNR) aan derde landen.1 Zij stellen voor dat de bij de leden van deze commissies levende vragen over deze Mededeling in een brief van de Eerste Kamer aan de Europese Commissie worden voorgelegd. Een conceptbrief is bijgevoegd. De commissies stellen tevens voor een afschrift van de brief aan de Europese Commissie aan de regering te doen toekomen.

Geachte heer Šefčovič,

De Eerste Kamer der Staten-Generaal heeft met belangstelling kennis genomen van de Mededeling van de Europese Commissie over de algemene aanpak van de doorgifte van passagiersgegevens (Passenger Name Record – PNR) aan derde landen.2 Leden van de Eerste Kamer hebben opgemerkt dat deze mededeling bij diverse personen en organisaties vragen heeft opgeroepen. De Eerste Kamer noemt in dit verband de European Data Protection Supervisor (EDPS) en de Commissie Meijers, een permanente commissie van deskundigen in het internationaal vreemdelingen-, vluchtelingen- en strafrecht.

De EDPS heeft in zijn advies van 19 oktober 2010 kritische opmerkingen gemaakt over het proactieve gebruik van PNR-gegevens voor risicobeoordeling. De EDPS merkt onder meer op dat «neither the notion of risk indicators, nor the notion of «risk assessment» is sufficiently developed, and the latter could easily be confused with the notion of «profiling» (overweging 19). De EDPS vervolgt met de opmerking dat «the use of such techniques on a wide scale involving the screening of all passengers therefore raises serious questions of compliance with fundamental privacy and data protection principles, including those laid down in Article 8 ECHR, Articles 7 and 8 of the Charter and Article 16 TFEU» (overweging 20). In zijn conclusies merkt de EDPS op dat hij bijzonder bezorgd is over het gebruik van PNR voor risicobeoordeling en profiling (overweging 35). De Eerste Kamer verzoekt u gemotiveerd op de bezwaren van de EDPS in te gaan.

Voorts is geconstateerd dat de leden van de Eerste Kamer de vragen delen die de Commissie Meijers heeft opgeworpen. Deze vragen komen op het volgende neer:

De Europese Commissie stelt dat de EU zal nagaan of het land waaraan PNR-gegevens worden doorgegeven de internationale normen, inzake onder andere de bescherming van persoonsgegevens, in acht neemt (pagina 9 van de Mededeling). Deze internationale normen kunnen lager liggen dan de bescherming die op basis van EU-normen wordt geboden. Waarom garandeert de Europese Commissie niet in alle gevallen van overdracht van PNRgegevens de inachtneming van deze Europese normen inzake de verwerking van persoonsgegevens? Deze garantie kan worden opgenomen in in rechte afdwingbare verbintenissen in de internationale overeenkomst.

Gevoelige gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt of die de gezondheid of het seksuele leven betreffen mogen onder uitzonderlijke omstandigheden toch worden gebruikt (pagina 9 onder «Bijzondere categorieën persoonsgegevens (gevoelige gegevens)»). Vindt de Europese Commissie niet dat het gebruik van dergelijke gevoelige gegevens slechts is toegestaan als dit gebruik tijdelijk is, dergelijke gegevens niet worden doorgegeven aan andere derde landen en de gegevens na gebruik worden vernietigd? De EDPS meent zelfs dat de verwerking van gevoelige gegevens uit principe verboden dient te zijn (overweging 26).

Op basis van deze algemene aanpak mogen besluiten die voor een persoon tot ongunstige maatregelen of effecten leiden niet uitsluitend gebaseerd zijn op de automatische verwerking van persoonsgegevens, maar moet sprake zijn van menselijke tussenkomst (pagina 10 onder «Geautomatiseerde individuele besluiten»). Van belang is hierbij hoe het besluit wordt gemotiveerd, want hieruit zal blijken of niet slechts sprake is van een geautomatiseerd besluit. Hoe denkt de Europese Commissie te garanderen dat ieder afzonderlijk besluit in voldoende mate wordt gemotiveerd?

De algemene aanpak voorziet in de mogelijkheid tot verdere doorgifte van PNR-gegevens aan andere derde landen (pagina 10 onder «Beperkingen op verdere doorgifte aan derde landen»). Deze doorgifte is met minimale waarborgen omgeven. Dit brengt het gevaar met zich mee dat de EU de controle verliest over de PNR-gegevens als deze aan andere derde landen worden doorgegeven. Zou om de controle op het gebruik van persoonsgegevens niet te verliezen de doorgifte aan derde landen niet gepaard moeten gaan met een kennisgeving aan een orgaan van de EU, bijvoorbeeld de Europese Commissie of de reeds genoemde EDPS? Daarnaast vraagt de Eerste Kamer zich af of de verdere doorgifte aan derde landen niet alleen toegestaan zou moeten zijn op basis van tijdelijkheid en indien sprake is van een bijzondere omstandigheid zoals een verhoogde terreurdreiging.

De Eerste Kamer wacht met belangstelling de antwoorden van de Europese Commissie af.