nr. 531
BRIEF VAN DE MINISTER VAN JUSTITIE

Inleiding

Tijdens het algemeen overleg d.d. 22 oktober jl. ter voorbereiding op de JBZ-Raad van 24 oktober, heb ik u toegezegd om in het kader van de totstandkoming van een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden (hierna: ontwerpkaderbesluit) een brief te doen toekomen over:

1. het verloop van de onderhandelingen & het stappenplan;

2. nut en noodzaak van het EU-PNR systeem en

3. de opstelling van de Nederlandse regering tijdens de onderhandelingen.

Met deze brief doe ik deze toezegging gestand.

1. Verloop van de onderhandelingen & het stappenplan

De Europese Commissie bracht het voorstel voor een kaderbesluit uit op 6 november 2007. Een BNC-fiche naar aanleiding van dit voorstel is u bij brief van 29 januari 2008 toegezonden1. Het voorstel is door de Commissie gepresenteerd in de Multidisciplinaire Groep ter bestrijding van de Georganiseerde Misdaad (MDG) op 30 november 2007. In deze Raadswerkgroep worden de onderhandelingen op ambtelijk niveau gevoerd.

De inhoud van het ontwerpkaderbesluit moet nog worden vastgesteld door de Raad. De Europese lidstaten hebben, evenals Nederland, over het voorstel nog geen definitief standpunt ingenomen. Nederland heeft daarbij – mede in verband met de motie Pechtold2 – een parlementair voorbehoud aangetekend. De tekst van het voorstel is onder het Sloveens voorzitterschap (in de periode 1 januari tot en met 30 juni 2008) tweemaal besproken. De belangrijkste onderwerpen (wettelijke basis, doelbinding, reikwijdte, verhouding PNR-API, dataprotectie etc.) zijn toen geen onderwerp geweest van inhoudelijk overleg. Onder het Franse voorzitterschap (vanaf 1 juli 2008 tot heden) worden de vraagpunten uitvoerig besproken, los van de tekst van het ontwerpkaderbesluit. Verderop in deze brief zal inhoudelijk op deze punten worden ingegaan.

Positie Europees Parlement

De Raad is verplicht het Europees Parlement om advies op het ontwerpkaderbesluit te verzoeken. In de geest van het Verdrag van Lissabon, waarbij het Europees Parlement instemmingsrecht zal krijgen op dit dossier, zal het Europees Parlement echter nu al actief worden betrokken. Er vindt daarom zeer regelmatig overleg plaats over dit onderwerp tussen de Commissie, het voorzitterschap en het Europees Parlement. De zorgen die in het Europese Parlement bestaan zijn op hoofdlijnen dezelfde die in uw Kamer leven en zijn uitgesproken in het algemeen overleg van 22 oktober jl. Ik acht het dan ook met uw Kamer van belang dat de aangedragen vragen en kritische kanttekeningen uitgebreid worden beschouwd en beantwoord voordat besluitvorming plaatsvindt.

Het Europees Parlement heeft het voornemen in maart 2009 met een opinie te komen over het ontwerpkaderbesluit en de stand van zaken over de onderhandelingen tot dan toe.

Positie toezichthouders voor de gegevensbescherming & agentschap voor de grondrechten

De Europees Toezichthouder voor de gegevensbescherming (EDPS) is in de Raadswerkgroep aanwezig geweest om een uiteenzetting te geven over de verschillende kernproblemen vanuit het oogpunt van dataprotectie. Zijn standpunt heeft hij in zijn advies van 20 december 2007 formeel uitgebracht.

Er is regelmatig overleg tussen de Commissie, het voorzitterschap en de EDPS. Zo is de EDPS betrokken bij de voorbereidingen van de huidige besprekingen in de raadswerkgroepen over dataprotectie.

De gezamenlijke toezichthouders voor de gegevensbescherming uit de lidstaten (de zogeheten artikel 29 Werkgroep) hebben hun kritische opinie over het ontwerpkaderbesluit op 18 december 2007 vastgesteld en bij brief van 19 december 2007 aan het toenmalige voorzitterschap gezonden.

Het EU-agentschap voor de grondrechten heeft op 23 oktober jl. op verzoek van het voorzitterschap eveneens een opinie uitgebracht over het voorstel. Het agentschap vraagt onder meer aandacht voor nut en noodzaak van het systeem, de relatie met bestaande regelgeving over de uitwisseling van gegevens, dataprotectie en de waarborgen waaronder risicoanalyses plaats vinden.

Positie vertegenwoordigers van de luchtvaartsector en anderen

In de Raadswerkgroepen hebben diverse betrokken organisaties hun standpunt uiteengezet ten aanzien van het voorstel. Het betreffen de International Air Transport Association (IATA), Association of European Airlines (AEA), SITA en Amadeus. Tenslotte heeft de Europees Coördinator Terrorismebestrijding zijn oordeel over het ontwerpkaderbesluit uiteengezet.

Stappenplan

Tijdens de JBZ-raad van 28 november a.s. zal verslag worden uitgebracht van de stand van zaken van de besprekingen onder het huidige voorzitterschap. Er zal aan de hand van een uitgebreid rapport van het voorzitterschap gesproken worden over de verdere procedure.

Naar verwachting zullen hier geen definitieve standpunten worden ingenomen, aangezien de uiteindelijke positie van lidstaten ook zal afhangen van de uiteindelijke tekst van het voorstel voor het ontwerpkaderbesluit.

In de Coreper van 29 oktober jl. is nog eens benadrukt dat in de JBZ-raad van eind november geen besluitvorming over de juridische grondslag zal plaatsvinden. Ik zal uw Kamer over de inhoud van de besprekingen in de eerstvolgende JBZ-raad via de gebruikelijke kanalen informeren, in aanvulling op deze brief.

Met ingang van 1 januari 2009 zal Tsjechië het voorzitterschap overnemen. Tsjechië zal de besprekingen op dit dossier voortzetten. Zij zullen pas overgaan tot bespreking van de tekst van het ontwerpkaderbesluit zodra er voldoende duidelijkheid is over de visie van de lidstaten op de belangrijke onderwerpen.

In de verschillende fasen naar een uiteindelijke tekst van het kaderbesluit zal ik uw Kamer vroegtijdig informeren over de stand van zaken.

2. Nut en noodzaak van het voorstel

Het is mij bekend dat er zowel bij het Europese Parlement als in de Kamer twijfels bestaan of het huidige ontwerpkaderbesluit voldoende adequaat is om terrorisme en georganiseerde criminaliteit te bestrijden. Daartegenover staat de mening van verschillende wetshandhavingsautoriteiten uit verschillende landen, ook buiten Europa, die in het verzamelen en analyseren van PNR-gegevens, in combinatie met andere gegevens, een toegevoegde waarde zien bij de bestrijding van terrorisme en georganiseerde criminaliteit.

Om de toegevoegde waarde van dit voorstel te kunnen beoordelen zijn de ervaringen, zowel nationaal als internationaal, met het gebruik van passagiersgegevens onderzocht.

Passagiersgegevens: PNR, API en het DCS

In de praktijk worden verschillende soorten passagiersgegevens gebruikt. Ter verduidelijking een toelichting.

Passenger Name Record = PNR

Onder PNR wordt in dit voorstel verstaan een bestand van reisgegevens van iedere passagiers, dat alle informatie bevat die de boekende en de betreffende luchtvaartmaatschappijen nodig hebben om reserveringen te kunnen verwerken en controleren bij elke reis die door of namens een passagier wordt geboekt. Een dergelijk bestand kan zich bevinden in reserveringssystemen, vertrekcontrolesystemen (DCS), wereldwijde distributiesystemen of soortgelijke systemen, of is anderszins bekend bij de luchtvaartmaatschappij. De gegevenselementen van PNR worden opgesomd in een bijlage bij het ontwerpkaderbesluit en dienen te worden verstrekt voor zover deze worden verzameld door, of anderszins bekend zijn bij, luchtvaartmaatschappijen.

Passagiersinformatie in reserveringssystemen

Passagiersgegevens worden op verschillende manieren ontvangen en vastgelegd in het reserveringssysteem van de luchtvaartmaatschappij. De kwaliteit van de gegevens is afhankelijk van wat de passagier of zijn intermediair (bv. een reisbureau of een andere luchtvaartmaatschappij in geval van overstap) verstrekt. Het gaat bijvoorbeeld om informatie over de naam van de persoon, de geboekte vlucht/datum, contactgegevens, deelname aan loyaliteitsgegevens, maaltijdvoorkeur, «history»-gegevens van de boeking e.a. Het gaat hier om niet-geverifieerde gegevens.

Departure Control System = DCS

Een aantal uren voor vertrek van een bepaalde vlucht wordt het DCS systeem van de luchtvaartmaatschappij gevuld met data uit het reserveringssysteem. Tijdens het check-in proces worden op basis van identificatie de mogelijk onjuiste naam of vluchtgegevens aangepast. In het DCS systeem staat, naast de bestaande informatie uit het reserveringssyteem, nieuwe informatie opgenomen zoals het stoelnummer, de hoeveelheid bagage en of een passagier heeft ingecheckt.

Advanced Passenger Information = API

Anders dan bij PNR, gaat het hierbij om identificeerbare persoonsgegevens, met name de elementen zoals opgenomen in de Machine Readable Zone van het paspoort. Dit betreft onder meer informatie over het legitimatiebewijs (soort, nummer, vervaldatum), de naam, het geslacht, de geboortedatum en de nationaliteit. Een aantal landen, zoals Canada, de VS, Mexico, China en Zuid-Korea, heeft luchtvaartmaatschappijen verplicht om naast de standaard gegevens uit het DCS ook de API-gegevens vast te leggen. Ook de EU heeft deze verplichting aan luchtvaartmaatschappijen opgelegd op grond van richtlijn 2004/82/EG in het kader van de strijd tegen illegale immigratie en verbetering van de grenscontroles. In Nederland is deze verplichting opgenomen in de Vreemdelingenwetgeving. Volgens de definitie in het ontwerpkaderbesluit vallen de beschikbare API-gegevens onder de lijst met data die door de luchtvaartmaatschappij aan de overheid moeten worden verstrekt.

Ervaringen in het buitenland

Steeds meer landen buiten én binnen de Europese Unie ontwikkelen systemen voor verzameling en analyse van PNR-gegevens, autonoom van de voornemens van de Europese Unie zelf. Er zijn inmiddels de nodige verdragen afgesloten over de uitwisseling van deze gegevens, zoals met de VS, Canada en Australië.

Het Verenigd Koninkrijk is een van de landen die inmiddels ervaring heeft met het systematisch gebruik van passagiersgegevens. De verzameling van deze gegevens vindt plaats in het kader van het streven naar een effectieve grenscontrole en veilige grenzen. Om van hun ervaringen te leren hebben vertegenwoordigers van de ministeries van Justitie; Binnenlandse Zaken en Koninkrijksrelaties en Buitenlandse Zaken, de Koninklijke Marechaussee en het Korps Landelijke Politiediensten een bezoek gebracht aan de luchthaven Heathrow. Daarnaast heeft het Verenigd Koninkrijk tijdens een raadswerkgroep in een presentatie uiteengezet wat de mogelijkheden zijn van het gebruik van het zogeheten e-Borders system. Bij brief van 20 november 2007 aan de heer Frattini heeft het Verenigd Koninkrijk schriftelijk informatie verschaft over dit systeem, hier bijgevoegd als bijlage 1.1

Het Verenigd Koninkrijk benadrukt dat de verzameling en analyse van PNR-gegevens gezien moet worden als een middel dat met name toegevoegde waarde heeft in combinatie met ander gegevens, zoals API of andere databases. Het is daarom moeilijk om harde cijfers te geven over successen die gebaseerd zijn op het enkele gebruik van PNR-gegevens. Wel is de ervaring van de Britse autoriteiten, dat belangrijke misdaden worden opgelost door onder meer analyse van het reisgedrag. Het Verenigd Koninkrijk heeft diverse voorbeelden gegeven van misdrijven, die opgelost zijn (mede) dankzij het gebruik van PNR-gegevens. Het Engelse systeem heeft geleid tot honderden arrestaties. In één voorbeeld is gebruik gemaakt van maar liefst 19 PNR data, waaronder het gebruik van bagage, creditcardgegevens, gegevens van reisagentschappen en telefoonnummers. De successen die het Verenigd Koninkrijk claimt zijn onder meer gelegen in een groot aantal arrestaties, de identificatie van mensenhandelnetwerken en het verkrijgen van waardevolle inlichtingen met betrekking tot het terrorisme. Door de combinatie van verschillende gegevens is er sprake van een laag aantal «false hits».

Ook de Verenigde Staten, Canada en Australië hebben hun positieve ervaringen met het gebruik van passagiersgegevens gedeeld in de raadswerkgroep. Bij brief van 14 mei 2007 aan het Europese Parlement hebben de Verenigde Staten hun bevindingen ten aanzien van PNR schriftelijk uiteengezet, hier bijgevoegd als bijlage 2.1

In de presentaties zijn diverse voorbeelden aangehaald waarbij passagiersgegevens hebben geleid tot aanhoudingen, het voorkomen van misdrijven of het weigeren van toelating op het grondgebied.

Uit de presentaties kan worden geconcludeerd dat geen enkel land PNR-gegevens als op zichzelf staande gegevens gebruikt. In elk van deze landen wordt er een koppeling gemaakt met andere gegevens, zoals de geverifieerde gegevens die afleidbaar zijn uit de leesbare strook van het paspoort (API). PNR gegevens worden vooral gebruikt om het potentiële risiconiveau vast te stellen, terwijl API-gegevens van belang zijn om reeds bekende risicovolle individuen te kunnen onderscheppen. Historische data zijn belangrijk bij het opstellen van analyses en het onderkennen van trends. Het valt op dat de toepassing in deze landen vooral plaatsvindt in het kader van het grenstoezicht. Tenslotte kan worden geconcludeerd dat de meeste successen worden geboekt ten aanzien van de bestrijding van zware criminaliteit («serious crime») en niet zozeer op het gebied van georganiseerde criminaliteit. Dat betekent, dat door het gebruik van PNR-gegevens meer losstaande criminele activiteiten worden opgespoord dan criminaliteit die wordt gepleegd in georganiseerd verband.

Bevindingen in Nederland

Ook Nederland heeft ervaringen met het gebruik van passagiersgegevens voor wetshandhavingsdoeleinden. Opsporingsambtenaren van politie en Koninklijke marechaussee kunnen deze gegevens in individuele gevallen op grond van de hun in het Wetboek van Strafvordering en de Vreemdelingenwet 2000 toegekende bevoegdheden vorderen van degene die deze gegevens verwerkt. De AIVD is bevoegd informatie op te vragen op grond van de Wet Inlichtingen- en Veiligheidsdiensten.

De informatieunit bij de Koninklijke Marechaussee te Schiphol houdt zich bezig met vragen met betrekking tot passagiersinformatie (zowel PNR als API-gegevens worden hieronder begrepen). Het afgelopen jaar zijn er 600 dossiers aangemaakt waarbij op verzoek van de Koninklijke Marechaussee, de regiopolitie en overige nationale en internationale opsporingsdiensten zoekslagen zijn gemaakt naar passagiersinformatie. Een zeer hoog aantal van deze onderzoeken heeft tot resultaten geleid ten behoeve van de opsporing en voorkoming van strafbare feiten, zoals drugssmokkel, mensenhandel en kinderporno. Relevante passagiersinformatie in dit kader is bijvoorbeeld de wijze van betaling, wie de betaling heeft verricht, ongebruikelijke reisbewegingen, informatie over een reisbureau, het reisgezelschap, meegevoerde of afwezige bagage etc.

Door middel van analyses van passagiersinformatie kan opvallend reisgedrag worden vastgesteld. Dergelijke analyses zijn essentieel in het kader van een informatie- en een risicogestuurd grenstoezicht.

Het verrichten van onderzoek naar beschikbare passagiersgegevens door deze unit is zeer arbeidsintensief en vindt alleen plaats naar aanleiding van gerichte vragen en ten aanzien van specifieke luchtvaartmaatschappijen. Hierdoor zijn niet alle PNR-gegevens van al het luchtverkeer beschikbaar. Op dit moment worden de passagiersgegevens alleen op zeer beperkte schaal en in summiere vorm bewaard. Analyses kunnen daarom alleen in geringe mate plaatsvinden. Bovendien ontbreekt systematische samenwerking met overige EU-landen. De verwachting is dat het onderhavige voorstel op deze punten verbetering kan brengen.

De douane op Schiphol voert sinds enige tijd een pilot uit met een luchtvaartmaatschappij. In deze pilot vraagt de douane vooraf passagiersgegevens uit het reserverings- en vertrekcontrolesysteem op. Zij zijn hiertoe bevoegd op grond van de communautaire en Nederlandse douanewetgeving. Deze gegevens worden vervolgens gebruikt voor het maken van een risicoanalyse op de smokkel van goederen. Daarbij wordt gekeken naar relevante afwijkingen in het reispatroon van de passagiers. Met behulp van deze analyses, is de douane in staat om effectiever de werkzaamheden te kunnen verrichten door gerichter te controleren. De positieve bevindingen van de Nederlandse douane stroken met die van de Franse douane, die eveneens een presentatie heeft gegeven in de Raadswerkgroep.

Proportionaliteit

Het zijn bovengenoemde ervaringen geweest die mij hebben gesterkt in de overtuiging dat het gebruik van passagiersgegevens voor wetshandhavingsdoeleinden nuttig kan zijn, ofschoon het nog te vroeg is voor een definitief oordeel. Daarbij plaats ik de volgende opmerkingen.

Het nut, de proportionaliteit en de effectiviteit van PNR zijn, gezien de praktijkervaringen, naar mijn mening beter gewaarborgd wanneer het voorstel tot het gebruik van PNR-gegevens zou worden ingebed in een groter geheel, met als doel:

• naast het voorkomen, opsporen, onderzoeken en vervolgen van terrorisme en georganiseerde criminaliteit ook het voorkomen, opsporen, onderzoeken en vervolgen van zware criminaliteit, zoals mensenhandel en drugssmokkel;

• een zodanig effectief georganiseerd grenstoezicht dat enerzijds tegemoet wordt gekomen aan de doelstellingen van criminaliteits- en terrorismebestrijding en anderzijds aan het voorkomen van illegale immigratie en de invoer van illegale goederen, alsmede aan een vlotte en klantgerichte afhandeling van passagiersstromen.

Dit alles dient te geschieden door middel van het analyseren van PNR-gegevens én andere – geverifieerde – gegevens van passagiers (inclusief API).

Een belangrijke voorwaarde is dat er een goed systeem komt ten aanzien van de gegevensbescherming. Verderop in deze brief kom ik hierop terug. Voorts moet gestreefd worden naar een werkbaar, geharmoniseerd systeem voor de luchtvaartmaatschappijen. Nederland heeft bovenstaande ingebracht bij de onderhandelingen.

Subsidiariteitsbeginsel

Veel lidstaten hebben een positieve grondhouding ten aanzien van het ontwerpkaderbesluit. Een aantal lidstaten heeft reeds nationaal maatregelen genomen of is van plan deze te nemen aangaande het verzamelen van PNR-gegevens. Indien geen EU-instrument tot stand komt, zal dit in deze lidstaten zeker leiden tot de nationale ontwikkeling van een dergelijk instrument.

Een maatregel afkomstig van de EU zal de doelstellingen van het voorstel beter kunnen verwezenlijken omdat een geharmoniseerde aanpak het mogelijk maakt om een EU-brede uitwisseling van de relevante informatie te waarborgen. Zonder deze maatregel bestaat de kans dat er 27 verschillende regimes ontstaan, met significant meer administratieve lasten voor de luchtvaartmaatschappijen. Bovendien ontbreekt dan een in de hele Unie gelijkwaardig niveau van bescherming van persoonsgegevens op een gebied dat niet wordt bestreken door de privacyrichtlijn nr. 95/46/EG. De EU-richtlijn voor de bescherming van persoonsgegevens is immers niet van toepassing op de verwerking van persoonsgegevens ten behoeve van de activiteiten van de staat op strafrechtelijk gebied. Bovendien kan een Europese standaard voor het gebruik van passagiersgegevens voor wetshandhavingsdoeleinden de internationale ontwikkelingen positief beïnvloeden. Zonder een dergelijke standaard loopt de Europese Unie het gevaar telkens reactief te moeten reageren op nieuwe voorstellen van derde landen op dit terrein, zonder zelf een goed beeld te hebben van de mogelijkheden en de randvoorwaarden.

3. Opstelling van de Nederlandse regering

Zoals hiervoor aangegeven worden tijdens het Franse voorzitterschap de essentiële vragen van het ontwerpkaderbesluit breed besproken. In de JBZ-raad van november wordt verslag uitgebracht van deze besprekingen.

Hieronder zal worden ingegaan op de inhoud van de besprekingen onder het Franse voorzitterschap tot nu toe. Daarbij zal de voorlopig ingenomen positie van Nederland worden toegelicht. Ten aanzien van het onderwerp nut en noodzaak van het EU-PNR systeem verwijs ik naar wat hierboven is vermeld. Zoals hiervoor vermeld zijn er nog geen definitieve standpunten ingenomen. Er is tijdens de onderhandelingen herhaaldelijk aangegeven dat het Nederlandse Parlement zeer kritisch staat tegenover het voorstel.

Harmonisatie

Vooropgesteld wordt dat Nederland streeft naar zoveel mogelijk harmonisatie van de praktijk. Harmonisatie blijkt evenwel niet altijd mogelijk te zijn, veelal omdat lidstaten verschillend denken over de doelbinding of reikwijdte van het ontwerpkaderbesluit (zie hierna). Indien de praktijk op onderdelen varieert per lidstaat, moet goed worden nagedacht over de gevolgen voor de Europese samenwerking tussen de nationale Passenger Information Units (PIU’s), bijvoorbeeld ten aanzien van gegevensbescherming.

Doelbinding

Er bestaat brede consensus tussen de lidstaten over de uitbreiding van de doelbinding tot «zware criminaliteit». Er bestaat nog geen brede overeenstemming over de uitbreiding van de doelbinding naar grensbewaking, zoals Nederland voorstaat. De Commissie en het Voorzitterschap hebben aangegeven dat een dergelijke uitbreiding problemen geeft met de pijlerstructuur van de Europese Unie (onderhavig voorstel is een derde pijler instrument, grensbewaking een eerste pijler instrument). Het is de vraag hoe overtuigend dit argument is, omdat de rechtsbasis van het huidige ontwerpkaderbesluit (alleen derde pijler of ook eerste pijler) nog onderwerp is van bespreking.

Reikwijdte

Veel lidstaten zijn van oordeel dat de reikwijdte van het ontwerpkaderbesluit vooralsnog dient te worden beperkt tot het vliegverkeer. Deze beperking verhindert niet dat sommige lidstaten op basis van nationale regelgeving ook andere vormen van transport betrekken bij het systeem. Nederland heeft aangegeven op dit moment geen voorstander te zijn van het toevoegen van overige verkeersmodaliteiten, mede gezien het feit dat veel andere soorten vervoer in het geheel geen passagierslijsten kennen.

De meeste lidstaten zijn akkoord met het opnemen van transit-vluchten onder de reikwijdte van het voorstel. Daaronder wordt bijvoorbeeld verstaan de vlucht Singapore–Parijs–Amsterdam, die plaats vindt onder één boeking. Nederland heeft aangegeven vooralsnog akkoord te gaan met deze uitbreiding, mits dezelfde set gegevens naar de verschillende lidstaten wordt verzonden op hetzelfde tijdstip (dus vanuit Singapore in dit voorbeeld). Dit is van belang om de lasten voor de luchtvaartmaatschappijen zo laag mogelijk te houden. Met name de douane-autoriteiten zijn voorstander van de toevoeging van transitvluchten omdat in dergelijke situaties de douaneautoriteit in de laatste luchthaven verantwoordelijk is voor de goederencontrole en zij dus belang heeft bij deze gegevens.

De vraag is aan de orde gekomen of naast de internationale vluchten, ook de volledig interne EU-vluchten onder de werking van dit besluit moeten vallen. Nederland is hiervan op dit moment geen voorstander. Dit betekent een aanzienlijke uitbreiding van het verzamelen, analyseren en verwerken van gegevens. Nederland wil daarom eerst meer duidelijkheid over de proportionaliteit van deze uitbreiding. Het compromisvoorstel van het voorzitterschap, om interne vluchten nu niet mee te nemen, maar eerst op termijn de ervaringen van lidstaten die zich hiermee al bezig houden te evalueren, is daarom naar mijn mening acceptabel.

Dataprotectie

Nederland hecht zeer aan een evenwichtig stelsel van gegevensbescherming en ziet in dat een goed stelsel van gegevensbescherming een conditio sine qua non is voor een breed draagvlak voor het ontwerpkaderbesluit. Nederland is van mening dat de bepalingen omtrent gegevensbescherming moeten worden opgesteld in nauwe samenwerking met het Europees Parlement en de EDPS.

Het Sloveense EU-voorzitterschap heeft naar aanleiding van de eerste discussieronde de bepalingen inzake gegevensbescherming aangepast. Onder het huidige voorzitterschap zijn de discussies over dataprotectie voortgezet. Het verloop van de besprekingen over dataprotectie zullen in de JBZ-raad van 28 november a.s. aan de orde komen. U zult hierover via de (aanvullende) geannoteerde agenda van de JBZ-raad worden geïnformeerd.

Voor Nederland belangrijke elementen ten aanzien van de dataprotectie zijn:

• luchtvaartmaatschappijen en de reisbranche, maar ook de autoriteiten die PNR-gegevens verzamelen, moeten transparantie betrachten ten aanzien van het feit dat zij deze gegevens verwerken en de doelen waarvoor zij dit doen;

• recht van inzage en correctie voor betrokkene moet zijn gewaarborgd;

• er dient een vorm van onafhankelijk toezicht te zijn op de verwerking van gegevens;

• de fysieke en elektronische toegang tot en de beveiliging van de gegevens moet gewaarborgd zijn;

• de bewaartermijn voor PNR-gegevens door de bevoegde nationale autoriteiten moet in verhouding staan tot de doeleinden waarvoor zij worden gebruikt;

• los van de vraag of één van de betrokken diensten het voortouw zal krijgen bij het beheer van de PIU, of dat dit een samenwerkingsverband wordt, verdient het vanuit een oogpunt van gegevensbescherming sterk de voorkeur te zijner tijd in Nederland één verantwoordelijke (dat wil zeggen verantwoordelijk in de zin van het gegevensbeschermingsrecht) voor het functioneren van de PIU aan te wijzen;

• de wijze waarop met gevoelige gegevens wordt omgegaan.

Als het ontwerpkaderbesluit wordt aangenomen zijn op PNR-gegevens ten minste de volgende gegevensbeschermingsregimes van toepassing:

• zolang de PNR gegevens uitsluitend worden verwerkt door de luchtvaartmaatschappij die zijn activiteiten verricht in de Europese Unie ten behoeve van eigen doeleinden, is de privacyrichtlijn 95/46/EG van toepassing;

• zodra de gegevens door de luchtvaartmaatschappij aan de PIU worden overgedragen en zolang de gegevens uitsluitend binnen de PIU worden verwerkt, gelden de artikelen 11, 11a t/m 11i en 12 van het ontwerpkaderbesluit;

• indien de gegevens mede betrekking hebben op een internationale vlucht die de Europese Unie verlaat naar een derde land dat zelf ook krachtens de nationale wetgeving vordert dat PNR-gegevens ter beschikking worden gesteld, gelden de in de desbetreffende regeling of verdrag genoemde regelingen voor gegevensbescherming;

• zodra de PIU gegevens ter beschikking stelt aan andere PIU’s of aan de bevoegde autoriteiten gelden de regels van het naar verwachting binnenkort vast te stellen kaderbesluit dataprotectie derde pijler;

• afhankelijk van de lidstaat die het betreft, kunnen ook nog nationale regels, die mogelijk een zwaarder niveau van gegevensbescherming voorschrijven, gelden.

Eén dataprotectieregime zou te prefereren zijn, maar dat is onder de huidige omstandigheden niet op korte termijn te realiseren vanwege de huidige pijlerstructuur van de Europese Unie. Dit kan alleen worden verbeterd indien het Verdrag van Lissabon in werking treedt.

Voorlopig zijn de Nederlandse inspanningen erop gericht te voorkomen dat de hierboven opgesomde wezenlijke elementen van de gegevensbescherming niet in deze regimes ontbreken en dat de beoogde regimes elkaar op zinvolle wijze aanvullen.

Lijst van gegevens die worden opgevraagd bij luchtvaartmaatschappijen

Het ontwerpkaderbesluit houdt geen verplichting jegens luchtvaartmaatschappijen in om in gevallen waarin nu geen PNR-gegevens worden verzameld, dit in de toekomst wel te gaan doen. Alleen beschikbare PNR-gegevens dienen te worden verstrekt.

Bij het opstellen van een lijst met data wordt rekening gehouden met internationale afspraken ten aanzien van het gebruik van PNR-gegevens.

Zoals hiervoor aangegeven is het van belang om naast PNR-gegevens, de beschikking te hebben over verifieerbare gegevens zoals API. In de lijst met data in het voorstel is opgenomen «any collected API information». Deze informatie zal echter alleen beschikbaar zijn als luchtvaartmaatschappijen voor andere landen of op grond van andere regelgeving dan dit ontwerpkaderbesluit deze informatie hebben verzameld. Het is onvoldoende duidelijk of het op basis van de huidige regelgeving mogelijk is om op grond van de doelstellingen «terrorismebestrijding, zware en/of georganiseerde criminaliteit luchtvaartmaatschappijen te verplichten deze API-gegevens te verzamelen, zoals dat in ieder geval mogelijk is voor immigratiedoeleinden op grond van richtlijn 2004/82/EG. Nederland heefttijdens de onderhandelingen diverse keren aandacht gevraagd voor dit probleem.

Stapsgewijze aanpak voor de invoering van dit PNR-systeem

Het Verenigd Koninkrijk heeft aangegeven dat het operationeel gezien noodzakelijk is om dit systeem in etappes op te zetten. Door het voorzitterschap is daarom voorgesteld om het opvragen van passagiersgegevens stapsgewijs in te voeren, met als doel uiteindelijk de beschikbare PNR gegevens van alle vluchten die onder de reikwijdte van het systeem vallen in te zamelen. Deze aanpak vindt brede steun. Nederland heeft wel aangegeven dat deze stapsgewijze invoering in goed overleg met de luchtvaartsector moet worden afgestemd, teneinde de lasten voor de luchtvaartmaatschappijen te minimaliseren.

Push-methode

Voorgesteld wordt om alleen de «push» methode te hanteren bij het aanleveren van de gegevens van luchtvaartmaatschappijen. Wel zal er een overgangsperiode gelden, die nog nader moet worden vastgesteld. Nederland kan zich hierin vinden.

Wijze van verstrekken van de PNR-gegevens

Het voorzitterschap stelt voor dat de passagiersgegevens tweemaal worden verstrekt, 48 uur voor vertrek en na het sluiten van de vlucht. In speciale, nog nader te definiëren, gevallen houden lidstaten de bevoegdheid extra verzoeken te doen. Bij de wijze van verzending van de gegevens zal worden aangesloten bij de ICAO normen terzake. Nederland kan zich vinden in de voorgestelde aanpak.

Aanwijzing van een nationale PIU

Het huidige voorstel voorziet erin dat elke lidstaat een overheidsinstantie aanwijst om dienst te doen als Passenger Information Unit (PIU). Deze PIU is verantwoordelijk voor het verzamelen van PNR-gegevens van de luchtvervoerders. Gevoelige gegevens worden door de PIU gewist. De PIU is voorts verantwoordelijk voor het analyseren van de PNR-gegevens en voor het uitvoeren van een risicobeoordeling van passagiers, gericht op het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven en georganiseerde criminaliteit.

De meeste lidstaten zijn voorstander van een decentrale vergaring van gegevens. Voorgesteld wordt om een duidelijke en precieze definitie op te stellen van de verdeling van de verantwoordelijkheden tussen de PIU en de bevoegde autoriteiten. Nederland kan zich vinden in de deze aanpak, waarbij lidstaten de ruimte wordt geboden om de PIU nationaal op eigen wijze verder in te vullen voor wat betreft de plaats en samenstelling. Echter, de wijze waarop de nationale PIU’s de persoonsgegevens verzamelen, dient geharmoniseerd te zijn om te voorkomen dat luchtvaartmaatschappijen de gegevens op 27 verschillende manieren moeten aanleveren.

Procedure voor (het opstellen van) risicoanalyses

Er is brede steun voor het analyseren van passagiersgegevens op basis van risicoindicatoren en door vergelijking met de relevante nationale, internationale en Europese gegevensbanken. Het opstellen van risicoindicatoren zal met name een nationale aangelegenheid blijven. Of het mogelijk is, en hoe, om binnen de EU samen te werken op dit terrein zal in een later stadium worden uitgewerkt.

Informatieve bijeenkomst

Met bovenstaande heb ik u geïnformeerd over de voortgang van de onderhandelingen en de ingenomen positie van Nederland tot nu toe.

In aanvulling hierop nodig ik u – indien gewenst – uit voor een informatief werkbezoek aan Schiphol, waarbij nader kan worden ingegaan op de Nederlandse ervaringen met het gebruik van passagiersgegevens voor wetshandhavingsdoeleinden. Daarnaast zijn het Verenigd Koninkrijk en de Europese Commissie graag bereid een nadere toelichting te geven.

Ik zal u op de hoogte houden van verdere ontwikkelingen.