34 861 Regels ter implementatie van richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PbEU 2016, L 119) (Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven)

32 761 Verwerking en bescherming persoonsgegevens

Nr. 39 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 maart 2024

Uit het Dreigingsbeeld Terrorisme Nederland van december 2023 blijkt dat de terroristische dreiging de afgelopen periode is toegenomen van niveau 3 naar 4. Dit betekent dat er een reële kans is dat een aanslag in Nederland zal plaatsvinden.1 Daarnaast blijft er een aanhoudende dreiging uitgaan van ernstige criminaliteit zoals mensenhandel en drugssmokkel.2 Terroristische en criminele netwerken gebruiken veelvuldig internationale reisroutes binnen en buiten het Schengengebied om hun terroristische en criminele activiteiten te ontplooien. Om te voorkomen dat terroristen of criminelen zich ongezien verplaatsen, is passend instrumentarium essentieel. Het gebruik van Passenger Name Record-gegevens (hierna: PNR-gegevens) is een belangrijk instrument dat bijdraagt aan het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, zonder de reismogelijkheden van gewone passagiers te beperken. In de uitvoering hiervan draagt de Passagiersinformatie-eenheid Nederland bij door met behulp van PNR-gegevens de mogelijke betrokkenheid van luchtvaartpassagiers bij een terroristisch of ernstig misdrijf te detecteren.

Het gebruik van PNR-gegevens is geborgd in de PNR-richtlijn3 en de «Wet gebruik passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven». Het verantwoordingsregime, dat integraal onderdeel uitmaakt van de PNR-richtlijn en de Nederlandse wet, schrijft voor dat de functionaris gegevensbescherming van de Passagiersinformatie-eenheid Nederland jaarlijks een rapportage opstelt zoals beschreven in artikel 18, tweede lid, van bovengenoemde wet. Hierbij bied ik u, mede namens de Minister van Defensie, de jaarrapportage van de functionaris gegevensbescherming van de Passagiersinformatie-eenheid Nederland over 2023 aan. Ik neem de aanbevelingen van de functionaris gegevensbescherming over. Hieronder ga ik graag in op de conclusie en het belangrijkste aandachtspunt van de functionaris gegevensbescherming, te weten, de meer geïntegreerde en gedocumenteerde privacy-aanpak om waarborgen van de bescherming van passagiersgegevens te verstevigen.

Daarnaast sta ik stil bij de aanbeveling van de functionaris gegevensbescherming ten aanzien van de implementatie van het arrest van het Hof van Justitie van de Europese Unie (hierna: het Hof)4.

Conclusie functionaris gegevensbescherming

Het gebruik van PNR-gegevens ter bestrijding van terrorisme en ernstige criminaliteit vraagt waarborgen op het gebied van privacy. De functionaris gegevensbescherming concludeert dat binnen de Passagiersinformatie-eenheid Nederland het management en de medewerkers zich bewust zijn van het belang van gegevensbescherming en dat zorgvuldig omgegaan wordt met de persoonsgegevens die worden verwerkt. De functionaris gegevensbescherming stelt daarnaast dat de wettelijke waarborgen voor het beschermen van persoonsgegevens die zijn gecontroleerd, aanwezig zijn en voldoende functioneren. Ook de interne cultuur en actiebereidheid om passagiersgegevens te beschermen zijn aanwezig bij de Passagiersinformatie-eenheid Nederland. Zo heeft de interne audit, die in 2023 heeft plaatsgevonden, laten zien dat de Passagiersinformatie-eenheid Nederland aan het overgrote deel van de gehanteerde normen voldoet en dat de geconstateerde verbeterpunten grotendeels al door de Passagiersinformatie-eenheid Nederland zijn opgepakt. Daarnaast geeft de functionaris gegevensbescherming in zijn jaarrapportage 2023 aan dat de belangrijkste aanbevelingen uit de jaarrapportage 2022, te weten uitvoering geven aan het arrest van het Hof en het inrichten van een meer geïntegreerde en gedocumenteerde privacy-aanpak opgevolgd dan wel in gang gezet zijn. De meer geïntegreerde en gedocumenteerde privacy-aanpak behelst een overkoepelend privacyraamwerk. Op deze wijze kan meer gedocumenteerd en planmatig invulling worden gegeven aan de bescherming van passagiersgegevens. De functionaris gegevensbescherming stelt dat de geadviseerde planmatige privacy aanpak weliswaar is gestart, maar ook in 2024 een belangrijk aandachtspunt blijft.

Meer geïntegreerde en gedocumenteerde privacy-aanpak

Zoals door de functionaris gegevensbescherming in 2023 is geconcludeerd, is naast de implementatie van het arrest van het Hof, waar hieronder verder op in wordt gegaan, gewerkt aan het opzetten en implementeren van een planmatige privacy aanpak. Zo is door de Passagiersinformatie-eenheid Nederland een overzichtslijst opgesteld van alle bevindingen en adviezen die afgelopen jaren zijn voortgekomen uit de verschillende audits en jaarrapportages van de functionaris gegevensbescherming. In lijn met het advies van de functionaris gegevensbescherming worden deze geïdentificeerde aandachts-en verbeterpunten het komend jaar op een gedocumenteerde wijze geprioriteerd, (gefaseerd) uitgevoerd en vervolgens gemonitord. Ook de uitkomsten van de door de Audit Dienst Rijk uitgevoerde privacy audit over de periode 2020–2023 worden hierin meegenomen evenals de specifiek genoemde aandachtspunten in deze rapportage. Denk hierbij onder andere aan de realisatie van een technische controlemogelijkheid voor de functionaris gegevensbescherming of de «op afstand van het onderzoek geplaatste Officier van Justitie» naar een vordering heeft gekeken.

Implementatie arrest van het Hof

De functionaris gegevensbescherming constateert dat zowel de verwerkingsverantwoordelijke als de Passagiersinformatie-eenheid Nederland veel tijd en energie hebben gestoken in het opvolgen van het arrest van het Hof uit 2022. Ik heb uw Kamer afgelopen jaar verschillende keren geïnformeerd over de wijze waarop ik invulling geef aan de uitspraak van het Hof.5 Alle afgekondigde maatregelen zijn inmiddels ontwikkeld, geïmplementeerd en geborgd binnen de Passagiersinformatie-eenheid Nederland en worden op specifieke punten aangescherpt waarna de «Wet gebruik passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» zal worden aangepast. Zoals de functionaris gegevensbescherming in zijn rapportage aangeeft, is de functionaris gegevensbescherming betrokken bij de hiertoe geïmplementeerde maatregelen. De functionaris gegevensbescherming constateert dat de maatregelen «een goede balans lijken te hebben tussen het doel van de PNR-wet enerzijds (bestrijding van terroristische en ernstige misdrijven) en de bescherming van persoonsgegevens anderzijds». Ik deel deze conclusie van de functionaris gegevensbescherming en ben van mening dat ik met deze maatregelen invulling geef aan een evenredig en proportioneel pakket aan maatregelen en waarborgen die noodzakelijk zijn voor de bestrijding van terrorisme en zware criminaliteit, met de noodzakelijke bescherming van persoonsgegevens. Ik onderschrijf de aanbeveling van de functionaris gegevensbescherming dat het van belang blijft om continu te blijven monitoren en te evalueren of de verzameling en verwerking van passagiersgegevens inderdaad beperkt blijft tot het strikt noodzakelijke – conform de uitleg van het Hof. Hierbij volg ik de ontwikkelingen ten aanzien van de eenduidige implementatie van het arrest van het Hof in Europa en zal ik op Europees niveau het belang van een sterke informatiepositie van de verschillende lidstaten in de strijd tegen terrorisme en ernstige criminaliteit blijven adresseren.

Het komende jaar zal ik mij blijven inzetten om ernstige criminaliteit en terrorisme zo effectief mogelijk te bestrijden. Waarbij de Passagiersinformatie-eenheid Nederland, als noodzakelijke randvoorwaarde, een zo hoog mogelijk niveau van bescherming van persoonsgegevens in acht neemt. Hierbij is het van groot belang dat het recht op de eerbiediging van de persoonlijke levenssfeer, het recht op bescherming van persoonsgegevens en het recht op non-discriminatie worden gerespecteerd. Hier zal ik ook het komende jaar onverminderde aandacht voor hebben.

De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius


X Noot
1

Dreigingsbeeld Terrorisme Nederland (december 2023) (Kamerstuk 29 754, nr. 696).

X Noot
2

Kamerstuk 29 911, nr. 433.

X Noot
3

Richtlijn (EU) 2016/681 van het Europees parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit.

X Noot
4

Zie voor de uitspraak: HvJ EU 21 juni 2022, C-817/19, ECLI:EU:C:2022:491, (Ligue des droits humains).

X Noot
5

In het commissiedebat van 7 juni 2023 en 20 december 2023 (Kamerstuk 29 754, nrs. 687 en 709) en Kamerstukken II, 2022/2023, 34 861, nrs. 36 en 38.

Naar boven