Kamerstuk

Datum publicatieOrganisatieVergaderjaarDossier- en ondernummer
Tweede Kamer der Staten-Generaal2017-201834861 nr. 6

34 861 Regels ter implementatie van richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PbEU 2016, L 119) (Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven)

Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 11 april 2018

INHOUDSOPGAVE

Blz.

   

I. ALGEMEEN

2

   

1. Inleiding

2

2. Hoofdlijnen van het wetsvoorstel

2

2.1. De reikwijdte van de PNR-richtlijn en het wetsvoorstel

2

2.2. De Passagiersinformatie-eenheid (Pi-NL)

14

2.3. Informatie uitwisseling tussen de lidstaten, met Europol en doorgifte aan derde landen

18

2.4. Gegevensbescherming en -beveiliging

19

3. Uitvoeringslasten

20

4. Advies en consultatie

20

5. Advies van het HvJEU betreffende uitwisseling PNR EU-Canada

21

6. Evaluatie

27

7. Overig

27

   

II. ARTIKELSGEWIJS

29

I. ALGEMEEN

1. Inleiding

Met belangstelling heb ik kennis genomen van het verslag. Ik spreek mijn dank uit dat uw Kamer zo snel na indiening van het onderhavige implementatiewetsvoorstel verslag heeft uitgebracht. Voorts ben ik de Kamer erkentelijk voor de aandacht die aan het voorstel is geschonken en de daarover gestelde vragen.

De doelstelling van de PNR-richtlijn en het wetsvoorstel is niet alleen de bescherming van de veiligheid van personen maar ook het stellen van voorschriften aan de op te richten passagiersinformatie-eenheid (Pi-NL) en de bevoegde autoriteiten bij het verwerken van PNR-gegevens ter bescherming deze gegevens. Het kabinet ziet een duidelijke meerwaarde voor de Europese Unie in het voorstel en een belangrijk instrument om de georganiseerde misdaad en het terrorisme te bestrijden, met voldoende waarborgen ter bescherming van de persoonlijke levenssfeer van de passagiers. Met het oog op voormelde doelen is het van groot belang dat de PNR-wet zo snel mogelijk in werking kan treden.

2. Hoofdlijnen van het wetsvoorstel

2.1. De reikwijdte van de PNR-richtlijn en het wetsvoorstel

Vraag 1 (CDA)

De leden van de CDA-fractie lezen wat betreft de verwerking van persoonsgegevens dat de Koninklijke Marechaussee (KMar) op basis van de Vreemdelingenwet 2000 PNR-gegevens en Advance Passenger Information (API)-gegevens kan ontvangen en verwerken ten behoeve van de uitoefening van haar opsporingstaken. Daarnaast kunnen verzamelde gegevens op basis van de PNR-richtlijn niet verwerkt worden ten behoeve van de handhaving van de openbare orde. Kan de regering aangeven hoe dit zal werken in de praktijk? Dient de KMar aan te geven op welke grond (PNR-richtlijn of Vreemdelingenwet 2000) gegevens zijn verwerkt? Kan het voorkomen dat men gegevens heeft verzameld op basis van de PNR-richtlijn, maar ze daarna verwerkt op basis van verwerkingsdoeleinden die voortvloeien uit de Vreemdelingenwet 2000? Zo ja, is dat toegestaan?

Voordat ik inga op de vragen van de leden van de CDA-fractie, zet ik graag de taken van de Pi-NL uiteen. Ik stel voorop dat de Pi-NL een zelfstandige eenheid is. De bevoegdheden uit hoofde van het wetsvoorstel zijn rechtstreeks geattribueerd aan de Pi-NL. Dit is in de eerste plaats het verwerken van de PNR-gegevens die de Pi-NL van de luchtvaartmaatschappijen heeft verkregen, en het doorgeven van die gegevens of het resultaat van de verwerking ervan aan de bevoegde instanties. Daarnaast heeft de Pi-NL tot taak zowel de PNR-gegevens als het resultaat van de verwerking ervan met de PIU’s (passenger information units) van andere lidstaten en met Europol uit te wisselen. Er gelden strikte regels voor de verwerking van gegevens door de Pi-NL. Zo zijn de verwerkingsdoeleinden en de wijze waarop de gegevens voor deze doelen door de Pi-NL mogen worden verwerkt limitatief bepaald.

De Pi-NL verwerkt de PNR-gegevens uitsluitend voor bepaalde doelen. Daartoe behoort het beoordelen van de passagiers vóór hun geplande aankomst in of gepland vertrek uit Nederland om te bepalen welke personen zouden moeten onderworpen aan een nader onderzoek door de in de wet aangewezen bevoegde instanties (waaronder de politie, de Koninklijke marechaussee (Kmar) en het openbaar ministerie) of Europol, omdat zij betrokken zouden kunnen zijn bij een terroristisch misdrijf of ernstige criminaliteit. Daartoe behoort eveneens het per geval op verzoek inwilligen van een gemotiveerd verzoek van de bevoegde instanties om PNR-gegevens te verstrekken en te verwerken ten behoeve van het voorkomen, opsporen, onderzoeken en vervolgen van terroristische of ernstige criminaliteit, en de resultaten van deze verwerking aan die instanties of, in voorkomend geval, Europol mee te delen. Tot slot is de Pi-NL bevoegd om de PNR-gegevens te analyseren voor het opstellen en aanpassen van criteria die worden gebruikt bij het bovengenoemde beoordelen van de passagiers vóór hun geplande aankomst in of gepland vertrek uit Nederland om te bepalen welke personen moeten onderworpen aan een nader onderzoek. Naast de taken die in artikel 5 van het wetsvoorstel zijn opgenomen heeft de Pi-NL op grond van artikel 13 van het wetsvoorstel de bevoegdheid om, onder voorwaarden, PNR-gegevens en zo nodig het verwerkingsresultaat van die gegevens aan een autoriteit van een derde land door te geven.

De Pi-NL is een zelfstandige eenheid, die weliswaar beheersmatig wordt ondergebracht bij de KMar, maar geen onderdeel vormt van de KMar. De PNR-gegevens zijn niet rechtstreeks raadpleegbaar door de KMar. De KMar moet ten opzichte van de Pi-NL worden aangemerkt als een bevoegde instantie, evenals bijvoorbeeld de politie. De taken van de Pi-NL maken geen deel uit van de politietaken die aan de KMar zijn opgedragen op grond van artikel 4 van de Politiewet 2012.

De informatieverwerking door de Pi-NL zal plaatsvinden in het gesloten systeem Travel Information Portal (TRIP), omdat de verwerkingsdoeleinden en de wijze waarop de PNR-gegevens voor deze doeleinden worden verwerkt limitatief zijn bepaald en afwijken van het gegevensverwerkingsregime van de KMar. De KMar heeft geen toegang tot dit systeem. Zij zal als een van de aangewezen bevoegde instanties in de zin van artikel 9 van het wetsvoorstel alleen door tussenkomst van de Pi-NL informatie ontvangen uit het systeem, namelijk in gevallen waarin er een positieve overeenkomst is van een verwerking van PNR-gegevens door de Pi-NL na vergelijking van databanken of analyse van risico-criteria.

De verwerkingsdoeleinden alsmede de wijze waarop PNR-gegevens door de PIU’s van de lidstaten mogen worden verwerkt zijn limitatief voorgeschreven in artikel 1, tweede lid, en artikel 6 van de PNR-richtlijn. Gezien de limitatieve verwerkingsdoeleinden en werkwijze zal de informatieverwerking in de eenheid in een gesloten systeem moeten plaatsvinden. In dit licht is dan ook in de PNR-richtlijn aangegeven dat de PNR-gegevens dienen te worden doorgegeven aan één enkele aangewezen PIU in de betrokken lidstaat. Verder dienen de lidstaten ervoor te zorgen dat hun PIU passende technische en organisatorische maatregelen en procedures ten uitvoer legt om een hoog veiligheidsniveau te waarborgen dat passend is voor de risico's die de verwerking en de aard van de PNR-gegevens met zich brengen. De Europese Commissie heeft aangegeven dat directe toegang tot PNR-gegevens exclusief is voorbehouden aan PIU-medewerkers. Alle medewerkers van de Pi-NL vallen onder het gezag van het hoofd van de Pi-NL. De medewerkers voeren hun taak uit binnen de kaders als gesteld in het wetsvoorstel. Bevoegde instanties kunnen gegevens opvragen en of ontvangen van een Pi-NL met inachtneming van de verwerkingsdoeleinden. Bevoegde instanties hebben geen directe toegang tot de PNR-gegevens.

De leden van de CDA-fractie stellen terecht dat de KMar op basis van de Vreemdelingenwet 2000 Advance Passenger Information (API)-gegevens van de vervoerders kan ontvangen en verwerken, dit ten behoeve van de uitvoering van de haar bij of krachtens de Vreemdelingenwet 2000 opgedragen taken.1 Anders dan deze leden echter menen, biedt de Vreemdelingenwet 2000 geen grondslag voor het verstrekken van PNR-gegevens door de Pi-NL aan de KMar. Wel ontvangt de KMar op grond van het voorliggende wetsvoorstel, omdat zij een van de in dit wetsvoorstel aangewezen bevoegde instanties is, PNR-gegevens of verwerkingsresultaten van de gegevens van de Pi-NL voor de opsporing van ernstige criminaliteit en terrorisme (artikel 9, van het wetsvoorstel).2 Verwerkingsresultaten betreffen een positieve overeenkomst van een beoordeling van de PNR-gegevens door de Pi-NL als bedoeld in artikel 6 van het wetsvoorstel. Dit betreft het beoordelen van passagiers voorafgaand aan hun geplande aankomst in of geplande vertrek uit Nederland, om te bepalen welke personen vanwege mogelijke betrokkenheid bij een terroristisch of ernstig misdrijf moeten worden onderworpen aan een nader onderzoek door een bevoegde instantie of Europol.

Deze leden stellen verder met juistheid dat de op basis van de PNR-richtlijn verzamelde gegevens niet verwerkt kunnen worden ten behoeve van de handhaving van de openbare orde. In het wetsvoorstel is conform de PNR-richtlijn immers vastgelegd dat een bevoegde instantie, waaronder de KMar, de van de Pi-NL ontvangen PNR-gegevens of het verwerkingsresultaat van die gegevens uitsluitend ontvangt en eventueel verder verwerkt voor het voorkomen, opsporen, onderzoeken of vervolgen van terroristische of bepaalde ernstige misdrijven (richtlijndoelen). 3 Het is dus niet toegestaan dat de KMar PNR-gegevens, die zij ontvangt van de Pi-NL op basis van de PNR-richtlijn, verwerkt voor andere dan de richtlijndoelen.

Vraag 2 (CDA)

Deze leden lezen dat luchtvaartmaatschappijen verplicht worden de passagiersgegevens waarover zij beschikken ten behoeve van hun bedrijfsvoering te verstrekken aan de passagiersinformatie-eenheid (Pi-NL). Dit gebeurt op basis van de push-methode. Dat houdt in dat luchtvaartmaatschappijen zelf de gegevens doorgeven aan de databank en verantwoordelijk zijn voor de kwaliteit van de aangeleverde gegevens. De leden van de CDA-fractie vragen wat de gevolgen zijn van niet of gebrekkig naleven van deze verplichting voor de luchtvaartmaatschappij. Hebben de luchtvaartmaatschappijen gereageerd op de PNR-richtlijn? Zo ja, wat was de strekking van deze reactie?

De luchtvaartmaatschappijen zijn nauw betrokken bij de verschillende stappen in het implementatietraject van de richtlijn om de impact op de sector zo veel mogelijk te beperken. Alle luchtvaartmaatschappijen die van en naar Nederland vliegen zijn in 2016 geïnformeerd over de publicatie van de PNR-richtlijn en de daarop gebaseerde verplichting van luchtvaartmaatschappijen om de PNR-gegevens aan de Pi-NL te verstrekken.

Luchtvaartmaatschappijen hebben via de internationale brancheorganisatie (IATA) richting de Europese Commissie gereageerd op de PNR-richtlijn. Ook hebben zij direct gereageerd naar hun nationale overheden en ook naar de Nederlandse overheid. De strekking van de reacties van de luchtvaartmaatschappijen is dat zij aan de nieuwe wet- en regelgeving zullen voldoen en dat zij de onderliggende noodzaak begrijpen. Zij vragen ook aandacht voor de door hen te leveren noodzakelijke inspanningen om de informatie aan te leveren en het belang van een uniforme Europese aanpak. Nederland heeft een actieve rol gespeeld bij de totstandkoming van het Uitvoeringsbesluit van de Europese Commissie waarin een eenduidige aanleveringswijze van de PNR-gegevens door de luchtvaartmaatschappijen is vastgelegd.4 Daarnaast neemt Nederland deel aan IATA-bijeenkomsten waarbij luchtvaartmaatschappijen en overheden de laatste ontwikkelingen over de leveringswijze bespreken en afstemmen.

Luchtvaartmaatschappijen worden verplicht de PNR-gegevens waarover zij beschikken ten behoeve van hun bedrijfsvoering te verstrekken. Het betreft zodoende een leveringsverplichting, en geen verzamelverplichting. In het geval dat een luchtvaartmaatschappij niet voldoet aan haar verplichtingen die bij of krachtens de PNR wet zijn gesteld, kan overtreding daarvan worden gestraft met een hechtenis van ten hoogste zes maanden of een geldboete van de vierde categorie (artikel 24 van het wetsvoorstel).5 Voor het sanctioneringsregime wordt aangesloten bij het – bij de luchtvaartmaatschappijen reeds bekende – regime in het kader van de verplichting van de luchtvaartmaatschappijen om API-gegevens aan de KMar te verstrekken op grond van artikel 4 van de Vreemdelingenwet 2000.6

Het sanctioneringsregime ziet er als volgt uit. Indien een luchtvaartmaatschappij niet of onvolledig voldoet aan haar leveringsverplichting, wordt zij hierop aangesproken door de Pi-NL. Indien zich dit vaker of structureel voordoet, ontvangt de luchtvaartmaatschappij een waarschuwing van de Pi-NL. Na deze eerste waarschuwing krijgt een luchtvaartmaatschappij zeven dagen de tijd om alsnog de juiste of volledige informatie door te sturen. Op het moment van een eerste waarschuwing start tevens een «trial period» van 90 dagen. Indien in deze 90 dagen alle data correct worden ontvangen, eindigt de «trial period». Indien echter in deze periode data opnieuw niet juist of onvolledig worden aangeleverd, start een nieuwe termijn van zeven dagen om alsnog aan de verplichting te voldoen en krijgt de luchtvaartmaatschappij een tweede waarschuwing. Indien de Pi-NL constateert dat tijdens de «trial period» een luchtvaartmaatschappij een derde keer niet voldoet aan haar verplichting, wordt een proces-verbaal opgemaakt.7 Dit proces-verbaal wordt tezamen met de eerdere waarschuwingen doorgestuurd naar het OM, dat tot sanctionering kan besluiten.8

Vraag 3 (CDA)

Verder kunnen nadere regels worden gesteld over de wijze waarop gegevens zullen moeten worden verstrekt in een ministeriële regeling. Is dit op dit moment voldoende duidelijk voor luchtvaartmaatschappijen? Is het systeem dat wordt gehanteerd geschikt voor de verplichte anonimisering van de gegevens na zes maanden? Kan de regering aangeven of deze ministeriële regeling klaar is ten tijde van de inwerkingtreding van de PNR-richtlijn om zo luchtvaartmaatschappijen voldoende duidelijkheid te verschaffen in hoe zij hun gegevens dienen te verstrekken?

De wijze waarop PNR-gegevens door de luchtvaartmaatschappijen moeten worden verstrekt is gebaseerd op het Uitvoeringsbesluit van de Europese Commissie dat op 28 april 2017 is gepubliceerd.9 Het besluit houdt rekening met de huidige industriestandaards voor het verzenden van PNR-gegevens. Het is bindend voor de luchtvaartmaatschappijen en rechtstreeks toepasselijk, zodat het nadere regels op nationaal niveau over transmissieprotocollen en dataformaten overbodig maakt.

Als extra dienstverlening ten behoeve van de luchtvaartmaatschappijen is door het Ministerie van Justitie en Veiligheid aansluitdocumentatie (Implementation Guide en Connectivity Kits) opgesteld, waarin zowel de transmissieprotocollen, dataformaten (beide gebaseerd op voormeld besluit) als de momenten waarop de luchtvaartmaatschappijen de PNR-gegevens aan de Pi-NL dienen te verstrekken, de zogenaamde push-momenten zijn opgenomen. De push-momenten worden daarnaast vastgelegd in een ministeriële regeling, zoals artikel 4, tweede en vijfde lid van het wetsvoorstel voorschrijft.10 Het betreft drie momenten: 48 uur en 24 uur voor het geplande vertrek van de vlucht én onmiddellijk na het aan boord gaan van de passagiers. Deze regeling wordt van kracht bij de inwerkingtreding van de PNR-wet. In de praktijk is gebleken dat de opgestelde aansluitdocumentatie voldoende duidelijk is voor luchtvaartmaatschappijen.

In Nederland is meer dan de helft van de luchtvaartmaatschappijen inmiddels technisch aangesloten op de testomgeving van de technische voorziening TRIP waarvan Pi-NL gebruik zal gaan maken voor het opslaan en verwerken van de PNR-gegevens. Een ander deel van de luchtvaartmaatschappijen is bezig met de technische voorbereidingen om de PNR-gegevens te ontsluiten voor Pi-NL. Ook zijn er luchtvaartmaatschappijen die, ondanks voorlichting over de aanstaande PNR-wet, de publicatie ervan afwachten alvorens zij voorbereidingen treffen om gegevens aan de Pi-NL te leveren. Zoals blijkt uit mijn antwoord op vraag 2 (CDA) is er al twee jaar intensief contact met de luchtvaartmaatschappijen, zodat zij tijdig maatregelen kunnen nemen om aan hun verplichting op grond van de PNR-richtlijn te voldoen.

Ten slotte merk ik in antwoord van deze leden op dat de technische voorziening TRIP, waarin door de Pi-NL de PNR-gegevens worden verwerkt, beschikt over de functionaliteit om gegevens zes maanden na ontvangst geautomatiseerd te depersonaliseren, zoals de PNR-richtlijn en het wetsvoorstel voorschrijft. Depersonalisering betreft het afschermen van gegevens waaruit rechtstreeks de identiteit van een persoon kan worden afgeleid.11

Vraag 4 (D66)

De leden van de D66-fractie vragen de regering nader in te gaan op de noodzaak en de proportionaliteit van het wetsvoorstel. Deze leden vragen met name een nadere toelichting op de noodzaak om van grote groepen onschuldige burgers gegevens langdurig op te slaan. Kan de regering statistisch onderbouwen dat deze richtlijn een wezenlijke bijdrage kan leveren aan het bestrijden van ernstige criminaliteit en terrorisme? Wat is de reden, als de regering die noodzaak inderdaad kan aantonen, dat er gekozen is voor vrijblijvendheid aangaande het delen van informatie tussen lidstaten? Wat is de reden dat er gekozen is voor een bewaarplicht van vijf jaar en een afschermtermijn van zes maanden? Hoe ziet de regering deze termijnen in het licht van de uitspraak van het Hof over de PNR-overeenkomst met Canada? Wat is de reden dat gekozen is voor misdrijven met een gevangenisstraf van drie jaar of meer? Waarom is ervoor gekozen om ook intra-EU vluchten op te nemen in de richtlijn, terwijl dit slechts 9% van het intra-EU vervoer vormt?

De afwegingen inzake de noodzaak van het verzamelen, verwerken en bewaren van de gegevens voor het bestrijden van ernstige criminaliteit en terrorisme zijn gemaakt bij de totstandkoming van de PNR-richtlijn. Daarbij is enerzijds oog geweest voor het maatschappelijk belang, de noodzaak om de interne veiligheid van de lidstaten en van Europese Unie beter te waarborgen. Anderzijds stonden in de onderhandelingen ook het waarborgen van gegevensbescherming en de proportionaliteit en subsidiariteit van deze maatregel centraal. In dat verband zijn mede de overwegingen van de PNR-richtlijn met betrekking tot het doel (overwegingen 5, 6 en 7), het verzamelen van de gegevens (overweging 8 en 9) en de bewaartermijn (overweging 25) relevant. Daarin is vermeld dat een doeltreffend gebruik van PNR-gegevens, onder meer door PNR-gegevens te vergelijken met diverse databanken van gezochte personen en voorwerpen en te vergelijken met risico-criteria, noodzakelijk is om terroristische misdrijven en bepaalde ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen en zo de interne veiligheid te bevorderen.12 Die analyse, zoals voorgeschreven in de PNR-richtlijn en het wetsvoorstel, is nodig omdat de reisbewegingen van (potentiële) terroristen en criminelen vaak moeilijk zijn na te gaan door onder meer de beperkte beschikbaarheid van de PNR-gegevens. Daarmee vormt voormelde de analyse een waardevolle aanvulling op de bestaande bevoegdheden en middelen van de opsporingsinstanties.

De risico-criteria, aan de hand waarvan de Pi-NL PNR-gegevens kan analyseren, dienen uiteraard dusdanig scherp te zijn opgesteld dat het systeem zo weinig mogelijk onschuldige personen aanduidt.

Het op de in de PNR-richtlijn en het wetsvoorstel vormgegeven wijze verzamelen en analyseren van de PNR-gegevens van alle passagiers zal daarom bijdragen aan het voorkomen, opsporen, vervolgen en onderzoeken van terroristische en ernstige misdrijven, waaronder het vergaren van bewijsmateriaal met betrekking tot die delicten, alsmede het in kaart brengen van criminele netwerken en hun slachtoffers. Door de tragische gebeurtenissen van de afgelopen jaren is gebleken dat terroristen en zware criminelen wanneer zij reizen vaak niet kunnen worden gedetecteerd. Met behulp van de analyse van PNR-gegevens wordt het mogelijk om personen en hun netwerken te identificeren en naar wie bevoegde instanties nader onderzoek kunnen verrichten op basis van hun bestaande bevoegdheden. De rechten van de passagiers zullen daarbij worden gewaarborgd op een wijze zoals door het Kaderbesluit 2008/977/JBZ en de toekomstige vervangende wetgeving daarvoor en de PNR-richtlijn wordt vereist.

In antwoord op de vragen van de leden van de D66-fractie naar een statistische onderbouwing van de effectiviteit van de richtlijn, breng ik het volgende naar voren. Statistische onderbouwing zoals deze leden die wensen, is niet voorhanden. De Europese Commissie voerde ter begeleiding van de PNR-richtlijn een impactassessment uit. Conclusie van de impactstudie luidt dat een richtlijn gericht op het gedecentraliseerd (dit betekent op nationaal niveau) verzamelen van PNR-gegevens van de luchtvaartmaatschappijen noodzakelijk is om de veiligheid binnen de EU te vergroten en tegelijkertijd de kaders van het gegevensbeschermingsrecht in acht te nemen.13 Op grond van artikel 19 van de PNR-richtlijn zal de Europese Commissie uiterlijk 25 mei 2020 een evaluatie uitvoeren van de PNR-richtlijn en daarover verslag doen aan de Raad en het Europees Parlement. Daartoe verstrekken de lidstaten de Europese Commissie de nodige (statistische) gegevens over het aantal passagiers van wie PNR-gegevens zijn verzameld en uitgewisseld en het aantal voor nader onderzoek aangemerkte passagiers.

De leden van de D66-fractie stellen voorts de vraag waarom gekozen is voor vrijblijvendheid aangaande het delen van informatie tussen lidstaten. Daarover wil ik opmerken dat de lidstaten volgens de PNR-richtlijn (artikel 9) ervoor dienen te zorgen dat met betrekking tot personen die door de Pi-NL zijn aangemerkt als personen naar wie bevoegde instanties nader onderzoek moeten verrichten, door de Pi-NL alle relevante en noodzakelijke PNR-gegevens of het verwerkingsresultaat van die gegevens wordt overgedragen aan de PIU’s van andere lidstaten. Een dergelijke verplichting geldt vanzelfsprekend ook omgekeerd. Dit betekent een verplichting van de lidstaten om onderling relevante PNR-gegevens of verwerkingsresultaten met elkaar te delen; van een vrijblijvendheid van het delen van informatie is geen sprake. Deze verplichting is vastgelegd in artikel 10 van het wetsvoorstel.

Over de bewaartermijn wordt in de considerans van de PNR-richtlijn (overweging 25) het volgende opgemerkt: «De bewaartermijn voor PNR-gegevens dient zo lang te zijn als noodzakelijk is voor en evenredig te zijn aan de doelstellingen, namelijk het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Gezien de aard van de gegevens en het gebruik ervan dienen de PNR-gegevens lang genoeg te worden bewaard om er een analyse mee te kunnen uitvoeren en ze bij onderzoek te kunnen gebruiken. Ter voorkoming van onevenredig gebruik dienen de gegevens na de initiële bewaartermijn door afscherming van gegevenselementen te worden gedepersonaliseerd. Om te zorgen voor het hoogste niveau van gegevensbescherming, dient toegang tot de volledige PNR-gegevens, waarmee de betrokkene rechtstreeks kan worden geïdentificeerd, uitsluitend onder zeer strikte en restrictieve voorwaarden te worden toegestaan na die initiële bewaartermijn.» Tegen deze achtergrond is in de PNR-richtlijn gekozen voor een bewaartermijn van vijf jaar; deze termijn wordt geacht niet langer te zijn dan noodzakelijk (artikel 12 van de PNR-richtlijn en artikel 20, eerste lid, onder a, van het wetsvoorstel). De PNR-richtlijn schrijft deze bewaartermijn voor en laat geen ruimte voor een afwijkende termijn. De PNR-gegevens worden, zoals hiervoor in antwoord op vraag 3 van de leden van de CDA-fractie opgemerkt, zes maanden na ontvangst ervan door de Pi-NL gedepersonaliseerd door afscherming van de identificerende gegevens. Indien er in een vordering aan de Pi-NL door een bevoegde instantie om identificerende gegevens wordt gevraagd van ouder dan 6 maanden is altijd toestemming van de officier van justitie vereist en een kennisgeving aan de functionaris voor gegevensbescherming, die voormelde verwerking achteraf controleert.

Wat betreft de vraag van de leden van de D66-fractie naar de bewaartermijnen in het licht van het advies van het Hof van Justitie EU over de voorgenomen PNR-overeenkomst tussen de EU en Canada verwijs ik deze leden graag naar de antwoorden in paragraaf 5.

De leden van de D66-fractie vragen ook waarom is gekozen voor misdrijven met een gevangenisstraf van drie jaar of meer. De PNR-richtlijn is gericht op terrorisme en ernstige criminaliteit. Tijdens de onderhandelingen in de Triloog is overeengekomen dat ernstige misdrijven zoals opgenomen in de PNR-richtlijn beperkt zijn tot de ernstige misdrijven zoals opgenomen in bijlage 2 van de PNR-richtlijn. Deze grens is een afweging geweest tussen de ernst van de misdrijven en de proportionaliteit. De strafbare feiten komen grotendeels overeen met de lijst van strafbare feiten in het Kaderbesluit 2002/584/JBZ van de Raad van 13 juni 2002 betreffende het Europees aanhoudingsbevel en de procedures van overlevering tussen de lidstaten (Kaderbesluit EAB). 14 Ook wat de grens van drie jaar betreft biedt de PNR-richtlijn geen ruimte om hiervan af te wijken.

D66 stelt terecht dat het intra-EU vluchtverkeer maar een gedeelte vormt van al het intra-EU-vervoer en dat de PNR-richtlijn uitsluitend ziet op PNR-gegevens van luchtvaartmaatschappijen. Criminelen en terroristen verplaatsen zich op diverse manieren binnen de EU (auto, trein, bus, vliegtuig). Omdat de PNR-richtlijn van toepassing wordt op de passagiersstromen van het intra-EU-luchtvervoer, kan in ieder geval een deel van de reisbewegingen in beeld worden gebracht met het doel om terrorisme en ernstige criminaliteit te voorkomen en op te sporen. In paragraaf 2 bij vraag 6 van de SP-fractie ga ik in op de noodzaak om intra-EU vluchten op te nemen in de wetgeving.

De PNR-richtlijn laat het aan de lidstaten over om PNR-gegevens te verwerken van andere internationale vervoerders. Eerder is door mijn voorganger aan uw Kamer gemeld dat met Frankrijk, België en het Verenigd Koninkrijk een gezamenlijk assessment wordt uitgevoerd voor het gebruik van PNR-gegevens van internationale hogesnelheidstreinen (Thalys en Eurostar). Het gaat om een verkennend onderzoek waarin de impact voor zowel de High Speed Train-vervoerders als de reizigers in kaart wordt gebracht. De twee eerder genoemde vervoerders werken op vrijwillige basis mee. 15

Vraag 5 (GroenLinks)

Inhoudelijk stellen de leden van de GroenLinks-fractie de vraag aan de orde of deze verstrekkende maatregel effectief zal blijken te zijn in de strijd tegen terrorisme en andere ernstig misdrijven. De PNR- en API-gegevens van miljoenen onverdachte burgers zullen voor de duur van vijf jaar (met een depersonalisering na zes maanden) raadpleegbaar gemaakt worden voor de op te richten Pi-NL, die vervolgens relevante informatie doorspeelt aan bevoegde instanties, Passenger Information Units (PIU’s) van andere lidstaten, Europol en derde landen voor nader onderzoek. In de praktijk zal het dus om een zeer omvangrijke gegevensverzameling gaan die meerdere jaren beslaat. Deze leden vragen hoe deze opzet zich verhoudt tot de proportionaliteit- en subsidiariteitseisen. Staat de rechtsinbreuk die burgers zullen ondervinden in verhouding tot het aantal misdrijven dat door deze maatregel zullen worden voorkomen en opgespoord? Daarnaast voelen zij de behoefte aan een duidelijke analyse van de reeds bestaande mogelijkheden en systemen en hun eventuele tekortkomingen die nopen tot de introductie van deze PNR-systemen.

Voor het antwoord op de vragen van de leden van de GroenLinks-fractie over de effectiviteit van de voorgestelde maatregel verwijs ik graag naar mijn antwoord op vraag 4 van de D66-fractie.

Deze leden vragen voorts hoe deze omvangrijke gegevensverzameling zich verhoudt tot de proportionaliteit- en subsidiariteitseisen. Daarover zou ik graag het volgende naar voren brengen.

In de memorie van toelichting bij het wetsvoorstel wordt ingegaan op de proportionaliteit en de subsidiariteit van de gegevensverwerking als hier voorgesteld.16 Daarin wordt vermeld dat met het oog op de beginselen van proportionaliteit en subsidiariteit is gestreefd naar een zo beperkt mogelijke inperking van het recht op eerbiediging van de persoonlijke levenssfeer. Zo is het verwerken van bijzondere categorieën van persoonsgegevens niet toegestaan. Bijzondere categorieën van persoonsgegevens zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.17 De PNR-gegevens mogen alleen op Europees grondgebied worden opgeslagen en mogen door de Pi-NL niet langer dan vijf jaar worden bewaard, waarna zij moeten worden gewist. Bovendien moeten de persoonsgegevens na zes maanden worden gedepersonaliseerd en zijn deze gegevens daarna uitsluitend toegankelijk ter uitvoering van een vordering in een opsporingsonderzoek in een bepaald geval en voor analyses en het opstellen van risico-criteria, maar dat vindt plaatst op niet-persoonsgegevensgebonden niveau. Voorts zijn er met het oog op de proportionaliteit controlemechanismen aanwezig. Voor de verstrekking van de persoonsgegevens op verzoek van een bevoegde instantie (bijvoorbeeld politie) na zes maanden is toestemming van de officier van justitie vereist en mededeling aan de functionaris voor gegevensbescherming van de Pi-NL, welke wordt belast met de controle op de gegevensverwerking door de Pi-NL en op de adequate uitvoering van de waarborgen voor de gegevensbescherming. Iedere verwerking van de PNR-gegevens wordt gelogd en gedocumenteerd, zodat de rechtmatigheid van de verwerking kan worden gecontroleerd, interne controle kan worden uitgeoefend en de integriteit van de gegevens en een beveiligde bewerking kunnen worden gewaarborgd. Ook wordt gewaarborgd dat controle plaatsvindt ten aanzien van de geautomatiseerde verwerking van de gegevens door menselijke tussenkomst. Er is voorzien in een menselijke tussenkomst alvorens een positieve overeenkomst bij een verwerking door de Pi-NL aan een bevoegde instantie (zoals de politie) wordt doorgegeven.18 De Autoriteit persoonsgegevens zal als nationale toezichthoudende autoriteit worden belast met het adviseren over en het toezicht op de wijze van verwerking van de PNR-gegevens.

Wat betreft de subsidiariteit van de voorgestelde maatregelen merk ik op dat het nagaan van reisbewegingen van gezochte verdachten op dit moment alleen mogelijk is door het bij de luchtvaartmaatschappijen vorderen van PNR-gegevens in het belang van een opsporingsonderzoek. Omdat het in een opsporingsonderzoek niet altijd duidelijk is met welke luchtvaartmaatschappij betrokkene reist, van of naar welke bestemming of op welk tijdstip, is het vaak moeilijk om de gezochte informatie te verkrijgen. Ook kunnen onderzoeken daardoor zeer tijdrovend zijn. De beschikbaarheid van alle PNR-gegevens bij een aangewezen eenheid maakt het mogelijk om op een centrale en efficiënte wijze de noodzakelijke informatie te vorderen. De voor het opsporingsonderzoek benodigde informatie kan niet op een minder ingrijpende manier worden verkregen. Het identificeren van personen naar wie zekerheidshalve onderzoek zou moeten worden gedaan door analyse van de PNR-gegevens aan de hand van risico-criteria is momenteel niet mogelijk vanwege het ontbreken van een volledig bestand van PNR-gegevens.

Ten slotte ga ik in op de vraag van de leden van de GroenLinks-fractie naar een analyse van de reeds bestaande mogelijkheden en systemen en hun eventuele tekortkomingen die nopen tot de introductie van dit PNR-systeem.

De gegevens die onder bestaande wetgeving structureel worden verwerkt, zijn API-gegevens (Advance Passenger Information) op grond van de API-richtlijn en de Vreemdelingenwet 2000 en PNR-gegevens op grond van het Douanewetboek van de Unie.19 De aan de KMar verstrekte API-gegevens worden gebruikt ter bestrijding van illegale migratie en het grensbeheer. Deze gegevens worden alleen verzameld van vluchten die Nederland binnenkomen van buiten de Europese Unie en de Schengenlanden. De aan de Douane verstrekte PNR-gegevens worden gebruikt voor het toezicht op reizigersbagage en hebben betrekking op vluchten buiten de EU/Schengenlanden. Er vindt in Europa derhalve nu nog geen gestructureerde en geharmoniseerde verwerking plaats van PNR- en API-gegevens tezamen ten behoeve van de bestrijding van bepaalde ernstige criminaliteit en terrorisme, voor zowel vluchten van en naar buiten de EU/Schengen als voor vluchten binnen de EU/Schengen. De PNR-richtlijn en het wetsvoorstel voorzien hierin. Het is uiteraard nu al wel zo dat een officier van justitie in het belang van een opsporingsonderzoek deze PNR-gegevens kan vorderen op grond van het Wetboek van Strafvordering. Maar dit betreft zoals hierboven omschreven ad hoc verzoeken, die een flinke administratieve lasten voor zowel de bevoegde instanties als de luchtvaartmaatschappijen met zich meebrengen. Ook wordt voorkomen dat onderzoeksinformatie en of persoonsgegevens moeten worden gedeeld met een luchtvaartmaatschappij. Daarnaast wordt met de PNR-richtlijn en het wetsvoorstel de informatie-uitwisseling binnen de Europese Unie verbeterd, doordat PIU’s informatie met elkaar, Europol en met de bevoegde instanties kunnen delen. De uitgebreidere gegevensset die op grond van de PNR-richtlijn en het wetsvoorstel door de luchtvaartmaatschappijen aan de Pi-NL wordt verstrekt maakt het mogelijk om personen (en hun netwerken) te identificeren die voordat een dergelijke analyse werd verricht niet van terroristische misdrijven of ernstige criminaliteit werden verdacht. Zoals reeds vermeld kunnen bevoegde instanties naar deze personen – indien daarvoor voldoende aanwijzingen zijn – nader onderzoek verrichten.

Vraag 6 (SP)

De leden van de SP-fractie lezen dat de PNR-richtlijn de mogelijkheid biedt om voor intra-EU vluchten de bepalingen van de PNR-richtlijn van toepassing te verklaren uitsluitend op «geselecteerde» vluchten binnen de EU. Naar het idee van deze leden zou, vanuit het oogpunt van dataminimalisatie en de bescherming van privacy van personen, dit veel wenselijker zijn. In de memorie van toelichting wordt gesteld dat het nodig is op alle vluchten binnen de EU de gegevens te verzamelen, omdat reisbewegingen die criminelen en terroristen maken zich niet beperken tot bepaalde landen binnen de EU. Kan de regering dit argument nog eens nader toelichten? Toch niet op elke vlucht zitten criminelen? Zou het niet veel praktischer zijn, als er een vermoeden is dat een crimineel of terrorist op een bepaalde vlucht zit, dat de data van die ene vlucht opgeslagen kan worden in plaats van dat de gegevens van miljoenen vluchten per jaar opgeslagen worden? De aan het woord zijnde leden zijn van mening dat het huidige wetsvoorstel een onbepaalde, grote groep reizigers treft. Het lijkt deze leden veel meer proportioneel wanneer tenminste na het bepalen van de hits op basis van objectieve criteria of een bestandsvergelijking de gegevens van de «gewone» vakantieganger direct uit het systeem worden verwijderd wanneer er geen «hits» zijn. Waarom kiest de regering hier niet voor? Waarom wordt de verzamelde data pas na zes maanden gedepersonaliseerd? Kan dit niet al eerder, bijvoorbeeld na vier weken? Zo nee, waarom niet?

Naar aanleiding van het advies van de AP is in de memorie van toelichting nader uiteengezet waarom geen gebruik is gemaakt van de mogelijkheid de werking van de PNR-richtlijn te beperken tot «geselecteerde» vluchten, doch dat is gekozen alle intra-EU vluchten onder de reikwijdte van de PNR-richtlijn te brengen.20 Zoals aangegeven is het maatschappelijk belang daarvan gelegen in de noodzaak om de interne veiligheid van de lidstaten en van de Europese Unie beter te waarborgen. Potentiële verdachten van bepaalde ernstige misdrijven en terroristen beperken zich niet tot bepaalde reizen. Daar waar het in sommige gevallen mogelijk is om aan de hand «gekende» reisroutes criteria te ontwikkelen voor een bepaald type strafbare gedragingen, is het in veel gevallen afhankelijk van aanwijzingen uit het opsporingsonderzoek omtrent de reisroute van een verdachte. Deze informatie is dusdanig casuïstisch van aard dat het onmogelijk is vooraf te bepalen van welke vluchten (geen) gegevens behoeven te worden verzameld. De noodzaak is ook aanwezig wat betreft het opstellen van risico-criteria.21 Het is dan ook niet wenselijk om bepaalde vluchten uit te sluiten, omdat niet op voorhand kan worden gezegd dat potentiële verdachten daarvan geen gebruik maken. Het uitsluiten zou bovendien alleen leiden tot extra verschuivingen in reisbewegingen naar niet-geselecteerde intra-EU vluchten en daarom niet effectief bijdragen aan het doel van de PNR-richtlijn.

In antwoord op de vraag van de leden van de SP-fractie waarom de gegevens niet eerder uit het systeem kunnen worden verwijderd dan zes maanden, in het geval er geen «hits» zijn van PNR-gegevens en de (opsporings)databanken, merk ik op dat de noodzaak ervan gelegen is in het kader van lopende en toekomstige opsporingsonderzoeken en het opstellen van risicoprofielen voor de beoordeling van passagiers die voordat een dergelijke analyse werd verricht niet van terroristische misdrijven of ernstige criminaliteit werden verdacht. Voorts merk ik op dat een kortere bewaartermijn niet mogelijk is, omdat deze termijn in de PNR-richtlijn is vastgelegd. Depersonalisering na zes maanden is in de PNR-richtlijn en het wetsvoorstel opgenomen als extra waarborg, gelet op de bewaartermijn van vijf jaar. Voor de vragen omtrent de bewaartermijnen verwijs ik deze leden graag naar het antwoord op vraag 4 van de leden van de D66-fractie.

Vraag 7 (SP)

Het is de leden van de SP-fractie bekend dat alle Ministers van Justitie en van Binnenlandse Zaken van de landen van de Europese Unie hebben verklaard de werking van de richtlijn uit te zullen breiden naar touroperators, reisbureaus en soortgelijke marktactoren. Deze verklaring zien de aan het woord zijnde leden niet terug in het voorliggende wetsvoorstel. Klopt dit? Komt dit in een ander wetsvoorstel nog aan bod? Toch hebben deze leden al wat vragen over bovenstaande verklaring. Wat betekent deze verklaring concreet? Moeten reisbureaus ook alle gegevens die zij hebben van hun klanten standaard doorsturen naar de Pi-NL? Geldt dit ook voor gegevens van klanten die alleen een verkennend gesprek aangaan bij het reisbureau, maar uiteindelijk niet overgaan tot het afnemen van een (vlieg)reis? Is de (data)beveiliging van de reisbureaus voor de werking van deze richtlijn wel voldoende op orde? Weten touroperators, reisbureaus en soortgelijke marktactoren wat hen te wachten staat wanneer dit wetsvoorstel wordt aangenomen? Zo ja, op welke manier zijn zij hiervan op de hoogte gesteld? Zo nee, hoe en wanneer gaat de regering deze partijen bij de uitvoering van dit wetsvoorstel betrekken?

De leden van de SP-fractie constateren terecht dat de PNR-richtlijn het open laat aan de lidstaten om een regeling te treffen in het nationale recht voor het verwerken van PNR-gegevens van touroperators, reisbureaus en soortgelijke marktactoren. Deze mogelijkheid wordt vermeld in de overwegingen van de PNR-richtlijn, maar is geen onderdeel van het voorliggende wetsvoorstel vanwege de noodzakelijke snelheid waarmee de richtlijn geïmplementeerd moet worden. 22 Hiertoe zal Nederland mogelijkerwijs aanvullende wetgeving opnemen, door op een later moment de voorliggende wet uit te breiden met voormelde marktactoren. In het verslag van de evaluatie die door de Europese Commissie op grond van artikel 19 van de PNR-richtlijn zal worden verricht, wordt ook aandacht besteed aan de wenselijkheid om de PNR-richtlijn uit te breiden voormelde marktdeelnemers die diensten in verband met reizen aanbieden, met inbegrip van het boeken van vluchten.23

Het zal uitsluitend gaan om de gegevens van de vluchten die deze partijen verkopen. Over de implicaties van deze maatregel is (ook op technisch niveau, zoals adequate databeveiliging) gesproken met touroperators en reisbureaus. De relatie met deze partijen, alsook de relatie met de luchtvaartmaatschappijen, is hierin van groot belang en zij zullen nauw betrokken worden bij de stappen die eventueel gezet gaan worden door Nederland, alsook indien volgend uit de evaluatie door de Europese Commissie.

Vraag 8 (SP)

De leden van de SP-fractie lezen op bladzijde 3 van de memorie van toelichting dat passagiers duidelijk en nauwkeurig moeten worden geïnformeerd over het verzamelen van PNR-gegevens, het doel ervan en over hun rechten. De aan het woord zijnde leden vragen hoe dit er in de praktijk uit gaat zien. Kan aan deze informatieplicht voldaan worden door ergens in de algemene voorwaarden een zinnetje te wijden aan het verzamelen van PNR-gegevens? Of worden passagiers vóór de aankoop van hun vliegtickets actief gewezen op het feit dat hun data worden verzameld en opgeslagen?

Op de website www.rijksoverheid.nl/onderwerpen/luchtvaart/reisgegevens-luchtvaart worden burgers geïnformeerd over het gebruik van PNR-gegevens door de overheid. Op deze website staat nu informatie over het gebruik van PNR-gegevens door de Douane en de KMar; hieraan wordt de Pi-NL toegevoegd. Ook de luchtvaartmaatschappijen informeren hun passagiers over de verwerking van hun gegevens. Door ICAO (International Civil Aviation Organization) wordt in haar richtlijnen (ICAO Doc 9944 Guidelines on Passenger Name Record Data) aangegeven dat luchtvaartmaatschappijen hun passagiers dienen te informeren over het verstrekken van PNR- gegevens aan autoriteiten. Dit geschiedt middels een «Notice to passengers» die bijvoorbeeld tijdens het boeken van een vlucht of bij de aanschaf van een ticket wordt weergegeven. Dit bericht moet ook het specifieke doel van de informatieverzameling aanduiden, evenals de manier waarop passagiers hun data kunnen opvragen en kunnen corrigeren. ICAO heeft een aantal voorbeelden in haar richtlijn gepubliceerd die luchtvaartmaatschappijen kunnen gebruiken om hun passagiers te informeren.

2.2. De Passagiersinformatie-eenheid (Pi-NL)

Vraag 9 (VVD

De leden van de VVD-fractie constateren dat op grond van artikel 9 van het wetsvoorstel alleen het openbaar ministerie (OM), de politie, de bijzondere opsporingsdiensten, de KMar en de Rijksrecherche gegevens van de Pi-NL kunnen verzoeken of ontvangen. Daarnaast regelt artikel 5, tweede lid, dat de Pi-NL wordt ondergebracht bij een instantie die bevoegd is terroristische of ernstige misdrijven te voorkomen, op te sporen, te onderzoeken of te vervolgen. In de memorie van toelichting lezen deze leden dat de regering voornemens is daarvoor de KMar aan te wijzen. Zij vragen hoe de relatie tussen de Pi-NL en de KMar er precies uit zal zien. Moet de KMar gegevens opvragen van de instantie die bij haarzelf is ondergebracht? Waarom is er eigenlijk voor gekozen de Pi-NL onder te brengen bij de KMar? De Minister van Justitie en Veiligheid is verantwoordelijk voor de uitvoering van de taken van de Pi-NL, terwijl de KMar onder verantwoordelijkheid van Defensie valt. Was het niet beter geweest een instantie te zoeken die onder het Ministerie van Justitie en Veiligheid valt, zoals het OM? Overigens, waarom moet de Pi-NL bij een andere instantie worden ondergebracht? Vloeit die verplichting voort uit de richtlijn? De Pi-NL wordt toch een eenheid met een eigen wettelijke taak en bevoegdheden? Zou het dan niet een op zichzelf staande instantie kunnen zijn, die dus niet hoeft te worden ondergebracht bij een andere instantie?

De leden van de VVD-fractie constateren terecht dat de Pi-NL een gespecialiseerde eenheid is met een eigen wettelijke taak en bevoegdheden. Deze specifieke taken zijn rechtstreeks bij wet aan de Pi-NL geattribueerd. Ingevolge de PNR-richtlijn en het wetsvoorstel moet de Pi-NL ondergebracht worden bij een door de Minister op te richten of aan te wijzen instantie – of een onderdeel daarvan – die bevoegd is terroristische en ernstige misdrijven te voorkomen, op te sporen, te onderzoeken of te vervolgen. Op basis van de wettelijke eisen en aanvullende criteria (waaronder juridische, bestuurlijke en operationele criteria) ten aanzien van de positionering van de Pi-NL zijn een aantal opties over het onderbrengen van de Pi-NL nader geanalyseerd en tegen elkaar afgewogen. De positionering van de Pi-NL moet het effectief en efficiënt functioneren van de eenheid ondersteunen. In deze afweging is de optie van een nog op te richten zelfstandige eenheid binnen het departement van Justitie en Veiligheid onderzocht. Hierbij werd gestuit op het beletsel dat indien de zelfstandige eenheid niet binnen een instantie wordt geplaatst die bevoegd is terroristische misdrijven en ernstige criminaliteit te onderzoeken, te voorkomen, op te sporen of te vervolgen, aan deze eenheid een opsporingsbevoegdheid toegekend dient te worden (zie het hiervoor aangehaalde artikel 4, eerste lid, van de PNR-richtlijn). Dat laatste bleek niet mogelijk omdat de Pi-NL als zodanig geen opsporingstaak heeft, maar slechts een analyse- en informatietaak ten behoeven van de opsporing. Dit heeft ertoe geleid dat de Pi-NL als zelfstandige eenheid bij een bestaande organisatie gepositioneerd diende te worden. De KMar heeft aangeboden de zelfstandige eenheid Pi-NL te huisvesten. Daarbij is gekeken of KMar aan alle criteria voldoet. Zoals hiervoor vermeld voldoet de KMar aan de criteria van artikel 4, eerste lid van de PNR-richtlijn.

Deze leden stellen voorts terecht dat ik als Minister van Justitie en Veiligheid verantwoordelijk ben voor de uitvoering van de taken van de Pi-NL, terwijl de KMar onder verantwoordelijkheid van Defensie valt. Deze leden vermelden voorts terecht dat de KMar uitsluitend als bevoegde instantie PNR-gegevens en de verwerkingsresultaten aan de Pi-NL kan verzoeken en van de Pi-NL kan ontvangen. Voor een uiteenzetting van de verhouding tussen de zelfstandige taakuitvoering van de Pi-NL en het beheersmatige positionering bij de KMar verwijs ik graag naar de beantwoording van vraag 1 van de leden van de CDA-fractie. Wat betreft de vragen van de VVD-fractie over de verhouding tussen Defensie, Pi-NL en het Ministerie van Justitie en Veiligheid wil ik naast mijn beantwoording van vraag 1 van de leden van de CDA-fractie nog opmerken dat deze verhouding op hoofdlijnen is geënt op het sturingsmodel «VenJ, sturing en uitvoering in balans». In het sturingsmodel van de Pi-NL worden drie rollen onderscheiden: die van opdrachtgever (MinJenV / NCTV), eigenaar (Defensie) en opdrachtnemer (hoofd Pi-NL). Deze rolverdeling wordt vastgelegd in bestuursafspraken tussen NCTV en Defensie en de uitwerking van deze rollen wordt thans door deze partijen uitgewerkt in een zogenaamde contourennota.

Vraag 10 (CDA)

De leden van de CDA-fractie begrijpen de keuze om de KMar aan te merken als de passagiersinformatie-eenheid in Nederland. Met de naderende implementatiedatum vragen zij of de twee genoemde overeenkomsten in de memorie van toelichting klaar zijn. Zo nee, is er zicht op het afronden van de totstandkoming van deze overeenkomsten?

Zoals hiervoor is uiteengezet, wordt, anders dan deze leden stellen, de KMar niet aangewezen als de Pi-NL. De Pi-NL is een zelfstandige eenheid. De Pi-NL wordt weliswaar beheersmatig ondergebracht bij de KMar, maar dit betekent niet dat de KMar de Nederlandse PIU wordt. Het klopt dat er een tweetal overeenkomsten gesloten zal worden tussen de Minister van Justitie en Veiligheid en de Minister van Defensie. Dit betreft een bestuursafspraak en een verwerkersovereenkomst. Genoemde overeenkomsten zijn thans in voorbereiding en kunnen aanstaande april door de partijen worden ondertekend. Dit is voordat de implementatie van de richtlijn verstrijkt, namelijk 25 mei 2018.

Vraag 11 (CDA)

Deze leden lezen dat de Pi-NL gebruik kan maken van risico-criteria bij de analyse van de ontvangen gegevens. Op basis hiervan worden passagiers ingedeeld in categorieën van hoog en laag risico. Met de PNR-richtlijn komt er enige uniformiteit in de verstrekking en verwerking van PNR-gegevens. Betekent dit dat lidstaten nog wel afzonderlijke risico-criteria hanteren? Voornoemde leden zien in dat voor elke lidstaat risico-criteria enigszins kunnen afwijken, maar toch zal er ook enige overlap zijn. Is er sprake van uitwisseling van risico-criteria om de opsporing en het onderzoek mogelijk te verbeteren? Zijn risico-criteria aan te merken als persoonsgegevens?

De Pi-NL kan bij de beoordeling van PNR-gegevens voorafgaand aan de geplande aankomst van passagiers in of gepland vertrek uit Nederland gebruik maken van risico-criteria. Dit is vastgelegd in artikel 6, tweede lid, onder b, van het onderhavige wetsvoorstel. Deze beoordeling heeft tot doel verdachte reisbewegingen in kaart te brengen. De risico-criteria vormen aaneengeschakeld, als set, de zogeheten risicoprofielen en komen tot stand door analyse van (gedepersonaliseerde) PNR-gegevens, criminaliteitsanalyses en andere relevante informatie op basis waarvan de criteria worden bepaald die in verband worden gebracht met terrorisme en andere specifieke ernstige strafbare feiten. De criteria kunnen bijvoorbeeld bepaald reisgedrag en reisroutes betreffen. De risico-criteria mogen niet zijn gebaseerd op ras of etnische afkomst, godsdienst of levensovertuiging, politieke gezindheid, lidmaatschap van een vakvereniging, gezondheid, seksuele leven of seksuele geaardheid van betrokkenen (artikel 7, derde lid, van het wetsvoorstel). De risico-criteria zullen zelf geen persoonsgegevens bevatten en kunnen als zodanig niet als persoonsgegevens in de zin van de Wet politiegegevens (Wpg) aangemerkt.

Nadat een overeenkomst van de PNR-gegevens van een persoon met een bepaalde set van risico-criteria is vastgesteld, zal de Pi-NL beoordelen of doorgifte van de PNR-gegevens en de verwerkingsresultaten aan een bevoegde instantie of Europol met het oog op nader onderzoek naar die persoon door die instantie nodig is. De bevoegde instantie zal vervolgens op basis van eigen bevoegdheden nader onderzoek doen. De positieve overeenkomst van een verwerking met behulp van risico-criteria moet altijd op niet-geautomatiseerde wijze worden gecontroleerd en mag daarom slechts worden doorgegeven aan een bevoegde instantie, aan Europol of aan de PIU van een andere lidstaat na menselijke tussenkomst. Dit is vastgelegd in artikel 8 van het wetsvoorstel.

De leden van de CDA-fractie vragen of lidstaten afzonderlijke risico-criteria kunnen hanteren en of deze worden uitgewisseld om opsporing en onderzoek te verbeteren. Ik kan u daar als volgt op antwoorden. Iedere lidstaat kan eigen risico-criteria opstellen om tegen de PNR-gegevens te matchen in de PIU. Er zal ook worden samengewerkt tussen PIU’s in het gezamenlijk opstellen van risico-criteria. De kaders voor de internationale samenwerking en uitwisseling tussen PIU’s worden vormgegeven in EU-verband. Deze samenwerking vindt onder meer plaats in de zogeheten «Informal Working Group on PNR», een samenwerkingsverband dat tijdens het Nederlands voorzitterschap van de EU is opgericht.24

Vraag 12 (CDA)

Een derde en laatste bevoegdheid van de Pi-NL is het analyseren van PNR-gegevens voor het formuleren van nieuwe risico-criteria of het bijstellen van bestaande risico-criteria die kunnen worden gebruikt bij het verwerken van PNR-gegevens. Wie gaat deze taak uitvoeren? Beschikt de KMar over de benodigde kennis en ervaring voor deze taak?

Zoals hiervoor is uiteengezet is de Pi-NL een zelfstandige eenheid. De bevoegdheden uit hoofde van de PNR-richtlijn en het wetsvoorstel zijn rechtstreeks geattribueerd aan de Pi-NL. Het formuleren van nieuwe risico-criteria of het bijstellen van bestaande risico-criteria gebeurt door de Pi-NL, in samenwerking met de betrokken bevoegde instanties. Zo heeft onder meer de KMar ervaring in het verwerken van API-gegevens met behulp van risico-criteria op basis van haar huidige bevoegdheden.

Vraag 13 (D66)

De leden van de D66-fractie vragen de keuze voor het onderbrengen van de Pi-NL bij de KMar nader toe te lichten. Welke alternatieven heeft de regering overwogen? Waarom is gekozen voor de KMar? Is de regering zich bewust van de grote druk op de capaciteit van de KMar? Is de regering zich ervan bewust dat deze additionele taak mogelijk ten koste zal gaan van andere taken van de KMar? Stelt de regering extra budget beschikbaar voor het uitvoeren van de Pi-NL taak? Vindt de regering het uitvoeren van een richtlijn, waarvan de noodzaak en proportionaliteit nooit aangetoond zijn en die hoogstwaarschijnlijk op korte termijn aangepast moet worden gezien het feit dat grote onderdelen van de richtlijn in strijd zijn met de door het Handvest gewaarborgde grondrechten, een verantwoorde besteding van de beperkte middelen die de KMar tot zijn beschikking heeft?

Voor het antwoord van de leden van de D66-fractie op de vraag naar de keuze voor het onderbrengen van de Pi-NL bij de KMar verwijs ik deze leden graag naar de beantwoording van vraag 9 van de leden van de VVD-fractie.

Wat betreft uw vragen over de belasting op de capaciteit van de KMar wil ik er graag op wijzen dat de Pi-NL-taak géén extra KMar-taak betreft. Zoals uiteengezet in deze paragraaf bij de vraag 9 van leden van de VVD-fractie is de Pi-NL een zelfstandige eenheid met een eigen wettelijke taak en bevoegdheden. Deze eenheid wordt weliswaar ondergebracht bij de KMar, maar is geen onderdeel van de KMar. De Pi-NL valt onder het gezag van de Minister van Justitie en Veiligheid.

Nu de Pi-NL een eenheid met een eigen wettelijke taak betreft, is voor de financiering van de eenheid een zelfstandig budget toegekend. Vanuit de reguliere begroting van het Ministerie van Justitie en Veiligheid is jaarlijks € 11 miljoen voor de uitvoering van de PNR-wet uitgetrokken; daar komt € 1,2 miljoen bij in 2018, € 5 miljoen in 2019 en € 5 miljoen bij in 2020. Vanaf 2020 is derhalve een budget van € 22,2 miljoen beschikbaar, waarvan een deel voor de Pi-NL is bestemd en een deel naar overige betrokken partijen (waaronder de Justitiële Informatie Dienst als beheerder van het TRIP-systeem), de aangewezen bevoegde instanties en de ketenpartners, zoals de zittende magistratuur en de Dienst Justitiële Inrichtingen). Op basis van monitoring en evaluatie van de output van de Pi-NL en de impact hiervan op de keten, welke in 2018 en 2019 plaatsvinden, wordt mede gelet op beleidsprioriteiten de structurele middelen die in 2019 en 2020 beschikbaar komen voor de betrokken ketenpartners verdeeld.

Wat betreft de stelling van deze leden dat grote onderdelen van de PNR-richtlijn in strijd zouden zijn met de door het EU-Handvest gewaarborgde grondrechten verwijs ik graag naar paragraaf 5.

Vraag 14 (SP)

De leden van de SP-fractie lezen dat er een tweetal overeenkomsten gesloten zal worden tussen de Minister van Justitie en Veiligheid en de Minister van Defensie. Deze leden vragen wie van de twee Ministers uiteindelijk politiek de hoofdverantwoordelijkheid heeft over Pi-NL.

Ingevolge artikel 5, derde lid, van het wetsvoorstel, ben ik als Minister van Justitie en Veiligheid politiek hoofdverantwoordelijk voor de taakuitvoering van de Pi-NL. Daarnaast worden verdere afspraken over de taken en verantwoordelijkheden tussen het Ministerie van Justitie en Veiligheid en Ministerie van Defensie ten aanzien van het beheer, vastgelegd in een bestuursafspraak. Hierin wordt ook de rolverdeling vastgelegd. Zie hiervoor voorts mijn antwoord op vraag 9 van de leden van de VVD-fractie.

2.3. Gegevensuitwisseling en doorgifte

Vraag 15 (SP)

De leden van de SP-fractie vragen of doorverstrekking van gegevens aan derden mogelijk is door de politie, omdat paragraaf 2 en 3 van de Wet politiegegevens niet van toepassing zijn op de gegevensverwerking door de Pi-NL. Zo ja, waarom? Zo nee, kan de regering uitleggen hoe de passage op bladzijde 6 van de memorie van toelichting dan gelezen moet worden waar staat dat de bepalingen in paragraaf 2 van de Wet politiegegevens die betrekking hebben op de verwerking van politiegegevens met het oog op de uitvoering van de politietaak en de bepalingen in paragraaf 3 die geen betrekking hebben op de doorgifte aan derde landen niet van toepassing zullen zijn op de gegevensverwerking door de Pi-NL.

Zodra door de Pi-NL gegevens worden doorgegeven aan de politie, vallen deze gegevens onder het regime van de Wet politiegegevens (Wpg) en gelden voor verstrekking van die gegevens aan derden de in de Wpg opgenomen voorschriften.25 Een belangrijke beperking van de mogelijkheid voor de politie om de van de Pi-NL ontvangen gegevens door te verstrekken aan derden is opgenomen in artikel 9, tweede lid, van het wetsvoorstel: verdere verstrekking van die gegevens door de politie is slechts mogelijk voor het voorkomen, opsporen, onderzoeken of vervolgen van terroristische of specifieke ernstige misdrijven zoals opgenomen in bijlage 2 bij de PNR-richtlijn en het wetsvoorstel.

Voorts vermeld ik in antwoord op de vragen van de leden van de SP-fractie naar de toepassing van de Wpg het volgende. De Wpg heeft betrekking op de verwerking van persoonsgegevens met het oog op de uitvoering van de politietaak, bedoeld in de artikelen 3 en 4 van de Politiewet 2012. De Pi-NL is echter niet belast met de uitvoering van de politietaak. De PNR-gegevens zijn daarom zolang deze door de Pi-NL niet zijn verstrekt aan de politie geen politiegegevens in de zin van de Wpg. Echter, de Wpg wordt in het wetsvoorstel wel deels van overeenkomstige toepassing verklaard op de gegevensverwerking door de Pi-NL. Op de verwerking van de PNR-gegevens door de Pi-NL zijn namelijk door de PNR-richtlijn bepaalde artikelen van het Kaderbesluit 2008/977/JBZ van de Raad van toepassing. Deze bepalingen zijn geïmplementeerd in de Wpg en zien op de vertrouwelijkheid van verwerking, de beveiliging, de rechten van betrokkenen en het toezicht. Genoemde bepalingen van de Wpg zullen daarom van overeenkomstige toepassing zijn op de verwerking van PNR-gegevens door de Pi-NL. Artikel 17 van het wetsvoorstel verwijst daartoe naar de desbetreffende bepalingen van de Wpg. Voorts zullen bepalingen uit de Wpg die zien op verstrekkingen van gegevens aan derde landen van overeenkomstige toepassing zijn op de verstrekking van PNR-gegevens door de Pi-NL aan bevoegde autoriteiten van derde landen.26 Ook dit schrijft de PNR-richtlijn voor.27 De bepalingen in paragraaf 2 van de Wpg die betrekking hebben op de verwerking van politiegegevens met het oog op de uitvoering van de politietaak en de bepalingen in paragraaf 3 van de Wpg die geen betrekking hebben op de doorgifte aan derde landen zullen niet van overeenkomstige toepassing zijn op de gegevensverwerking door de Pi-NL. De reden hiervoor is dat die bepalingen uitgaan van een andere doelbeperking en een ruimer verstrekkingenregime dan die gelden voor de verwerking van PNR-gegevens door de Pi-NL.

2.4. Gegevensbescherming en -beveiliging

Vraag 16 (VVD)

De leden van de VVD-fractie lezen dat de verwerking van passagiersgegevens ook onder de huidige Wet bescherming persoonsgegevens (Wbp) valt en in de toekomst onder de Algemene Verordening Gegevensbescherming (AVG). Op 13 februari 2018 heeft de Minister voor Rechtsbescherming een nota van wijziging van de Uitvoeringswet AVG naar de Kamer gestuurd. Zal het onderhavige wetsvoorstel nog op worden aangepast?

Graag wil ik bij deze leden de indruk wegnemen dat sprake is van een overlap tussen de PNR-richtlijn en de Algemene verordening gegevensbescherming (AVG) wat betreft het gegevensregime dat op de PNR-gegevens van toepassing is. Voor de verwerking van de PNR-gegevens door de Pi-NL gelden specifieke gegevensbeschermingsregels die in de artikelen 17 tot en met 23 van het wetsvoorstel zijn opgenomen. Dit betreft in de eerste plaats gegevensbeschermingsregels die uit de PNR-richtlijn volgen (artikel 18 tot en met 23 van het wetsvoorstel). Voor de verwerking van de PNR-gegevens door de Pi-NL gelden in de tweede plaats voorschriften op grond van het Kaderbesluit 2008/977/JBZ en de Richtlijn 2016/680 die voormeld Kaderbesluit vervangt.28 Deze voorschriften zien onder meer op de vertrouwelijkheid van verwerking, de beveiliging, het inzage- en correctierecht, het recht van beroep en het toezicht op de gegevensverwerking. De voorschriften uit genoemd Kaderbesluit zijn geïmplementeerd in de Wpg. In artikel 17 van onderhavig wetsvoorstel worden de desbetreffende bepalingen uit de Wpg daarom van overeenkomstige toepassing verklaard op de verwerking van de PNR-gegevens door de Pi-NL.

De verwerking van PNR-gegevens door de luchtvaartmaatschappijen daarentegen valt thans onder de werkingssfeer van de Wet bescherming persoonsgegevens en vanaf 25 mei 2018 onder de werkingssfeer van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Deze leden merken terecht op dat op 13 februari 2018 een nota van wijziging bij uw Kamer is ingediend (Kamerstukken II, 34 851, nr. 8), welke strekt tot wijziging van de UAVG. De daarin vervatte regels zullen, indien tot wet verheven, onverkort van toepassing zijn op de verwerking van PNR-gegevens door de luchtvaartmaatschappijen. Aanpassing van het wetsvoorstel op voormelde nota van wijziging is gelet op het vorenstaande niet nodig.

Volledigheidshalve merk ik nog op dat in een nota van wijziging in het wetstraject tot wijziging van onder meer de Wpg ter implementatie van de Richtlijn gegevensbescherming opsporing en vervolging (Richtlijn 2016/680), zal worden verzekerd dat artikel 17 het van onderhavig wetsvoorstel in overeenstemming wordt gebracht met de desbetreffende wijziging van de Wpg.29

3. Uitvoeringslasten

Vraag 17 (VVD)

De leden van de VVD-fractie vragen of de regering kan de aangeven wanneer Pi-NL gereed voor werkzaamheden zal zijn.

De Pi-NL zal gereed zijn voor haar werkzaamheden op het moment dat de implementatiedatum van de richtlijn verstrijkt, op 25 mei 2018, en zal feitelijk met haar werkzaamheden kunnen aanvangen als onderhavig wetsvoorstel tot wet wordt verheven en in werking treedt.

4. Advies en consultatie

Vraag 18 (CDA)

De leden van de CDA-fractie merken op, mede naar aanleiding van de reactie van de Autoriteit Persoonsgegevens (AP), dat in de implementatie van de PNR-richtlijn weinig aandacht wordt besteed aan de Algemene Verordening Gegevensbescherming (AVG) terwijl er volgens deze leden een onmiskenbare overlap is in de richtlijn en de verordening, met name in de werking van beide in de praktijk. Daarom vragen zij of de regering langer kan stilstaan bij de werking van de PNR-richtlijn en de AVG in de praktijk en hoe deze elkaar aanvullen of overlappen.

Zoals hiervoor in paragraaf 2.4. in antwoord op de vragen van de leden van de VVD-fractie reeds uiteengezet, is er geen sprake van een overlap tussen de PNR-richtlijn en de AVG wat betreft het gegevensregime dat op de verwerking van PNR-gegevens van toepassing is. Op de verwerking van de PNR-gegevens door de Pi-NL zijn de in het wetsvoorstel opgenomen gegevensbeschermingsregels van toepassing. Dit betreft enerzijds regels ter implementatie van de relevante bepalingen van de PNR-richtlijn en anderzijds de voorschriften op grond van het Kaderbesluit 2008/977/JBZ en de Richtlijn 2016/680 die voormeld Kaderbesluit zal vervangen. De verwerking van PNR-gegevens door de luchtvaartmaatschappijen valt thans onder de werkingssfeer van de Wet bescherming persoonsgegevens en vanaf 25 mei 2018 onder de AVG en de UAVG.

Vraag 19 (SP)

De leden van de SP-fractie hebben gelezen dat de AP in het conceptwetsvoorstel een gedegen onderbouwing van de proportionaliteit en de subsidiariteit mist. Kan de regering verduidelijken hoe nu precies het van toepassing verklaren van de bepalingen van de PNR-richtlijn op de intra-EU vluchten de privacyschending van een onbepaalde grote groep mensen rechtvaardigt? Kan de regering ingaan op de effectiviteit van het op grote schaal verzamelen van gegevens, zeker ook gezien het eerdere onderzoek naar de effectiviteit van Automatic Number Plate Recognition?

Voor de beantwoording van de vraag naar de noodzaak, effectiviteit, proportionaliteit en subsidiariteit van het wetsvoorstel verwijs ik deze leden graag naar paragraaf 2.1. en het antwoord op vraag 4 van de leden van de D66-fractie en vraag 5 van de leden van de GroenLinks-fractie.

De leden van de SP-fractie vragen de regering voorts in te gaan op de effectiviteit van het op grote schaal verzamelen van gegevens, dit gezien het eerdere onderzoek naar de effectiviteit van Automatic Number Plate Recognition (ANPR). Ik ga ervan uit dat deze leden doelen op het in 2016 in opdracht van het WODC uitgevoerd onderzoek naar de meerwaarde van de ANPR-gegevens voor de opsporing. 30 In dit rapport wordt ingegaan op bestaande toepassingen en wordt ook verwezen naar een eerder rapport van DSP. 31 In het rapport uit 2016 wordt vastgesteld, onder verwijzing naar het rapport van DSP, dat ANPR-informatie niet altijd rechtstreeks tot opheldering van een misdrijf leidt, maar een bijdrage kan leveren aan het onderzoek door aanwijzingen over personen die wel of niet in de buurt van het misdrijf waren en dat de meerwaarde is dat gegevens die belangrijke aanwijzingen voor de opsporing kunnen opleveren, worden bewaard.32 Ik merk op dat, zoals in reeds in antwoord op vraag 4 van de leden van de D66-fractie heb uiteengezet, de meerwaarde van PNR-gegevens erin is gelegen dat de analyse van deze gegevens zal bijdragen aan het voorkomen, opsporen, vervolgen en onderzoeken van terroristische en ernstige misdrijven, alsmede het in kaart brengen van criminele netwerken.

5. Advies van het HvJEU betreffende uitwisseling PNR EU-Canada

Vraag 20 (VVD)

De leden van de VVD-fractie vragen hoe rekening is gehouden met de adviezen van het Hof van Justitie over de verenigbaarheid van de opslag van PNR-gegevens met het Handvest van de grondrechten van de Europese Unie. Zij vragen waarom de regering niet zelf een analyse geeft over de toekomstbestendigheid van deze richtlijn?

Het advies van het Hof van Justitie van de EU (Hofadvies) betreft de voorgenomen overeenkomst tussen de EU en Canada en heeft geen betrekking op de PNR-richtlijn. Nederland dient uit te gaan van de rechtsgeldigheid van de richtlijn. Alleen het Hof van Justitie van de EU kan een oordeel geven over de rechtsgeldigheid van de richtlijn. Hiernaast zou de Europese Commissie op grond van haar eigen analyse van het Hofadvies kunnen concluderen dat de richtlijn dient te worden aangepast. De Uniewetgever kan de richtlijn alleen aanpassen op voorstel van de Europese Commissie. De Europese Commissie heeft inmiddels echter geconcludeerd dat het Hofadvies geen consequenties heeft voor de richtlijn.

Ik heb kennisgenomen van het advies van de afdeling Advisering van de Raad van State. De Afdeling is bezorgd over de toekomstbestendigheid van de richtlijn. Ik zie geen reden om naast dit advies zelf een analyse over de toekomstbestendigheid van de PNR-richtlijn uit te voeren. Als de conclusie van een eigen analyse zou luiden dat er spanning bestaat tussen de richtlijn en het Europese recht, dan zou dit geen gevolgen hebben voor de plicht om de geldende richtlijn te implementeren en evenmin leiden tot heroverweging of aanpassing van de richtlijn. De Nederlandse regering zou dus geen gevolgen kunnen verbinden aan een dergelijke analyse.

Hierbij komt het volgende. Als elke lidstaat een eigen analyse zou uitvoeren en bekendmaken, dan zou dit ertoe kunnen leiden dat bij alle betrokkenen onzekerheid of zelfs verwarring ontstaat over de door hen te hanteren juridische kaders. Dit betreft onder meer de luchtvaartmaatschappijen, de PIU’s van de lidstaten, de politiediensten en het openbaar ministerie. De regering is er dan ook voorstander van dat de Europese Commissie de regie houdt.

De leden van de VVD-fractie wijzen erop dat de richtlijn door de Europese Commissie is voorgesteld. De Uniewetgever kan de richtlijn alleen wijzigen op voorstel van de Europese Commissie. Dat geldt ook in het geval een uitspraak van het EU-Hof van Justitie aanleiding zou geven om regelgeving aan te passen.

Vraag 21 (VVD)

Verder willen de leden van de VVD-fractie weten waarom het niet opportuun is om de Europese Commissie om een visie te vragen? De richtlijn komt immers zelf van de zijde van de Europese Commissie.

In reactie hierop schets ik eerst een aantal ontwikkelingen op EU-niveau naar aanleiding van het Hofadvies. Dit advies werd uitgebracht op 26 juli 2017. Kort na het zomerreces van de EU (augustus 2017) heeft de Europese Commissie de mededeling gedaan dat de lidstaten gehouden blijven om de PNR-richtlijn te implementeren. Hiernaast meldde de Europese Commissie dat zij het Hofadvies verder bestudeerde om mogelijke gevolgen in kaart te brengen. In het najaar van 2017 ging de aandacht van de Europese Commissie in de eerste plaats uit naar de gevolgen van het Hofadvies voor de voorgenomen overeenkomst tussen de EU en Canada. Dit heeft ertoe geleid dat de Raad in november een mandaat heeft vastgesteld voor nieuwe onderhandelingen met Canada over een overeenkomst tussen de Europese Unie en Canada voor de overdracht en het gebruik van PNR-gegevens.

In oktober 2017 heeft de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) van het Europees Parlement (EP) vragen gesteld aan de Europese Commissie over de gevolgen van het Hofadvies onder meer voor de PNR-richtlijn. Hierover is gesproken in de vergadering van de LIBE-commissie met de Commissaris voor Veiligheidsunie op 19 oktober 2017. De Commissaris heeft toen naar voren gebracht dat de Europese Commissie vasthoudt aan de tijdige implementatie door de lidstaten van de PNR-richtlijn. Hij is verder niet ingegaan op vragen over gevolgen van het Hof advies voor de PNR-richtlijn.

Hiernaast is in werkgroepen van de Raad gebleken dat er bij de lidstaten grote steun is voor het voortzetten van de implementatie van de PNR-richtlijn, vanuit het belang van het gebruik van PNR-gegevens voor de bestrijding van terrorisme en (andere) ernstige criminaliteit. Ook in de JBZ-raden van 12 en 13 oktober 2017 en van 7 en 8 december 2017 heeft de Europese Commissie meegedeeld vast te houden aan implementatie van de PNR-richtlijn uiterlijk op 25 mei 2018.

Vervolgens ga ik graag in op de positiebepaling van de regering zoals verwoord in het nader rapport en de memorie van toelichting bij dit wetsvoorstel. Ik heb in het najaar van 2017 gesignaleerd dat de gevolgen van het Hofadvies op de agenda stonden van de Europese Commissie, dat het Europees Parlement hierover vragen heeft gesteld en met de Europese Commissie in discussie is gegaan en dat er bij de lidstaten forse steun is voor voortzetting van de implementatie van de PNR-richtlijn. Ik vond het in die fase – het najaar van 2017- niet het juiste moment om de juridische toekomstbestendigheid van de PNR-richtlijn aan de orde te stellen. De analyse van de Europese Commissie van het Hofadvies was nog niet afgerond en ik vond het begrijpelijk dat de Europese Commissie hiervoor enige tijd nam, want het (eventuele) aanpassen van een richtlijn terwijl de implementatietermijn van die richtlijn nog loopt, kan tot grote complicaties leiden. In dit geval zou het kunnen betekenen dat de opbouw van de benodigde infrastructuur, waaronder informatie- en communicatiesystemen, in de lidstaten zou worden stilgezet en dat een nieuw wetgevingsproces op Europees niveau zou moeten worden afgewacht voordat de EU klaar is voor het werken met PNR-gegevens, terwijl dit een onderdeel is van de Europese afspraken voor de totstandbrenging van een echte en doeltreffende Veiligheidsunie. Een voorstel tot wijziging van de bestaande PNR-richtlijn kan verder bij de vele betrokken partijen (zoals luchtvaartmaatschappijen, politiediensten, organisaties voor terrorismebestrijding) tot onduidelijkheid leiden over de status van de bestaande richtlijn en de daarop gebaseerde activiteiten. Gezien deze situatie was de inschatting dat het naar voren brengen van vragen over de toekomstbestendigheid van de PNR-richtlijn in het najaar van 2017 geen goede kans maakte op een positieve respons van de Europese Commissie noch op steun van de andere lidstaten.

Zoals aangegeven in het nader rapport deelt de regering de zorgen van de Afdeling advisering van de Raad van State over de toekomstbestendigheid van de PNR-richtlijn. Inmiddels is een aantal maanden verstreken en de Europese Commissie had zich specifiek op dit punt nog steeds niet uitgelaten. Ik heb deze kwestie daarom aan de orde gesteld bij de Europees Commissaris voor Veiligheidsunie, Sir Julian King. Daarbij heb ik benadrukt dat ik vind dat de Europese Commissie het voortouw dient te nemen omdat onzekerheid kan ontstaan over de PNR-richtlijn, ook na de implementatie daarvan. De Europees Commissaris heeft in reactie daarop naar voren gebracht dat het Hofadvies over de voorgenomen overeenkomst tussen de EU en Canada geen consequenties heeft voor PNR-richtlijn, omdat het Hofadvies geen betrekking heeft op de PNR-richtlijn; de richtlijn en de EU-Canada-overeenkomst betreffen twee verschillende rechtsinstrumenten. Voorts heeft de Commissaris erop gewezen dat hij over de voorgenomen EU-Canada overeenkomst in het Europees Parlement heeft gemeld dat deze kwestie stap-voor-stap moet worden opgelost. Dit betekent dat op basis van het daartoe verkregen mandaat eerst nieuwe onderhandelingen met Canada worden gestart die mogelijk tot aanpassing van de overeenkomst zullen leiden. De Commissaris heeft benadrukt dat hij zich zeer wel bewust is van het feit dat in Nederland een verband wordt gelegd tussen het Hofadvies en de PNR-richtlijn, hij stelt zich echter op het standpunt dat het Hofadvies geen consequenties heeft voor de PNR-richtlijn.

Vraag 22 (CDA)

De leden van de CDA-fractie zien in dat naar aanleiding van het advies van het Hof van Justitie over de EU-Canadese PNR-overeenkomst er ook onduidelijkheid is ontstaan over de rechtsgeldigheid van de PNR-richtlijn. Deze leden vragen of de regering kan aangeven of er in Europees verband rekening wordt gehouden met mogelijke aanpassing van de PNR-richtlijn? Verder vragen zij of Nederland op basis van het advies van het Hof van Justitie op bepaalde punten de implementatie van de PNR-richtlijn zo kan aanpassen dat deze in lijn is met het advies?

Ik heb geen aanwijzingen dat er in Europees verband een aanpassing van de PNR-richtlijn wordt voorbereid. De Europese Commissie is initiatiefnemer voor Europese regelgeving, waaronder de wijziging van bestaande regelgeving. Ik heb hierover contact opgenomen met de Commissaris voor Veiligheidsunie, zoals beschreven in het antwoord op vraag 2 van de leden van de VVD-fractie. In dat antwoord zette ik ook uiteen dat het een rechtsgeldige richtlijn betreft en dat Nederland gehouden is de richtlijn te implementeren.

De regering moet zich houden aan de inhoud van de richtlijn zoals deze op Europees niveau is vastgesteld. Het verwerken van de punten uit het advies van het Hof (dat overigens geen betrekking heeft op de richtlijn) zou ertoe leiden dat van de inhoud van de richtlijn wordt afgeweken. Lidstaten hebben alleen ruimte ten aanzien van de wijze van implementatie van een richtlijn, bijvoorbeeld de keuze of deze in de formele wet wordt geregeld of in een ander algemeen verbindend voorschrift, dan wel de manier waarop de Pi-NL wordt georganiseerd en waar deze eenheid wordt ondergebracht.

Vraag 23 (CDA)

Verder willen de leden van de CDA-fractie weten wat de gevolgen zijn indien de PNR-richtlijn door een rechter als onverenigbaar met het Europese recht wordt verklaard?

Alleen het EU-Hof kan oordelen dat (onderdelen) van de PNR-richtlijn strijdig zijn met het EU-recht. Het is denkbaar dat het EU-Hof op basis van een prejudiciële vraag uitspraak zal doen over de verenigbaarheid van de PNR-richtlijn met het Europese recht, met name met het Handvest voor de grondrechten. Deze situatie is echter nu niet aan de orde. Op een mogelijke toekomstige uitspraak kan dan ook niet worden vooruitgelopen.

Vraag 24 (D66)

De leden van de D66-fractie vragen de regering nader toe te lichten hoe de gekozen wijze van implementatie van de PNR-richtlijn zich verhoudt tot de plicht tot eerbiediging van de door het Handvest gewaarborgde grondrechten, met name ten aanzien van de gesignaleerde knelpunten aangaande de afbakening van de PNR-gegevens die moeten worden doorgegeven, de eisen die aan de modellen en criteria voor de geautomatiseerde verwerking van PNR-gegevens moeten worden gesteld, de bewaring en gebruik van de PNR-gegevens, de nadere uitwerking van de categorie ernstige misdrijven met het oog waarop PNR-gegevens mogen worden verwerkt, de doorgifte van PNR-gegevens aan andere landen en het recht van passagiers op informatie over de doorgifte van hun PNR-gegevens.

Ik verwijs ten aanzien van de vraag over de gekozen wijze van implementatie ten eerste naar de antwoorden op vraag 1 van leden van de VVD-fractie en op vraag 3 van leden van de CDA-fractie. Verder wijs ik erop dat een richtlijn verbindend is ten aanzien van het te bereiken resultaat voor elke lidstaat waarvoor zij bestemd is, maar dat aan de nationale instanties de bevoegdheid wordt gelaten vorm en middelen te kiezen (art. 288, derde alinea, EU-Werkingsverdrag). Dit impliceert dat lidstaten hun nationale wetgeving zodanig dienen aan te passen dat het doel van een richtlijn kan worden gerealiseerd. De PNR-richtlijn dient door de Nederlandse wetgever dan ook onverkort te worden geïmplementeerd. Bovendien zou in geval van afwijking van de richtlijn de samenwerking met andere lidstaten in het gedrang komen, omdat de Nederlandse wetgeving op het gebied van PNR zou afwijken van de juridische kaders in andere lidstaten. Dit terwijl een van de doelstellingen van het PNR voorstel is om de samenwerking tussen de lidstaten te verbeteren door middel van het vaststellen van een gemeenschappelijk rechtskader. Deze doelstelling is opgenomen in overweging (35) van de preambule van de PNR-richtlijn.

De onderwerpen die de leden van de fractie van D66 noemen betreffen de inhoud van de richtlijn. Zoals hiervoor uiteengezet kan Nederland als lidstaat niet van de inhoud van de richtlijn afwijken.

Vraag 25 (D66)

De leden van de D66-fractie vragen welke gevolgen de uitspraak van het Hof over de PNR-overeenkomst tussen de EU en Canada volgens de regering moet hebben voor de PNR-richtlijn.

Ik zette in het voorgaande, in antwoord op vragen van leden van de VVD-fractie, uiteen dat alleen het EU-Hof kan oordelen dat de PNR-richtlijn in strijd is met het Unierecht. De regering moet uitgaan van de geldigheid van de richtlijn, aangezien het Hof over de richtlijn geen uitspraak heeft gedaan. De uitspraak over het voorgenomen PNR-verdrag tussen de EU en Canada heeft geen gevolgen voor de implementatie van de richtlijn.

Vraag 26 (D66)

Daarnaast vragen deze leden de regering nader toe te lichten welke concrete stappen de regering reeds gezet heeft of nog op korte termijn gaat zetten om de PNR-richtlijn in lijn met het EU-Handvest te brengen. Is de regering bereid deze kwestie aan de orde te stellen in de JBZ-raad en bij de Europese Commissie?

Zoals in antwoord op vraag 2 van de leden van de VVD-fractie uiteengezet, heb ik deze kwestie aan de orde gesteld bij de Europees Commissaris voor Veiligheidsunie, Sir Julian King. Ik heb daarbij benadrukt dat ik vind dat de Europese Commissie het voortouw dient te nemen. Ik verwijs voor het overige naar mijn antwoord op vraag 2 van de VVD.

Vraag 27 (Groen Links)

De leden van de GroenLinks-fractie constateren dat in dit wetsvoorstel niet inhoudelijk wordt ingegaan op de mogelijke consequenties van het advies van het Europese Hof van Justitie inzake de PNR-overeenkomst tussen de EU en Canada. Nu die specifieke overeenkomst en de door dit wetsvoorstel te implementeren Verordening vrijwel identiek zijn, hechten deze leden er sterk aan dat ingegaan wordt op de door het Hof van Justitie geconstateerde strijdigheden met het Handvest van de grondrechten van de Europese Unie, in het bijzonder het recht op eerbiediging van het privéleven en bescherming van persoonsgegevens. Zij zien net zoals de Afdeling advisering van de Raad van State ook het grote dilemma van enerzijds de verplichting om de PNR-richtlijn te implementeren waardoor anderzijds strijdigheden kunnen ontstaan met het EU-Handvest. Om die strijdigheden of knelpunten op dit moment onbenoemd te laten voert naar het oordeel van deze leden te ver. Graag ontvangen zij hierop een precieze toelichting.

Het benoemen van mogelijke strijdigheden van de PNR-richtlijn met het EU-Handvest vooronderstelt dat de Nederlandse regering een eigen juridische toetsing uitvoert, gebaseerd op het Hofadvies. In de bovenstaande antwoorden op de vragen van de leden van de fracties van de VVD en D66 heb ik betoogd dat de regering dient uit te gaan van de rechtsgeldigheid van de richtlijn en dat een beoordeling van de toekomstbestendigheid van de richtlijn op EU-niveau plaats dient te vinden. De Europese Commissie heeft laten weten dat het Hofadvies geen gevolgen heeft voor de PNR-richtlijn.

Vraag 28 (ChristenUnie)

De leden van de ChristenUnie-fractie wijzen erop dat de Afdeling advisering van de Raad van State zich kan verenigen met het standpunt van de regering dat de implementatie doorgang moet vinden, nu de PNR-richtlijn niet door het Hof ongeldig is verklaard. Tegelijk constateert de Afdeling dat de PNR-richtlijn in het licht van het advies van het Hof van Justitie in haar huidige vorm gelet op de hiervoor geschetste grondrechtelijke knelpunten op een aantal onderdelen in strijd is met de door het Handvest gewaarborgde grondrechten. Deze fractieleden vragen of de regering deze constatering onderschrijft.

Zoals gezegd, dient de regering uit te gaan van de geldigheid van de PNR-richtlijn. Het advies van de Afdeling advisering van de Raad van State was voor mij wel aanleiding om de toekomstbestendigheid van de richtlijn aan de orde te stellen bij de bevoegde Europees Commissaris. Ik heb dit toegelicht in de bovenstaande antwoorden op vragen van de leden van de fracties van VVD, D66 en Groen Links.

Vraag 29 (ChristenUnie)

De leden van de fractie van de Christen Unie verzoeken de regering nader toe te lichten welke stappen zij onderneemt met het doel de PNR-richtlijn in overeenstemming met het EU-Handvest te brengen. De genoemde leden willen weten of de regering er bij de Europese Commissie op heeft aangedrongen om het standpunt, dat de plicht van de lidstaten om de richtlijn te implementeren onveranderd blijft, te herzien? Voorts vragen zij of de regering er bij de Europese Commissie op heeft aangedrongen stappen te ondernemen om de richtlijn in overeenstemming met het EU-Handvest te brengen. Zo nee, waarom niet?

Ik schetste in het voorgaande het krachtenveld binnen de EU en signaleerde dat de Europese Commissie stelt dat de implementatieplicht van de lidstaten inzake de PNR-richtlijn ongewijzigd in stand blijft. Dit standpunt is juridisch onderbouwd door het feit dat het advies van het Hof van Justitie geen betrekking heeft op de PNR-richtlijn: de PNR-richtlijn is van kracht. Het is gebleken dat deze benadering door de Raad wordt gesteund. Ik heb over de implicaties van het Hofadvies voor de toekomstbestendigheid van de richtlijn gesproken met de Commissaris voor Veiligheidsunie. Op dit punt verwijs ik naar de bovenstaande antwoorden op de vragen van de fracties van VVD, D66 en Groen Links.

6. Evaluatie

Vraag 30 (VVD)

De leden van de VVD-fractie constateren dat in artikel 19 van de PNR-richtlijn staat dat de Europese Commissie een evaluatie zal uitvoeren, waarbij onder andere wordt gekeken naar de doeltreffendheid van de gegevensuitwisseling tussen de lidstaten. Deze doeltreffendheid zal ook in de nationale evaluatie worden meegenomen. Dit staat echter niet expliciet in het wetsvoorstel zelf. Waarom is geen evaluatiebepaling opgenomen in de wet? Kan de regering dit alsnog doen?

Deze leden merken terecht op dat de Europese Commissie op basis van de door de lidstaten verstrekte informatie, uiterlijk op 25 mei 2020 een evaluatie zal uitvoeren van de PNR-richtlijn.33 De Europese Commissie zal daarin bijzondere aandacht besteden aan de naleving van de geldende normen voor de bescherming van persoonsgegevens, de noodzakelijkheid en evenredigheid van het verzamelen en het verwerken van PNR-gegevens voor elk van de in deze richtlijn genoemde doelen, de lengte van de bewaartermijn, de doeltreffendheid van de gegevensuitwisseling tussen de lidstaten, en de kwaliteit van de beoordelingen. Het verslag zal ook een evaluatie bevatten van de noodzakelijkheid, evenredigheid en doeltreffendheid van het in het toepassingsgebied van deze richtlijn opnemen van het verplicht verzamelen en doorgeven van PNR-gegevens inzake alle of een aantal uitgekozen vluchten binnen de EU.

Deze leden wijzen er voorts terecht op dat in de memorie van toelichting bij het wetsvoorstel is vermeld dat een nationale evaluatie zal plaatsvinden en daarin bovengenoemde aspecten worden onderzocht, terwijl een evaluatiebepaling in het wetsvoorstel ontbreekt. Deze evaluatie zal een aanvang nemen een jaar na de inwerkingtreding van het onderhavig wetsvoorstel. Het verslag van die evaluatie wordt binnen twee jaar na inwerkingtreding van het wetsvoorstel aan de Staten-Generaal gezonden. In de nota van wijziging die gelijktijdig met voorliggende nota naar aanleiding van het verslag bij uw Kamer wordt ingediend, wordt alsnog in voormelde evaluatiebepaling voorzien.

7. Overig

Vraag 31 (CDA)

Allereerst willen de leden van de CDA-fractie benadrukken dat bij het verzamelen en verwerken van gegevens van luchtvaartmaatschappijen de uitvoering en handhaving van groot belang zijn. Hierbij brengen deze leden in herinnering de nieuwsberichten dat paspoorten amper gecontroleerd worden of dat vingerafdrukken in het paspoort ongebruikt blijven. Kan de regering aangeven hoe ervoor wordt gezorgd dat luchtvaartmaatschappijen deze gegevens controleren voordat ze deze verstrekken aan de databanken?

Ik stel voorop dat de PNR-richtlijn niet de mogelijkheid biedt voor controle of personen die een vervoersbewijs hebben gekocht ook daadwerkelijk degenen zijn die van het vervoersbewijs gebruikmaken en of passagiers in het vliegtuig reizen met een ticket op eigen naam.

Voor inkomende vluchten van buiten de EU en/of het Schengengebied zijn luchtvaartmaatschappijen op basis van de API-richtlijn verplicht om volledige en juiste API-gegevens te verstrekken aan de Kmar.34 De mogelijkheden voor een verplichte conformiteitscheck voor intra-Schengen vluchten die vanuit de lidstaat vertrekken worden nu onderzocht. Onder conformiteitscheck wordt in deze enkel verstaan dat bij vertrek wordt gecontroleerd of de naam op het identiteitsbewijs van de passagier overeenkomt met de naam op het vervoersdocument. In deze verkenning wordt de impact van een conformiteitscheck van ca. 14 miljoen passagiers, die vanuit Nederland binnen het Schengengebied reizen, op het operationele proces van de luchtvaartsector meegenomen. Aan de Europese Commissie is op initiatief van België en Nederland tijdens de JBZ-raad van 8 maart 2018 gevraagd of zij de mogelijkheden wil onderzoeken om conformiteitschecks door luchtvaartmaatschappijen verplicht te stellen voor intra-Schengen vluchten.35

Ten aanzien van het ongebruikt blijven van vingerafdrukken in het paspoort verwijs ik u naar mijn antwoord aan deze Kamer van 8 december 2017, waarin ik aangeef dat op dit moment vingerafdrukken in Nederlandse paspoorten niet worden gecontroleerd op (inter)nationale luchthavens, maar dat Nederland en andere lidstaten wel bezig zijn om dit mogelijk te maken. 36

Vraag 32 (SP)

De leden van de SP-fractie vragen in hoeverre dit nu voorliggende wetsvoorstel afwijkt van het actieplan tegen jihadisme en radicalisme uit 2014 wat door de leden van de VVD-fractie en van de PvdA-fractie destijds werd verworpen met de argumentatie dat er geen behoefte was aan «een standaard vakantieregister»? Waarom is er niet voor gekozen dat de overheid een lijst aanlevert aan luchtvaartmaatschappijen met namen van verdachte personen en wanneer die personen langskomen de maatschappijen een seintje moeten geven aan de (opsporings-)instanties?

In het actieprogramma «Integrale aanpak jihadisme» is een groep maatregelen opgenomen over informatie-uitwisseling en samenwerken.37 Maatregel 34 van dit actieprogramma ziet op versterking van de detectie van jihadistische reisbewegingen en het gebruik van PNR-gegevens. In het debat over het actieprogramma van 4 september 2014 heeft uw Kamer aangegeven af te willen zien van het invoeren van een nationale wet op de reisgegevens en te wachten op de PNR-richtlijn.38 De onderhandelingen over de PNR-richtlijn lagen op dat moment stil. Na de gebeurtenissen in Brussel, Parijs, Verviers en Kopenhagen steeg de druk op de EU om de PNR-richtlijn af te ronden.39 Ook het Europees Parlement sprak steun uit voor een spoedige afronding van de EU PNR-richtlijn in zijn resolutie aangaande maatregelen ter bestrijding van terrorisme.40 Op 20 november 2015 vond een buitengewone JBZ-Raad plaats op initiatief van Frankrijk naar aanleiding van de meest recente aanslagen.41 De JBZ Raad formuleerde als belangrijkste punten de afronding van de PNR-richtlijn en, om Schengen te behouden, systematische controles van EU-burgers aan de EU-buitengrenzen. Naar aanleiding van deze buitengewone JBZ-Raad heeft zowel de Europese Raad als het Europees Parlement de onderhandelingen over de PNR-richtlijn af te ronden voor het einde van 2015. De regering heeft zich op aangeven van de Tweede Kamer in eerste instantie terughoudend opgesteld in de onderhandelingen die eerder dat jaar startten.42 Gelet op het belang om de Nederlandse zienswijzen over te brengen werd met uw Kamer de afspraak gemaakt dat Nederland zich actief zou opstellen ten aanzien van die punten die voor Nederland van belang waren in de onderhandelingen met als resultaat de uitkomsten van de onderhandelingen in de richtlijn zoals aangenomen.43 Daarbij is in de algemene overleggen met uw Kamer ter voorbereiding van de JBZ Raden telkens gesproken over de voortgang van de onderhandelingen en tevens de meerwaarde van de PNR-richtlijn en de Nederlandse steun voor de komst van de richtlijn.44 De PNR-richtlijn komt grotendeels overeen met maatregel 34, zoals opgenomen in het actieprogramma. Enig verschil met de PNR-richtlijn is, zo antwoord ik de leden van de SP-fractie, dat bij maatregel 34 wordt vermeld dat er een technisch portaal wordt ontwikkeld voor het ontvangen van PNR-gegevens. Deze technische faciliteit TRIP heeft Nederland in 2015 succesvol ontwikkeld. TRIP wordt inmiddels zoals bekend ook gedeeld door Nederland met andere EU-lidstaten, omdat bleek dat veel andere landen en instituties grote interesse in TRIP hadden door de privacy-by-design inrichting van het systeem.

Het is geen optie, zoals de leden van de SP-fractie voorstellen, om luchtvaartmaatschappijen een lijst te geven met verdachte personen, zodat deze melding kunnen maken op het moment dat die personen bij hen in beeld zijn. Luchtvaartmaatschappijen kunnen en zullen niet belast worden met het uitvoeren van een overheidstaak die inbreuk kan maken op de persoonlijke levenssfeer van personen. Dit is voorbehouden aan bevoegde diensten van de overheid, met inachtneming van de daarvoor geldende wettelijke kaders en waarborgen. Het verstrekken van gegevens aan luchtvaartmaatschappijen van persoonsgegevens verkregen uit onderzoeken naar ernstige criminaliteit of terrorisme aan commerciële ondernemingen is onacceptabel uit het oogpunt van gegevensbescherming en inachtneming van de rechten van betrokkenen. De Pi-NL zal alleen gegevens versterken onder bepaalde voorwaarden aan de bij dit wetsvoorstel aangewezen bevoegde instanties.

II. ARTIKELSGEWIJS

Artikel 19

Vraag 33 (SP)

De leden van de SP-fractie lezen in artikel 19 dat is bepaald dat de verwerking van persoonsgegevens in de zin van dit wetsvoorstel geen betrekking mag hebben op bijzondere persoonsgegevens. Toch lezen deze leden in bijlage 1 dat API-gegevens gewoon worden verzameld en opgeslagen. Deze API-gegevens bevatten gegevens uit het reisdocument zoals naam, geboortedatum, nationaliteit en foto. De Hoge Raad heeft in zijn arrest van 23 maart 2010 bepaald dat een foto een bijzonder persoonsgegeven is. Dat geldt ook voor de geboorteplaats, het geboorteland en de nationaliteit en (nogmaals) de pasfoto’s in onderlinge samenhang bezien en het Burgerservicenummer. Is de regering bereid het wetsvoorstel op dit punt aan te passen zodat ook volgens jurisprudentie geen sprake zal zijn van het verzamelen, opslaan en verwerken van bijzondere persoonsgegevens? Zo nee, waarom niet? Zo ja, op welke manier?

Verwerking van persoonsgegevens door de Pi-NL mag geen betrekking hebben op bijzondere persoonsgegevens. Dit betreft zoals reeds uiteengezet persoonsgegevens waaruit iemands godsdienst of levensovertuiging, ras of etnische afkomst, politieke gezindheid, gezondheid, seksuele leven of geaardheid of lidmaatschap van een vakvereniging blijkt. Deze leden verwijzen in dit verband terecht naar artikel 19 van het wetsvoorstel, waarin dit is vastgelegd. In het geval de Pi-NL deze gegevens toch ontvangt van een vliegtuigmaatschappij, worden deze gegevens onmiddellijk gewist (artikel 19, tweede lid van het wetsvoorstel).

Anders dan deze leden lijken te veronderstellen, bevatten API-gegevens geen (pas)foto’s of het BSN van betrokkenen (zie bijlage 1 bij het wetsvoorstel).45 Dit is eveneens vastgelegd in WCO/IATA/ICAO Guidelines on Advance Passenger Information. API-gegevens bevatten het land van afgifte van een identiteitsdocument, de nationaliteit en de geboortedatum van de reiziger, echter niet het geboorteland en de geboorteplaats. Door de Pi-NL worden derhalve geen foto’s van passagiers ontvangen of opgeslagen, noch het BSN.46

Deze leden verwijzen naar de uitspraken van de Hoge Raad en de Afdeling bestuursrechtspraak van de Raad van State, waarin is overwogen dat niet alleen gegevens die als zodanig betrekking hebben op een gevoelig kenmerk als bijzonder persoonsgegeven worden aangemerkt, maar ook de gegevens die als zodanig daarop geen betrekking hebben maar waaruit wel de aanwezigheid van een gevoelig kenmerk rechtstreeks kan worden afgeleid. Zo kan uit een pasfoto het ras van een persoon worden afgeleid, aldus de Hoge Raad.47

Ik merk hierover op dat door de Pi-NL als gezegd geen pasfoto’s worden ontvangen van de luchtvaartmaatschappijen, noch opgeslagen. Ook de andere hierboven vermelde gegevens die de Pi-NL verwerkt, kunnen niet worden aangemerkt als bijzondere gegevens waaruit rechtstreeks het ras van een persoon kan worden afgeleid.

Aanpassing van het wetsvoorstel zoals deze leden die voorstaan acht ik derhalve niet nodig.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus


X Noot
1

Artikel 4, derde lid, Vreemdelingenwet 2000. Dit betreft politietaken als bedoeld in artikel 4, eerste lid, onder f, van de Politiewet 2012.

X Noot
2

Dit betreft slechts bepaalde ernstige misdrijven, waarop drie jaar of meer gevangenisstraf op staat en die in de bijlage bij de PNR-richtlijn worden vermeld.

X Noot
3

Artikel 9, tweede lid van het wetsvoorstel.

X Noot
4

Commission Implementing Decision (EU) 2017/759 of 28 April 2017 on the common protocols and data formats to be used by air carriers when transferring PNR data to Passenger Information Units.

X Noot
5

Artikel 24 van het wetsvoorstel: Overtreding van een het bepaalde in artikel 4, eerste tot en met vierde lid of krachtens artikel 4, vijfde lid, wordt gestraft met hechtenis van ten hoogste zes maanden of geldboete van de vierde categorie. De in het eerste lid strafbaar gestelde feiten zijn overtredingen.

X Noot
6

Artikel 108, derde lid, van de Vreemdelingenwet 2000.

X Noot
7

Omdat de Pi-NL geen opsporingsbevoegdheid heeft, zoals wordt uiteengezet in mijn antwoord op vraag 9 (VVD) in paragraaf 2.2., wordt proces-verbaal opgemaakt door een opsporingsambtenaar van de KMar of door een politieambtenaar.

X Noot
8

Ministry of Defence; Netherlands Advance Passenger Information (API), Implementation Guide Annex II. Zie voorts Richtlijn voor strafvordering strafrechtelijke aansprakelijkheid voor het verstrekken van PNR-gegevens door luchtvaartmaatschappijen, Stcrt. 2012, 2059.

X Noot
9

Commission Implementing Decision (EU) 2017/759 of 28 April 2017 on the common protocols and data formats to be used by air carriers when transferring PNR data to Passenger Information Units.

X Noot
10

Zie artikel 4, tweede en vijfde lid van het wetsvoorstel.

X Noot
11

Artikel 20, eerste lid, onder d, van het wetsvoorstel.

X Noot
12

Dit betreft het opstellen van risico-criteria als bedoeld in artikel 6, eerste lid, onder c, van het wetsvoorstel.

X Noot
13

COM(2011) 32 final, SEC(2011) 133 final.

X Noot
14

Kamerstukken II 2017/18, 34 861, nr. 3, blz. 44.

X Noot
15

Handelingen II 2017/18, nr. 410.

X Noot
16

Kamerstukken II 2017/18, 34 861, nr. 3, blz. 26.

X Noot
17

Artikel 19 van het wetsvoorstel.

X Noot
18

Artikel 8, eerste lid van het wetsvoorstel.

X Noot
19

Richtlijn 2004/82/EC van 29 april 2004 betreffende de verplichting voor vervoerders om een beperkt aantal PNR-gegevens door te geven.

X Noot
20

Kamerstukken II, 2018/19, 34 861, nr. 3, paragraaf 8, punt 5.

X Noot
21

Dit betreft het opstellen van risico-criteria als bedoeld in artikel 6, eerste lid, onder c, van het wetsvoorstel.

X Noot
22

Overweging 33 van de PNR-richtlijn: «Deze richtlijn laat onverlet dat de lidstaten krachtens hun nationaal recht een systeem kunnen opzetten voor het verzamelen en verwerken van PNR-gegevens van marktdeelnemers die geen luchtvaartmaatschappij zijn, zoals reisbureaus en touroperators die diensten in verband met reizen aanbieden, met inbegrip van het boeken van vluchten, waarvoor zij PNR-gegevens verzamelen en verwerken, of van andere vervoerders dan de in deze richtlijn bepaalde, mits dit nationale recht in overeenstemming is met het recht van de Unie.»

X Noot
23

Kamerstukken II 2017/18, 34 861, nr. 3, blz. 39.

X Noot
24

ST9368/2016 REV 1.

X Noot
25

Een politiegegeven is volgens artikel 1, onder a, van de Wpg elk persoonsgegeven dat in het kader van de uitoefening van de politietaak wordt verwerkt.

X Noot
26

Dit betreft artikel 17 van de Wpg, na wijziging van de Wpg ter implementatie van de Richtlijn gegevensbescherming opsporing en vervolging (Richtlijn 2016/680) artikel 17a Wpg.

X Noot
27

Artikel 11, eerste lid, van de PNR-richtlijn verwijst naar voorschriften van het Kaderbesluit 2008/977/JBZ, dat thans is geïmplementeerd in artikel 17 van de Wpg. Zie artikel 13, eerste lid, onder d, van het wetsvoorstel.

X Noot
28

Zie artikel 13 van de PNR-richtlijn en overweging 27 van de considerans van de PNR-richtlijn.

X Noot
29

Kamerstukken II 2018/19, 34 889.

X Noot
30

ANPR: toepassingen en ontwikkelingen; Regioplan Beleidsonderzoek in opdracht van het WODC, 2016.

X Noot
31

Hits en hints. De mogelijke meerwaarde van ANPR voor de opsporing, uitgevoerd door de DSP-groep in opdracht van het WODC; bijlage bij Kamerstukken II 2011/12, 31 051, nr. 10.

X Noot
32

ANPR: toepassingen en ontwikkelingen; Regioplan Beleidsonderzoek in opdracht van het WODC, 2016, blz. 19.

X Noot
33

Dit is bepaald in artikel 19 van de PNR-richtlijn.

X Noot
34

Artikel 4 van de API-richtlijn 2004/82/EC van 29 april 2004).

X Noot
35

Handelingen II 2017/18, nr. 410. Verslag van de bijeenkomst van de Raad Justitie en Binnenlandse Zaken (JBZ) van 8 en 9 maart 2018 te Brussel. Handelingen II 2017/18, nr. 410.

X Noot
36

Handelingen II, 2017/18, nr. 647.

X Noot
37

Kamerstukken II, 2013–2014, 29 754, nr. 253 met Bijlage.

X Noot
38

Kamerstukken II, 2013/14, 29 754, nr. 266.

X Noot
39

Kamerstukken II, 2014/15, 32 317, nr. 284.

X Noot
40

European Parliament resolution of 11 February 2015 on anti-terrorism measures (2015/2530(RSP).

X Noot
41

Verslag JBZ Raad 20 november 2015, Kamerstuk 32 317, nr. 360.

X Noot
42

Kamerstukken II, 2014/15, 32 317, nr. 284.

X Noot
43

Kamerstukken II, 2015/16, 32 317, nr. 362; Kamerstukken II, 2015/16, 32 317, nr. 375; Kamerstukken I, 2015/16, 32 317, FP.

X Noot
44

Kamerstukken II, 2015/16, 32 317, nr. 384.

X Noot
45

API-gegevens zijn: soort, nummer, land van afgifte en geldigheidsdatum van een identiteitsdocument, nationaliteit, familienaam, voornaam, geslacht, geboortedatum, luchtvaartmaatschappij, vluchtnummer, datum van vertrek, datum van aankomst, luchthaven van vertrek, luchthaven van aankomst, tijdstip van vertrek, tijdstip van aankomst. Ten overvloede merk ik op dat het bestandsformaat waarin de API-gegevens worden doorgestuurd een tekstbestand is (UN/EDIFACT PAXLST); het is derhalve technisch onmogelijk afbeeldingen door te sturen.

X Noot
46

Zo worden ook niet aan de KMar ten behoeve van de grensbewaking en het tegengaan van illegale immigratie pasfoto’s van passagiers verstrekt (zie hiervoor artikel 4, derde lid, Vreemdelingenwet 2000 en artikel 2.2a, derde lid, Vreemdelingenbesluit 2000).

X Noot
47

Hoge Raad 23 maart 2010, ECLI:NL:PHR:2010:BK6331 en Afdeling bestuursrechtspraak Raad van State 13 augustus 2014, ECLI:NL:RVS:2014:3002. De Hoge Raad en de Afdeling bestuursrechtspraak verwijzen hierbij naar de memorie van toelichting bij de Wet bescherming persoonsgegevens (Stb. 2000, 302). Kamerstukken II, 1997/98, 25 892, nr. 3, blz. 101–105.