34 861 Regels ter implementatie van richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PbEU 2016, L 119) (Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven)

E VERSLAG VAN DE VASTE COMMISSIE VOOR JUSTITIE EN VEILIGHEID1

Vastgesteld 16 mei 2019

De memorie van antwoord heeft de commissie aanleiding gegeven tot het maken van de volgende opmerkingen en het stellen van de volgende vragen, die spoedshalve per fractie geordend zijn.

Inleiding

De fractieleden van de PvdA danken de regering voor de memorie van antwoord. Zij hebben nog enkele nadere vragen.

De leden van de GroenLinks-fractie danken de regering voor hun beantwoording. Zij hebben nog enkele vragen over het wetsvoorstel.

Vragen en opmerkingen van de leden van de PvdA-fractie

In het kader van het toepassen van algoritmes om mensen met een verdacht profiel te kunnen selecteren, worden criteria gehanteerd door de software. De regering stelt in de antwoorden op de vragen van de PvdA-fractieleden dat krachtens artikel 7 van het wetsvoorstel de vooraf vastgestelde criteria die door de passagiersinformatie-eenheid (hierna: Pi-NL) worden gebruikt, worden vastgesteld in overeenstemming met de bevoegde instanties. De voornoemde leden hebben hierover de volgende vragen. Wat betekent precies «in overeenstemming vastgesteld»? Wat als er geen overeenstemming is?

Wie is dan bevoegd? Op basis van welke uitgangpunten vindt vaststelling en bijstelling plaats van deze selectiecriteria?

In de antwoorden lezen de PvdA-fractieleden dat een commissie, bestaande uit een vertegenwoordiging van recherchechefs van de bevoegde instanties, het Openbaar Ministerie en de Pi-NL, een objectieve toets verricht en de doelgerichtheid van de criteria onderzoekt. Graag ontvangen voornoemde leden een nadere toelichting op de definitie van «doelgerichtheid». Hoe wordt de doelgerichtheid bepaald? Is de regering van mening dat het zinvol is om doelgerichtheid te definiëren aan de hand van een maximum aan false negatives? Zo nee, waarom niet? De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) stelt: «De algoritmes en methoden die bij data-analyses worden gebruikt moeten deugdelijk zijn en aan de wetenschappelijke criteria voor goed (statistisch) onderzoek voldoen.»2 Is voldoen aan wetenschappelijke criteria voor goed statistisch onderzoek een uitgangspunt? Zo ja, hoe en door wie wordt dit getoetst? Zo nee, waarom niet? Welke andere uitgangspunten worden gehanteerd? En hoe en door wie worden deze getoetst? Door wie, hoe en in welke frequentie vindt het toezicht op het proces van vaststelling en bijstelling plaats van deze criteria? En op de resultaten?

De regering stelt dat «de grootte van wat bij profilering als toelaatbare foutmarges wordt gehanteerd, slechts per geval of categorieën van gevallen kan worden bepaald»3 en het uitgangspunt is dat «zowel false positives als false negatives zoveel mogelijk worden voorkomen.»4

Via Privacy First werden de leden van de PvdA-fractie gewezen op de eerste resultaten van het vergelijkbare PNR5-systeem in Duitsland. In Duitsland wordt volgens de berichtgeving maar liefst 99,7% false positives gegenereerd. Het betreft het doorzoeken van de gegevens van 1,2 miljoen passagiers in de periode tussen 29 augustus 2018 en 31 maart 2019. De software vond daarbij 94.098 «technische hits». In maar liefst 93.821 zaken ging het echter om een verkeerde beoordeling van de software.6

De voornoemde leden hebben vragen over de toelaatbare foutmarges voor het voorliggend wetsvoorstel. Is de regering van mening dat op basis van de ervaringen in Duitsland lering te trekken is bij de invoering in Nederland? Zo ja, op welke onderdelen? Zo nee, waarom niet? Zijn er gegevens beschikbaar over foutmarges in andere Europese landen waar de richtlijn7 reeds is geïmplementeerd? Zo ja, hoe zijn de eerste resultaten? Wat vindt de regering voor deze wet een toelaatbare foutmarge van false positives en false negatives? Graag een motivatie van dit percentage.

De regering stelt in antwoord op de vragen van de PvdA-fractieleden dat het mogelijk is om bij algemene maatregel van bestuur nadere regels te stellen aan de wijze waarop de criteria worden opgesteld en bijgesteld. Is zij met deze leden van mening dat, gezien de hoge mate van false positives in Duitsland, het verstandig is om bij aanvang al direct nadere regels te stellen aan de wijze waarop de criteria worden opgesteld en bijgesteld om een hoog percentage false negatives te voorkomen?

Vragen en opmerkingen van de leden van de GroenLinks-fractie

Onlangs werd bekend dat in Duitsland de analyse van PNR-gegevens heeft geleid tot 94.098 technische hits met een percentage false positives maar liefst 99,7%.8 Welke waarborgen bevat dit wetsvoorstel om een vergelijkbaar hoog percentage te vermijden?

In Duitsland worden deze technische hits handmatig gecontroleerd door ambtenaren. Het betreft hier 40 ambtenaren die 24 uur per dag bezig zijn met de controle van PNR-gegevens. Het onderhavige wetsvoorstel spreekt ook van menselijke tussenkomst door personeel van Pi-NL. Is er rekening gehouden met een scenario van een hoog percentage false positives? In hoeverre is de regering er van overtuigd dat er voldoende capaciteit is om dit effect te ondervangen?

Bij de totstandkoming en besluitvorming omtrent risico-criteria krijgen de Pi-NL, het Openbaar Ministerie, en de bevoegde opsporingsinstanties inspraak. Ondanks de nauwe betrokkenheid en verregaande bevoegdheden van de inlichtingen- en veiligheidsdiensten bij de Nederlandse PNR-databank, lijkt er geen sprake te zijn van advies of beoordeling van de Autoriteit Persoonsgegevens (hierna: AP) in dit proces. Hoewel de regering aangeeft dat een onafhankelijke functionaris voor gegevensbescherming (hierna: FG) wordt aangesteld met toegang tot gegevens die door Pi-NL worden verwerkt, die belast is met toezicht op het proces, is aan het begrip «toezicht op het proces» voor de leden van de GroenLinks-fractie nog niet genoeg duiding gegeven. Kan de regering dit concretiseren? Strekt dit bijvoorbeeld tot handhaving en sanctionering? De regering gaf in de beantwoording aan dat in het geval van informatieverstrekking de FG achteraf controleert of verstrekking rechtmatig was. De FG heeft daar echter geen bevoegdheid om verstrekking te beletten of om te sanctioneren, maar kan de AP slechts informeren. Is er sprake van eenzelfde vorm van toezicht op de risico-criteria?

De gebruikte criteria (algoritmes) zijn voor de AP toegankelijk op grond van de artikelen 5:16 en 5:17 van de Algemene wet bestuursrecht (Awb). Daarnaast geeft de regering aan dat de Pi-NL is onderworpen aan het toezicht van de AP conform artikel 17 van het wetsvoorstel juncto artikel 35 tot en met 35c van de Wet politiegegevens (Wpg). Wat houdt deze toezichtsfunctie van het AP concreet in? Wordt de AP betrokken, dan wel geïnformeerd bij wijziging van risico-criteria en andere aspecten van verwerking van persoonsgegevens, mede gelet op het feit dat de regering aangeeft dat AMvB’s aan de AP worden voorgelegd, indien deze zien op de verwerking van persoonsgegevens conform artikel 36, vierde lid, van de Algemene verordening gegevensbescherming (AVG)?

Naar verwachting zal volgende week vanuit Duitsland en Oostenrijk een grootschalige rechtszaak tegen de Europese PNR-richtlijn gelanceerd worden. Graag een reflectie van de regering op het risico dat de PNR-richtlijn middels deze zaak onrechtmatig verklaard wordt door het Europees Hof van Justitie wegens strijd met Europees privacyrecht.

De leden van de GroenLinks-fractie hebben hun bedenkingen bij de reikwijdte van het wetsvoorstel, dat niet alleen tot het voorkomen, onderzoeken en vervolgen van terroristische misdrijven strekt, maar ook tot «andere ernstige misdrijven» zoals de in Bijlage 2 van het wetsvoorstel opgenomen ernstige misdrijven. Zij vragen zich af hoe deze reikwijdte zich verhoudt tot de directe aanleiding voor implementatie van de richtlijn op intra-EU-vluchten: de terroristische aanslagen in 2015. Hoe beschouwt de regering het risico dat het nut van de maatregel om criminaliteit in algemene zin te bestrijden in de praktijk kan prevaleren boven de noodzaak van de maatregel om terroristische aanslagen te voorkomen?

De leden van de vaste commissie voor Justitie en Veiligheid zien de nota naar aanleiding van het verslag uiterlijk dinsdag 21 mei 2019 om 9.30 uur met belangstelling tegemoet. Onder voorbehoud van tijdige ontvangst van deze nota kan het plenaire debat over het wetsvoorstel op 28/29 mei 2019 plaatsvinden.

De waarnemend voorzitter van de vaste commissie voor Justitie en Veiligheid, Van Bijsterveld

De griffier van de vaste commissie voor Justitie en Veiligheid, Van Dooren

X Noot
1

Samenstelling:

Kox (SP), Ruers (SP), Van Bijsterveld (CDA) (wnd. voorzitter), Duthler (Fractie-Duthler), Ten Hoeve (OSF), Koffeman (PvdD), Strik (GL), Knip (VVD), Backer (D66), Schouwenaar (VVD), Kok (PVV), Gerkens (SP), Vlietstra (PvdA), Lokin-Sassen (CDA), Dercksen (PVV), D.J.H. van Dijk (SGP), Van Rij (CDA), Rombouts (CDA), Van de Ven (VVD), Bikker (CU), Baay-Timmerman (50PLUS), Van Zandbrink (PvdA), vac. (PVV), Fiers (PvdA), Andriessen (D66), Vink (D66), Aardema (PVV).

X Noot
2

Big Data in een vrije en veilige samenleving (WRR-rapport nr. 95 van april 2016 aan de Minister-President), Den Haag/Amsterdam: Amsterdam University Press, p. 139.

X Noot
3

Kamerstukken I 2018/19, 34 861, D, p. 7.

X Noot
4

Kamerstukken I 2018/19, 34 861, D, p. 7.

X Noot
5

Passenger Name Record.

X Noot
7

EU-richtlijn 2016/681.

Naar boven