34 861 Regels ter implementatie van richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PbEU 2016, L 119) (Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven)

F NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 20 mei 2019

De memorie van antwoord heeft de commissie aanleiding gegeven tot het maken van de volgende opmerkingen en het stellen van de volgende vragen, die spoedshalve per fractie geordend zijn.

Inleiding

De fractieleden van de PvdA danken de regering voor de memorie van antwoord. Zij hebben nog enkele nadere vragen.

De leden van de GroenLinks-fractie danken de regering voor hun beantwoording. Zij hebben nog enkele vragen over het wetsvoorstel.

Vragen en opmerkingen van de leden van de PvdA-fractie

Vraag 1 (PvdA)

In het kader van het toepassen van algoritmes om mensen met een verdacht profiel te kunnen selecteren, worden criteria gehanteerd door de software. De regering stelt in de antwoorden op de vragen van de PvdA-fractieleden dat krachtens artikel 7 van het wetsvoorstel de vooraf vastgestelde criteria die door de passagiersinformatie-eenheid (hierna: Pi-NL) worden gebruikt, worden vastgesteld in overeenstemming met de bevoegde instanties. De voornoemde leden hebben hierover de volgende vragen. Wat betekent precies «in overeenstemming vastgesteld»? Wat als er geen overeenstemming is? Wie is dan bevoegd? Op basis van welke uitgangpunten vindt vaststelling en bijstelling plaats van deze selectiecriteria?

In de antwoorden lezen de PvdA-fractieleden dat een commissie, bestaande uit een vertegenwoordiging van recherchechefs van de bevoegde instanties, het Openbaar Ministerie en de Pi-NL, een objectieve toets verricht en de doelgerichtheid van de criteria onderzoekt. Graag ontvangen voornoemde leden een nadere toelichting op de definitie van «doelgerichtheid». Hoe wordt de doelgerichtheid bepaald? Is de regering van mening dat het zinvol is om doelgerichtheid te definiëren aan de hand van een maximum aan false negatives? Zo nee, waarom niet?

De risico-criteria die worden gebruikt bij de beoordelingen door de Pi-NL teneinde te bepalen welke personen betrokken zouden kunnen zijn bij een terroristisch of ernstig misdrijf, worden door de Pi-NL in overeenstemming met de bevoegde instanties vastgesteld. «In overeenstemming met de bevoegde instanties vastgesteld» betekent dat de risico-criteria uitsluitend kunnen worden vastgesteld indien alle bevoegde instanties daarmee instemmen. Vanwege het belang van overeenstemming tussen de Pi-NL en de bevoegde instanties over de vaststelling en toepassing van de risico-criteria, is er geen mogelijkheid deze criteria vast te stellen zonder volledige overeenstemming in de daartoe ingestelde commissie die bestaat uit vertegenwoordigers van alle genoemde partijen.

De criteria komen tot stand door analyse van (gedepersonaliseerde) passagiersgegevens, criminaliteitsanalyses en andere relevante (opsporings)informatie. Het analyseren van passagiersgegevens door de Pi-NL voor het opstellen van nieuwe of het bijstellen van bestaande criteria (artikel 6, eerste lid, onder c, van het wetsvoorstel) is hiervan onderdeel. Uit deze gegevens kunnen indicatoren worden afgeleid die de modi operandi, reispatronen, reisgedrag en niet-discriminerende kenmerken van personen betreffen. In de motivering bij een voorstel voor vaststelling van risico-criteria aan voormelde commissie zal helder en aan de hand van voorbeelden worden toegelicht op grond van welke aannames, analyses en tests deze risico-criteria tot stand zijn gekomen. De doelgerichtheid van de risico-criteria wordt door de commissie mede bepaald aan de hand van deze motivering: is voldoende aannemelijk gemaakt dat aan de hand van deze specifieke set risico-criteria de personen kunnen worden geïdentificeerd die met een hoge mate van zekerheid kunnen worden gekoppeld aan specifieke vormen van ernstige criminaliteit of terrorisme?

Het uitgangspunt is uiteraard dat false positives 1 – dit zijn positieve resultaten van vergelijking van passagiersgegevens met databanken en/of risico-criteria die, naar achteraf blijkt, ten onrechte als positief zijn aangemerkt – zoveel mogelijk dienen te worden voorkomen. Echter, het op voorhand definiëren van doelgerichtheid van de risico-criteria aan de hand van een (in absolute getallen of percentages bepaald) maximum aan false positives is niet goed mogelijk.

Zoals eerder aangegeven2 is het kabinetsstandpunt dat de grootte van toelaatbare foutmarges bij profilering slechts per geval of categorie van gevallen kan worden bepaald. Zo zal bij een zeer groot belang om personen tijdig te identificeren, bijvoorbeeld in geval van een acute terroristische dreiging, de noodzaak bestaan om een grotere foutmarge te hanteren. Bovendien geldt ook dan dat alle positieve resultaten van vergelijking op risico-criteria eerst nog zorgvuldig via menselijke tussenkomst worden getoetst alvorens tot een mogelijke vervolgstap of interventie door de bevoegde instanties zal worden besloten.

Vraag 2 (PvdA)

De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) stelt: «De algoritmes en methoden die bij data-analyses worden gebruikt moeten deugdelijk zijn en aan de wetenschappelijke criteria voor goed (statistisch) onderzoek voldoen.»3 Is voldoen aan wetenschappelijke criteria voor goed statistisch onderzoek een uitgangspunt? Zo ja, hoe en door wie wordt dit getoetst? Zo nee, waarom niet? Welke andere uitgangspunten worden gehanteerd? En hoe en door wie worden deze getoetst? Door wie, hoe en in welke frequentie vindt het toezicht op het proces van vaststelling en bijstelling plaats van deze criteria? En op de resultaten?

Zoals in de memorie van antwoord reeds vermeld, is de regering bezig met het opstellen van richtlijnen voor het toepassen van algoritmes door overheidsinstanties.4 Deze richtlijnen bevatten concrete aanwijzingen die bedoeld zijn om het inzicht in en de kwaliteit van algoritmes te verbeteren, waaronder de deugdelijkheid van de gebruikte algoritmes en methoden. Daarnaast is de regering bezig met een brief over mogelijke wettelijke waarborgen rond de toepassing van big data-analyses en profilering door de overheid. Ook deze mogelijke waarborgen zijn erop gericht de transparantie en de kwaliteit en betrouwbaarheid van algoritmes en analysemethoden te vergroten. In dat kader wordt bijvoorbeeld voorgesteld dat overheden zoveel mogelijk algoritmes en analysemethoden gebruiken die wetenschappelijk gevalideerd zijn.

Andere uitgangspunten die in voormelde richtlijnen en in de brief worden gesteld, zijn bijvoorbeeld dat de uitkomsten van algoritmes en analysemethoden die leiden tot besluitvorming «uitlegbaar» moeten zijn, omdat ze door de rechter of toezichthouder getoetst kunnen worden. Ook wordt er voorgesteld dat overheden gebruik maken van wetenschappelijke methoden om hun modellen te valideren en dat modellen en algoritmes met specifieke consequenties voor individuele burgers door middel van audits of andere methoden geverifieerd moeten kunnen worden. Maatregelen met betrekking tot validatie en audits houden voorts in dat gehanteerde modellen en algoritmes worden vastgelegd en gedocumenteerd, zodat ze achteraf geverifieerd kunnen worden. Bij algoritmes die tot besluitvorming leiden is het uiteindelijk aan de rechter om te toetsen of de besluitvorming behoorlijk is geweest.

Wat betreft de vragen van de leden van de PvdA-fractie over de wijze van (her)beoordeling van de risico-criteria en de resultaten van de vergelijking van de passagiersgegevens het volgende.

De risico-criteria worden opgesteld door een commissie bestaande uit vertegenwoordigers van de bevoegde instanties en de Pi-NL. Deze commissie verricht een objectieve toets en onderzoekt de doelgerichtheid van de criteria. De criteria worden vooraf getest om te bezien hoeveel matches er worden gegenereerd met als doel de hoogst mogelijke nauwkeurigheid van de risico-criteria te bepalen en zoveel mogelijk false positives te voorkomen. Er worden nadere afspraken gemaakt over de periode van verwerking en herbeoordeling van de risico-criteria en het notificeren door de Pi-NL aan de bevoegde instanties van geconstateerde tussentijdse afwijkingen van modi operandi, die nopen tot besluitvorming omtrent de periode van verwerking of het aanpassen van de risico-criteria. Door de afdeling analyse van de Pi-NL wordt regelmatig getoetst op tussentijdse afwijkingen bij de vergelijking. Tot slot ziet de functionaris gegevensbescherming toe op de verwerking van de passagiersgegevens aan de hand van de risico-criteria.

Vraag 3 (PvdA)

De regering stelt dat «de grootte van wat bij profilering als toelaatbare foutmarges wordt gehanteerd, slechts per geval of categorieën van gevallen kan worden bepaald»5 en het uitgangspunt is dat «zowel false positives als false negatives zoveel mogelijk worden voorkomen.»6

Via Privacy First werden de leden van de PvdA-fractie gewezen op de eerste resultaten van het vergelijkbare PNR7-systeem in Duitsland. In Duitsland wordt volgens de berichtgeving maar liefst 99,7% false positives gegenereerd. Het betreft het doorzoeken van de gegevens van 1,2 miljoen passagiers in de periode tussen 29 augustus 2018 en 31 maart 2019. De software vond daarbij 94.098 «technische hits». In maar liefst 93.821 zaken ging het echter om een verkeerde beoordeling van de software.8

De voornoemde leden hebben vragen over de toelaatbare foutmarges voor het voorliggend wetsvoorstel. Is de regering van mening dat op basis van de ervaringen in Duitsland lering te trekken is bij de invoering in Nederland? Zo ja, op welke onderdelen? Zo nee, waarom niet? Zijn er gegevens beschikbaar over foutmarges in andere Europese landen waar de richtlijn9 reeds is geïmplementeerd? Zo ja, hoe zijn de eerste resultaten? Wat vindt de regering voor deze wet een toelaatbare foutmarge van false positives en false negatives? Graag een motivatie van dit percentage.

De leden van de PvdA-fractie doelen op Duitse berichtgeving over de resultaten van de verwerking van passagiersgegevens door de Duitse passagiersinformatie-eenheid (PIU), die sinds augustus 2018 operationeel is.10 Deze berichtgeving is gebaseerd op informatie van de Duitse regering aan het Duitse parlement,11 die ziet op vergelijking door de PIU van passagiersgegevens met – ik benadruk – opsporingsdatabanken, niet met risico-criteria (profilering). Het betrof 3,5 miljoen datasets van 1,2 miljoen passagiers, met dien verstande dat een dataset door de luchtvaartmaatschappij meermaals per passagier (namelijk op verschillende tijdstippen, conform de richtlijn) aan de PIU wordt aangeleverd. De vergelijking van 3,5 miljoen datasets door de PIU leverde 94.098 «technische hits» op.12 Op basis van deze hits vond een nadere technische selectie plaats op identieke en gelijksoortige treffers.13 Deze treffers zijn vervolgens manueel onderzocht door de PIU-medewerkers (de zgn. menselijke toets), hetgeen resulteerde in 277 positieve resultaten die aan de bevoegde instanties zijn doorgegeven en die tot een opvolgactie van deze instanties hebben geleid (een aanhouding, een gerichte of een onopvallende controle).14 De 277 resultaten betreffen 0,0079% van de 3,5 miljoen datasets. In 0,3% van de gevallen is een opvolging aan een technische hit gegeven en in 99,7% niet. Dat 99,7% van de technische hits false positives betreft, wordt in de berichtgeving van de Duitse regering niet met zoveel woorden vermeld, slechts het begrip «technische hits» wordt gebruikt. Ik ga ervan uit dat de in Duitsland gebruikte zoekcriteria zorgvuldig tot stand zijn gekomen en dat welbewust de keuze is gemaakt voor de inzet van voldoende PIU-medewerkers om de technische hits handmatig te kunnen toetsen. Voorts blijkt niet dat deze technische hits, behoudens de 277 hits die tot een actie hebben geleid, tot enige nadelige rechtsgevolgen voor betrokkenen hebben geleid. De gevolgtrekkingen in de berichtgeving dat het in 99,7% van de gevallen ging om «een verkeerde beoordeling van de software» dan wel fouten (Irrtümer) missen feitelijke grondslag.

De ervaringen in Duitsland laten zien dat het noodzakelijk is en blijft een zorgvuldige analyse en afweging te maken van de aard en de wijze waarop de zoekcriteria worden ingesteld (breed of specifiek, zodat deze identieke dan wel gelijksoortige treffers opleveren) op basis waarvan de vergelijking door de Pi-NL met opsporingsdatabanken plaatsvindt. Wanneer te ruime zoekcriteria worden gehanteerd, zal de vergelijking een te groot aantal hits opleveren, hetgeen dient te worden voorkomen. Ik merk op dat de richtlijn geen regels bevat over de reikwijdte van de zoekcriteria op basis waarvan de vergelijking door de Pi-NL van passagiersgegevens met opsporingsdatabanken dient te geschieden. Slechts in het geval van risico-criteria bevatten de richtlijn en het wetsvoorstel nadere voorschriften.15

Vanzelfsprekend zal iedere ervaring, zowel in andere EU-lidstaten als in Nederland, worden aangegrepen om de toepassing van beoordelingscriteria te verbeteren en de kans op false positives te verkleinen. In dit verband is het goed om te wijzen op de positieve ervaringen met PNR die de Commissie al in 2010 meldde bij het voorstel voor een PNR-richtlijn. De Commissie meldde dat de ervaring van derde landen en van lidstaten die al in 2010 gebruik maakten van PNR-gegevens voor rechtshandhavingsdoeleinden blijkt dat het gebruik van PNR-gegevens heeft geleid tot grote vooruitgang bij de bestrijding van met name drugs- en mensenhandel en terrorisme, en tot meer kennis over de samenstelling en werkwijze van terroristische en andere criminele netwerken. Volgens een aantal lidstaten zijn bijvoorbeeld de meeste drugsvangsten het resultaat van het proactief16 en realtime17 gebruik van PNR-gegevens.18 De wijze waarop dergelijk positieve resultaten zijn verkregen zullen terdege worden meegenomen bij het ontwikkelen en testen van beoordelingscriteria in Nederland.

Er is de regering geen informatie bekend over foutmarges in andere lidstaten waar de richtlijn reeds is ingevoerd.

Vraag 4 (PvdA)

De regering stelt in antwoord op de vragen van de PvdA-fractieleden dat het mogelijk is om bij algemene maatregel van bestuur nadere regels te stellen aan de wijze waarop de criteria worden opgesteld en bijgesteld. Is zij met deze leden van mening dat, gezien de hoge mate van false positives in Duitsland, het verstandig is om bij aanvang al direct nadere regels te stellen aan de wijze waarop de criteria worden opgesteld en bijgesteld om een hoog percentage false negatives te voorkomen?

De regering ziet vooralsnog geen noodzaak hiertoe. Zodra enige ervaring is opgedaan met het werken met risico-criteria zal worden bezien of het vaststellen van nadere regels wenselijk is. De regering wijst er overigens nogmaals op dat de berichtgeving over de false positives in Duitsland geen betrekking had op vergelijking met risico-criteria, maar op vergelijking met opsporingsdatabanken.

Vragen en opmerkingen van de leden van de GroenLinks-fractie

Vraag 5 (GroenLinks)

Onlangs werd bekend dat in Duitsland de analyse van PNR-gegevens heeft geleid tot 94.098 technische hits met een percentage false positives maar liefst 99,7%.19 Welke waarborgen bevat dit wetsvoorstel om een vergelijkbaar hoog percentage te vermijden?

In Duitsland worden deze technische hits handmatig gecontroleerd door ambtenaren. Het betreft hier 40 ambtenaren die 24 uur per dag bezig zijn met de controle van PNR-gegevens. Het onderhavige wetsvoorstel spreekt ook van menselijke tussenkomst door personeel van Pi-NL. Is er rekening gehouden met een scenario van een hoog percentage false positives? In hoeverre is de regering er van overtuigd dat er voldoende capaciteit is om dit effect te ondervangen?

Voor de beantwoording van deze vragen verwijst de regering naar haar reactie op vraag 3 van de leden van de PvdA-fractie.

Vraag 6 (GroenLinks)

Bij de totstandkoming en besluitvorming omtrent risico-criteria krijgen de Pi-NL, het Openbaar Ministerie, en de bevoegde opsporingsinstanties inspraak. Ondanks de nauwe betrokkenheid en verregaande bevoegdheden van de inlichtingen- en veiligheidsdiensten bij de Nederlandse PNR-databank, lijkt er geen sprake te zijn van advies of beoordeling van de Autoriteit Persoonsgegevens (hierna: AP) in dit proces. Hoewel de regering aangeeft dat een onafhankelijke functionaris voor gegevensbescherming (hierna: FG) wordt aangesteld met toegang tot gegevens die door Pi-NL worden verwerkt, die belast is met toezicht op het proces, is aan het begrip «toezicht op het proces» voor de leden van de GroenLinks-fractie nog niet genoeg duiding gegeven. Kan de regering dit concretiseren? Strekt dit bijvoorbeeld tot handhaving en sanctionering? De regering gaf in de beantwoording aan dat in het geval van informatieverstrekking de FG achteraf controleert of verstrekking rechtmatig was. De FG heeft daar echter geen bevoegdheid om verstrekking te beletten of om te sanctioneren, maar kan de AP slechts informeren. Is er sprake van eenzelfde vorm van toezicht op de risico-criteria?

De gebruikte criteria (algoritmes) zijn voor de AP toegankelijk op grond van de artikelen 5:16 en 5:17 van de Algemene wet bestuursrecht (Awb). Daarnaast geeft de regering aan dat de Pi-NL is onderworpen aan het toezicht van de AP conform artikel 17 van het wetsvoorstel juncto artikel 35 tot en met 35c van de Wet politiegegevens (Wpg). Wat houdt deze toezichtsfunctie van het AP concreet in? Wordt de AP betrokken, dan wel geïnformeerd bij wijziging van risico-criteria en andere aspecten van verwerking van persoonsgegevens, mede gelet op het feit dat de regering aangeeft dat AMvB’s aan de AP worden voorgelegd, indien deze zien op de verwerking van persoonsgegevens conform artikel 36, vierde lid, van de Algemene verordening gegevensbescherming (AVG)?

De FG is belast met de controle op de verwerking van de persoonsgegevens door de Pi-NL (artikel 18, eerste lid, van het wetsvoorstel). In artikel 5, eerste lid, van de richtlijn wordt bepaald dat de FG belast is met «het toezicht op de verwerking van PNR-gegevens». Daarmee wordt echter niet bedoeld het toezicht op de naleving zoals bedoeld in de Algemene wet bestuursrecht (Awb). De FG is geen toezichthouder in de zin van de Awb. Daarom wordt in artikel 18 van het wetsvoorstel niet het begrip «toezicht», maar het begrip «controle» gebruikt. De Autoriteit persoonsgegevens (AP) is als nationale toezichthoudende autoriteit belast met het toezicht op de naleving in de zin van de Awb, met alle daarbij behorende bevoegdheden, waaronder sanctionering. Hierna wordt nog nader ingegaan op de taak en de bevoegdheden van de AP.

Onder de controle op de verwerking van de persoonsgegevens valt de verwerking van de passagiersgegevens aan de hand van risico-criteria. De FG heeft hiertoe toegang tot alle gegevens die door de Pi-NL worden verwerkt (artikel 18, derde lid, van het wetsvoorstel). De FG heeft weliswaar geen formele rol bij de totstandkoming en vaststelling van de risico-criteria door de Pi-NL en de bevoegde instanties op grond van artikel 7, eerste lid, van het wetsvoorstel, maar diens controletaak en bevoegdheid tot toegang tot alle gegevens van de Pi-NL impliceren dat de FG inzage in de risico-criteria dient te hebben. Slechts dan kan hij immers adequaat controle uitvoeren op de verwerking van de passagiersgegevens aan de hand van die criteria. Het adviseren van de Pi-NL over de verwerking aan de hand van deze criteria kan ook tot de taken van de FG worden gerekend (artikel 36, derde lid, onder b, Wpg).

Indien de FG vaststelt dat een verwerking door de Pi-NL niet rechtmatig is, kan hij de AP daarover informeren (artikel 18, vierde lid, van het wetsvoorstel). De FG staan de benodigde middelen ter beschikking voor het vervullen van zijn taken (artikel 18, vijfde lid, van het wetsvoorstel juncto artikel 36, zesde lid, van de Wet politiegegevens, Wpg). De FG heeft uitdrukkelijk tot taak samen te werken met de AP en als contactpunt op te treden voor de AP inzake aangelegenheden betreffende de verwerking van persoonsgegevens (artikel 18, vijfde lid, van het wetsvoorstel juncto artikel 36, derde lid, onder d en e, Wpg).

Wat betreft de rol en het toezicht door de AP is het volgende van belang. De verwerking van de passagiersgegevens door de Pi-NL is ten volle onderworpen aan het toezicht door de AP (artikel 17 van het wetsvoorstel juncto artikelen 35–35c, Wpg). Dit betekent dat de AP alle haar op grond van de Awb en de Wpg toekomende toezichtsbevoegdheden kan aanwenden. Zij is bevoegd inlichtingen te vorderen evenals inzage in zakelijke gegevens en bescheiden.20 De AP kan (oplopend in zwaarte) een waarschuwing uitbrengen aan de Pi-NL dat inbreuk wordt gemaakt op de wet, een last onder bestuursdwang opleggen21, een bestuurlijke boete opleggen voor ten hoogste de vijfde categorie (€ 83.000) of de zesde categorie (€ 830.000) en de verwerkingsverantwoordelijke verplichten om een inbreuk op de persoonsgegevens te melden aan betrokkene (artikel 17 van het wetsvoorstel juncto artikel 35c, eerste lid, Wpg). Bij deze toezichtsrol past echter niet dat de AP vooraf betrokken dan wel geïnformeerd wordt bij het opstellen dan wel wijzigen van de risico-criteria. Indien een algemene maatregel van bestuur wordt opgesteld die nadere regels stelt over de risico-criteria (op grond van artikel 7, vierde lid, van het wetsvoorstel), zal deze aan de AP voor advies worden voorgelegd conform artikel 17 van het wetsvoorstel juncto artikel 35b, eerste lid, onderdeel b, Wpg. Ik merk nog op dat de AP onderzoeken kan verrichten naar de naleving van het in het wetsvoorstel bepaalde, ook op basis van informatie die de AP van de FG ontvangt (artikel 17 van het wetsvoorstel juncto artikel 35b, eerste lid, onder i, Wpg).

De leden van de GroenLinks-fractie vragen ten slotte in hoeverre de rol van de FG in het kader van de gegevensverstrekking door de Pi-NL aan de passagiersinformatie-eenheden (PIU’s) van andere lidstaten afwijkt van die in het kader van de risico-criteria. De hiervoor toegelichte controletaak van de FG op de verwerking van gegevens door de Pi-NL strekt zich (uiteraard) ook uit over de verstrekking aan andere PIU’s. Wel is bij die verstrekking voorzien in een aanvullende rol voor de FG. Gedepersonaliseerde passagiersgegevens (gegevens waarbij de identiteit van betrokkene is afgeschermd) kunnen namelijk uitsluitend aan de PIU van een ander lidstaat worden verstrekt na kennisgeving door de Pi-NL aan de FG, die de verstrekking achteraf controleert (artikel 10, derde lid, van het wetsvoorstel). Controle achteraf impliceert dat de FG de verstrekking niet kan beletten. De FG kan evenmin sancties opleggen. Echter, zoals hiervoor uiteengezet, kan de FG bij vermeende onrechtmatigheid de AP informeren, die zo nodig handhavend optreedt met de haar ter beschikking staande bevoegdheden.

Vraag 7 (GroenLinks)

Naar verwachting zal volgende week vanuit Duitsland en Oostenrijk een grootschalige rechtszaak tegen de Europese PNR-richtlijn gelanceerd worden. Graag een reflectie van de regering op het risico dat de PNR-richtlijn middels deze zaak onrechtmatig verklaard wordt door het Europees Hof van Justitie wegens strijd met Europees privacyrecht.

De regering is bekend met de berichtgeving dat in Duitsland mogelijk een juridische procedure over de richtlijn zal worden geëntameerd.22 Een reflectie op het risico dat de richtlijn onverbindend wordt verklaard is niet aan de regering. Het is aan het Hof van Justitie van de EU om in het kader van een prejudiciële procedure een juridisch bindend oordeel over de richtlijn te vellen. De richtlijn is alleen dan onverbindend, indien het Hof zulks heeft bepaald. Nederland is – evenals alle andere lidstaten – daarom onverkort gehouden de rechtsgeldige richtlijn te implementeren. Dit is ook het standpunt van de Europese Commissie, die inmiddels een inbreukprocedure tegen Nederland is gestart wegens niet-tijdige implementatie van de richtlijn. Zij heeft op 7 maart 2019 een met redenen omkleed advies (ingebrekestelling) aan de Nederlandse regering uitgebracht wegens niet-kennisgeving van de maatregelen tot omzetting van de richtlijn. De kans is zeer aanzienlijk dat de Commissie thans, een jaar na het verstrijken van de implementatietermijn van de richtlijn, de zaak spoedig aanhangig zal maken bij het Hof van Justitie van de EU en een boete en dwangsom gaat vorderen. Een boete zal minimaal € 3.7 miljoen bedragen en een dwangsom tussen € 4.536 en € 272.160 per dag, afhankelijk van het oordeel van het Hof over de aard en de ernst van de inbreuk.

Vraag 8 (GroenLinks)

De leden van de GroenLinks-fractie hebben hun bedenkingen bij de reikwijdte van het wetsvoorstel, dat niet alleen tot het voorkomen, onderzoeken en vervolgen van terroristische misdrijven strekt, maar ook tot «andere ernstige misdrijven» zoals de in Bijlage 2 van het wetsvoorstel opgenomen ernstige misdrijven. Zij vragen zich af hoe deze reikwijdte zich verhoudt tot de directe aanleiding voor implementatie van de richtlijn op intra-EU-vluchten: de terroristische aanslagen in 2015. Hoe beschouwt de regering het risico dat het nut van de maatregel om criminaliteit in algemene zin te bestrijden in de praktijk kan prevaleren boven de noodzaak van de maatregel om terroristische aanslagen te voorkomen?

De doelstelling van de PNR-richtlijn is altijd breder geweest dan enkel de bestrijding van terrorisme. In het Stockholm-programma (2010) werd de Commissie reeds opgeroepen een maatregel voor te bereiden betreffende het gebruik van PNR-gegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terrorisme én ernstige criminaliteit. Deze reikwijdte is vanaf het begin uitgangspunt geweest. De leden van de GroenLinks-fractie constateren terecht dat de directe aanleiding voor de uitbreiding van het toepassingsgebied van de richtlijn tot intra-EU vluchten is gelegen in de terroristische aanslagen in november 2015 in Parijs. Het ligt voor de hand dat de toepassing van de richtlijn op intra-EU vluchten zich mede uitstrekt tot ernstige criminaliteit. Differentiëren tussen vluchten van en naar derde landen (terrorisme en ernstige criminaliteit) en intra-EU vluchten (uitsluitend terrorisme) is niet of nauwelijks uitvoerbaar. De richtlijn biedt deze ruimte ook niet. Als gebruik wordt gemaakt van de mogelijkheid de nationale implementatiewetgeving ook toe te passen op intra-EU vluchten – waaraan alle lidstaten zich gecommitteerd hebben – dan zijn alle bepalingen van de richtlijn daarop onverkort van toepassing. Dit betekent dat de nationale wetgeving zich moet uitstrekken tot zowel terrorisme als ernstige criminaliteit, ook voor intra-EU vluchten (artikel 2, tweede lid, van de richtlijn).

En wellicht ten overvloede: de richtlijn heeft geen betrekking op de bestrijding van criminaliteit in algemene zin, maar heeft uitsluitend betrekking op de bestrijding van de ernstige misdrijven die limitatief zijn opgesomd in de bijlage en die tevens worden bedreigd met een gevangenisstraf van minimaal drie jaar.

De leden van de vaste commissie voor Justitie en Veiligheid zien de nota naar aanleiding van het verslag uiterlijk dinsdag 21 mei 2019 om 9.30 uur met belangstelling tegemoet. Onder voorbehoud van tijdige ontvangst van deze nota kan het plenaire debat over het wetsvoorstel op 28/29 mei 2019 plaatsvinden.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus


X Noot
1

Voorkeur heeft om het begrip false positives te hanteren in plaats van false negatives. False negatives duidt op een resultaat van toetsing dat ten onrechte negatief is, omdat de toetsing uitwijst dat niet aan een toetsingsvoorwaarde is voldaan, terwijl achteraf blijkt dat aan die voorwaarde reëel wel is voldaan. Dit betreft dus hits die niet zijn gegenereerd, terwijl dit achteraf bezien wel het geval had moeten zijn. Het is daarom vrijwel onmogelijk om de doelgerichtheid te definiëren aan de hand van een maximum aan false negatives.

X Noot
2

Kamerstukken II, 2018/19, 34 861, nr. D, blz. 7.

X Noot
3

Big Data in een vrije en veilige samenleving (WRR-rapport nr. 95 van april 2016 aan de Minister-President), Den Haag/Amsterdam: Amsterdam University Press, p. 139.

X Noot
4

Kamerstukken I 2018/19, 34 861, D, p. 7.

X Noot
5

Kamerstukken I 2018/19, 34 861, D, p. 7.

X Noot
6

Kamerstukken I 2018/19, 34 861, D, p. 7.

X Noot
7

Passenger Name Record.

X Noot
9

EU-richtlijn 2016/681.

X Noot
10

«Überwachung von Flugpassagieren liefert Fehler über Fehler«, Süddeutsche Zeitung, 24.4.2019.

X Noot
11

Ter beantwoording van vragen van het parlementslid Hunko BT-Drucksache 19/8810 d.d. 12.4.2019.

X Noot
12

In de periode tussen 29 augustus 2018 en 31 maart 2019.

X Noot
13

BT-Drucksache 19/8810, antwoord op vraag 9:

Welche Details kann die Bundesregierung zum Verfahren der „ausschließlich technischen Nachbewertung« mitteilen (Bundestagsdrucksache 19/4755, Antwort zu Frage 13)?

Die im Rahmen des automatisierten Abgleichs von Fluggastdaten mit den Fahndungsdatenbanken des Bundeskriminalamts (BKA) erzielten Treffer werden mittels eines Suchverfahrens einer technischen Bewertung auf Übereinstimmungen unterzogen. Dadurch wird eine technische Eingrenzung der Treffer auf identische und ähnliche Datensätze ermöglicht.

X Noot
14

BT-Drucksache 19/8810, antwoord op vraag 12.c.

X Noot
15

Artikel 7 van het wetsvoorstel.

X Noot
16

Ten behoeve van analyse en bepaling van beoordelingscriteria.

X Noot
17

Vóór aankomst of vertrek van passagiers, teneinde een strafbaar feit te voorkomen, personen te observeren of aan te houden voordat een strafbaar feit is gepleegd, of omdat een strafbaar feit gepleegd is of wordt. In dergelijke gevallen moeten PNR-gegevens kunnen worden getoetst aan vooraf bepaalde risico-indicatoren, met het oog op de identificatie van voorheen onbekende verdachten, en kunnen worden vergeleken met diverse databases van gezochte personen en voorwerpen.

X Noot
18

België meldde dat 95% van alle drugsvangsten in 2009 uitsluitend of hoofdzakelijk het resultaat waren van de verwerking van PNR-gegevens. Zweden meldde dat 65–75% van alle drugsvangsten in 2009 uitsluitend of hoofdzakelijk het resultaat waren van de verwerking van PNR-gegevens. Dit kwam overeen met 278,9 kg cocaïne, naast de nodige heroïne en andere drugs. Het Verenigd Koninkrijk meldde dat uitsluitend of hoofdzakelijk door de verwerking van PNR-gegevens in 2010 gedurende een periode van 6 maanden 212 kg cocaïne en 20 kg heroïne in beslag werden genomen.

X Noot
20

Artikelen 5:16 en 5:17 Awb.

X Noot
21

Uit artikel 5:32 Awb volgt dat de AP ook een last onder dwangsom kan opleggen: «Een bestuursorgaan dat bevoegd is een last onder bestuursdwang op te leggen, kan in plaats daarvan aan de overtreder een last onder dwangsom opleggen.» Het bedrag van de dwangsom dient in een redelijke verhouding te staan tot de zwaarte van het geschonden belang en tot de boogde werking van de dwangsom (artikel 5:32b, derde lid, Awb).

X Noot
22

«Burgers in verzet tegen opslaan passagiersgegevens». NRC 15 mei 2019.

Naar boven