Het voorbereidend onderzoek heeft de commissie aanleiding gegeven tot het maken van de volgende opmerkingen en het stellen van de volgende vragen, die spoedshalve per fractie geordend zijn.

Inleiding

De fractieleden van D66 hebben kennisgenomen van het voorliggende wetsvoorstel dat EU-richtlijn 2016/681 implementeert. Zij hebben een aantal vragen, mede ingegeven door het oordeel van het Hof van Justitie van de Europese Unie (hierna: HvJ EU) ten aanzien van de PNR2-overeenkomst tussen Canada en de EU.3

De SP-fractieleden hebben met belangstelling kennisgenomen van het voorliggend wetsvoorstel en willen naar aanleiding daarvan een aantal vragen stellen aan de regering.

De fractieleden van de PvdA hebben kennisgenomen van het voorliggende wetsvoorstel en hebben naar aanleiding daarvan nog een aantal vragen. De fractie van 50PLUS sluit zich bij enkele van deze vragen aan.

De leden van de GroenLinks-fractie hebben kennisgenomen van het wetsvoorstel. Zij hebben hierover nog enkele vragen.

De leden van de fractie van de ChristenUnie hebben kennisgenomen van het wetsvoorstel Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven. Zij stellen nog enkele vragen over het bindend advies dat het HvJ EU heeft uitgebracht over de PNR-overeenkomst tussen de EU en Canada, nu de overeenkomst op onderdelen onverenigbaar wordt geacht met het Handvest van de grondrechten van de Europese Unie.

Vragen en opmerkingen van de leden van de D66-fractie

In het onderhavige wetsvoorstel wordt de EU-richtlijn geïmplementeerd in Nederlandse wetgeving. De verplichting om de richtlijn toe te passen op intra-EU-gegevens komt niet voort uit de richtlijn. In het wetsvoorstel is daar wel voor gekozen. Het HvJ EU heeft ten aanzien van de PNR-overeenkomst tussen Canada en de EU geoordeeld dat de grondrechten binnen die overeenkomst onvoldoende geborgd zijn. De Afdeling advisering van de Raad van State (hierna: Afdeling) heeft mede daardoor gesteld dat de grondrechten niet voldoende geborgd zijn met deze richtlijn.4 Deze leden vernemen daarom graag waarom de verplichtingen die volgen uit de richtlijn uitgebreid worden, ondanks het feit dat er een kans bestaat dat de EU-richtlijn grondrechten niet waarborgt.

De fractieleden van D66 zijn niet overtuigd van het nut, de noodzaak en de proportionaliteit van de EU-richtlijn. Zij menen dat de kans groot is dat de grondrechten door deze richtlijn onvoldoende gewaarborgd worden. Voorgaande wordt versterkt door het oordeel van het HvJ EU ten aanzien van de PNR-overeenkomst tussen Canada en de EU. Het advies van de Afdeling aan de regering om in te zetten op een juridische herbeoordeling van de richtlijn5, kunnen de leden daarom onderschrijven. In de Tweede Kamer is een motie aangenomen van het lid Groothuizen (D66)6 die de regering oproept om hier actief werk van te maken in Europees verband. De D66-fractieleden achten het van belang dat de aangenomen motie spoedig wordt uitgevoerd. Zij horen graag van de regering hoe en wanneer zij deze motie kan uitvoeren.

Vragen en opmerkingen van de leden van de SP-fractie

Kan de regering aantonen dat het opslaan van alle gegevens van alles en iedereen zinvol respectievelijk zinnig is? Anders geformuleerd: kan de regering aantonen wat het nut, de noodzaak en de proportionaliteit van de voorgestelde maatregel zijn? Zo ja, op welke wijze?

De SP-fractieleden zijn op zich niet tegen het doelgericht verzamelen van relevante gegevens, waarmee potentiële criminelen en terroristen opgespoord kunnen worden, maar zien er niets in om op volstrekt willekeurige wijze zoveel mogelijk gegevens van zoveel mogelijk mensen te verzamelen. Waarom heeft de regering, indachtig haar plicht om burgers niet onnodig te criminaliseren en haar plicht om burgers te beschermen tegen onnodige overheidsinvloed en overheidsbemoeienis, niet voor meer proportionele maatregelen gekozen, hetgeen mogelijk is?

Vragen en opmerkingen van de leden van de PvdA-fractie

Deelt de regering deze algemene vereisten, zo vragen de leden van de PvdA-fractie mede namens de fractie van 50PLUS? Zo nee, op welke onderdelen niet en waarom niet? Hoe beoordeelt de regering het huidige wetsvoorstel op basis van deze algemene vereisten? De WRR beveelt aan om bij profiling nadere regels over toelaatbare foutmarges te stellen, het verbod op geautomatiseerde besluitvorming strikter te handhaven en alert te zijn op semiautomatische besluitvorming. Deelt de regering dit standpunt? Hoe verhoudt het huidige wetsvoorstel zich daartoe?

Het Rathenau Instituut verwijst in het rapport «Opwaarderen. Borgen van publieke waarden in de digitale samenleving» naar Diakopoulos. Hij heeft een eerste poging gedaan om een transparantiestandaard voor het gebruik van algoritmes te ontwikkelen, om zo controle en toezicht op algoritmes mogelijk te maken. Hij beschrijft hierin vijf categorieën waarmee rekening moet worden gehouden om transparantie te waarborgen:

• «1. Menselijke betrokkenheid. Helder moet zijn wie (van het bedrijf) controle heeft over het algoritme; wie verantwoordelijk is; en wie de ontwikkelaars zijn van het algoritme.

• 2. Data. Helderheid over de kwaliteit, nauwkeurigheid, onzekerheid en volledigheid van de data, en welke data gebruikt worden en welke data gecombineerd worden.

• 3. Het model. Helder moet zijn hoe data gecombineerd worden, hoe bepaalde data gewogen worden en welke aannames er gemaakt worden.

• 4. Inferentie. Wat is de foutmarge? Bijvoorbeeld: hoeveel «false positives» en «false negatives» zijn er, en zijn die fouten te wijten aan data-input, menselijke betrokkenheid of het algoritme?

• 5. Gebruik van het algoritme. Helder moet zijn op welk moment en in welke gevallen een algoritme wordt ingezet.»8

Dit brengt de fractieleden van de PvdA op de volgende vragen, waar de fractie van 50PLUS zich bij aansluit. Deelt de regering deze vijf algemene vereisten? Zo nee, op welke onderdelen niet en waarom niet? Zo ja, hoe beoordeelt zij het huidige wetsvoorstel op basis van deze vijf criteria?

In de impactassessment wordt gesproken van een grotere werklast voor het Openbaar Ministerie, het Landelijk Internationaal Rechtshulp Centrum (LIRC), de Nationale Politie, de Koninklijke Marechaussee en de bijzondere opsporingsdiensten. Vanuit de begroting van het ministerie wordt vanaf 2020 jaarlijks ruim 22 miljoen euro voor de uitvoering van deze wet uitgetrokken. Dit komt uit de staande begroting. Een fors deel is bestemd voor de passagiersinformatie-eenheid (hierna: Pi-NL). Kan de regering de exacte verdeling van de financiële middelen over de betrokken organisaties/diensten aangeven? Graag ontvangen de PvdA-fractieleden een onderbouwing van de gekozen verdeling.

In het ongevraagd advies van de Raad voor de rechtspraak is te lezen dat verwacht wordt dat de voorgestane wijze van uitvoering van het wetsvoorstel substantiële werklastgevolgen heeft voor de Rechtspraak. De Raad schat die gevolgen in op ruim 3 miljoen euro in het eerste jaar na invoering, op bijna 4 miljoen euro in het tweede jaar na invoering en daarna structureel jaarlijks op 6,4 miljoen euro.10 Deelt de regering deze prognose? Zo nee, waarom niet? Kan zij aangeven hoe deze verwachte kosten gedekt worden?

In de tweede nota van wijziging wordt het tweede lid van het voorgestelde artikel 18 geschrapt.11 Daarin staat dat de Minister de functionaris voor gegevensbescherming voldoende middelen moet geven voor de uitvoering van diens taken. Kan de regering aangeven waarom deze passage geschrapt is?

Er zijn personele tekorten bij de Koninklijke Marechaussee, het Openbaar Ministerie en de Nationale Politie. Na inwerkingtreding van deze wet krijgen zij er taken bij. Hoe staat het met het beschikbare personeel dat daadwerkelijk invulling aan deze wet kan geven?

De Autoriteit Persoonsgegevens (hierna: AP) houdt toezicht op de gegevensverwerking. De AP heeft een kritisch advies gegeven ten aanzien van deze wet. Wat heeft de AP nodig om, ondanks de stevige kritiek, kwalitatief goed toezicht te kunnen houden in lijn met de AVG? Kan de AP deze rol naar eigen zeggen waarmaken?

In artikel 13 van het wetsvoorstel staat dat de passagiersgegevens, onder voorwaarden, ook gedeeld mogen worden met derde landen buiten de EU. Dus ook met onvrije landen en/of landen met een lager beschermingsniveau. Er staat in het voorgestelde artikel 13, eerste lid, onder a dat informatie uitsluitend wordt doorgegeven indien deze informatie noodzakelijk is voor het voorkomen, opsporen, onderzoeken, of vervolgen van een terroristisch of ernstig misdrijf. In het voorgestelde artikel 13, eerste lid, onder b staat dat deze derde landen (na ermee ingestemd te hebben) deze gegevens aan een ander derde land mogen doorgeven indien dit strikt noodzakelijk is voor het voorkomen, opsporen, onderzoeken, of vervolgen van een terroristisch of ernstig misdrijf. Kan de regering aangeven op basis van welke criteria beoordeeld wordt of het doorgeven van informatie «noodzakelijk» dan wel «strikt noodzakelijk» is? En kan zij aangeven hoe toezicht wordt gehouden in deze derde landen op het naleven van de gestelde vereisten en waarborgen? Biedt dit toezicht volgens de regering voldoende borging van de gegevens van Nederlandse inwoners? Hoe verhoudt deze wetgeving zich met de AVG-wetgeving op dit onderdeel? Met name als er sprake is van derde landen met een niet passend beschermingsniveau?

Vragen en opmerkingen van de leden van de GroenLinks-fractie

De leden van de GroenLinks-fractie verwijzen naar de Lijst van strafbare feiten12 als bedoeld in artikel 1 van het wetsvoorstel en constateren dat deze lijst een grote reikwijdte heeft, waarbij in sommige gevallen de proportionaliteit van verwerking van passagiersgegevens niet evident is. Is de regering van mening dat de doelbinding met betrekking tot elk van deze misdrijven voldoende is geborgd in het onderhavige wetsvoorstel? Hoe verhouden bijvoorbeeld «milieumisdrijven» en «namaak van producten en productpiraterij» zich tot het beoogde doel van de wet, namelijk het voorkomen, opsporen en onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit?

In de memorie van toelichting is te lezen dat «het vastleggen van uitvoeringsregels in een algemene maatregel van bestuur geen verplichting meer, maar een mogelijkheid [is].»13 Kan de regering dit nader toelichten? Betekent dit dat het inwinnen van advies van de AP geen verplichting is indien er middels AMvB wijzigingen in regels worden aangebracht, bijvoorbeeld het per AMvB stellen van nadere regels over de (toepassing van) risico-criteria en controle hierop, of over de verstrekking en uitwisseling van passagiersgegevens van Pi-NL met Europol en de passagiersinformatie-eenheden van andere lidstaten?

De leden van de GroenLinks-fractie constateren dat verwerking van passagiersgegevens gebeurt door middel van vergelijking met signaleringslijsten (SIS-II-databank14) en door geautomatiseerde risicobeoordeling aan de hand van zogenaamde «risico-criteria». Deze leden vragen de regering, mede gelet op het feit dat de regering in de memorie van toelichting stelt dat «zoveel mogelijk transparantie [wordt] betracht»15, om een nadere toelichting van deze «risico-criteria» alsmede de betreffende toelaatbare foutmarges en gehanteerde logica.

De regering geeft meermaals aan dat menselijke tussenkomst een vereiste is bij automatische verwerking aan de hand van risico-criteria. Kan zij de contouren geven van de «objectieve toets», aan de hand waarvan een medewerker van de Pi-NL de uitkomst van een vergelijking met risico-criteria dient te beoordelen alvorens deze voor nader onderzoek door te geven?

Is de regering voornemens om te onderzoeken dan wel te evalueren of automatische verwerking aan de hand van risico-criteria in de praktijk niet alsnog een disproportioneel discriminatoir effect op bepaalde groepen passagiers heeft, en de bevindingen hiervan te gebruiken om automatische verwerkingsmethoden te optimaliseren?

Volgens de regering dienen de risico-criteria «uiteraard dusdanig scherp te zijn opgesteld dat het systeem zo weinig mogelijk onschuldige personen aanduidt.»16 Acht de regering dit mogelijk gezien de aard van de te ontvangen en verwerken passagiersgegevens, die noodzakelijkerwijs een breed karakter hebben?

De GroenLinks-fractieleden menen een spanningsveld te zien tussen het openbaar maken van de principes waarop geautomatiseerde bewerking plaatsvindt en de effectiviteit van automatische verwerkingsmethodes indien transparantie mensen met terroristische of criminele motieven de kans geeft om te kunnen anticiperen op de risico-criteria. Desalniettemin is transparantie voor redenen van aansprakelijkheid essentieel. Graag een reflectie van de regering.

Een uitzondering op de regel dat passagiersgegevens na een termijn van 6 maanden deels moeten worden gedepersonaliseerd, geldt voor de lijst met «false positives» om (onterechte) herhaaldelijke controles te vermijden. Geldt hier niet evengoed de absolute bewaartermijn van 5 jaar? Betekent dit dat na deze termijn controle moet plaatsvinden alvorens dezelfde persoon opnieuw op de lijst met «false positives» wordt gezet? Hoe verhoudt dataminimalisatie zich in dit geval tot het doel om foutmarges minimaal te houden?

Indien een PIU17 uit een andere lidstaat verzoekt om persoonsgegevens van passagiers die zijn gedepersonaliseerd door afscherming (gegevens die ouder zijn dan 6 maanden), vindt een controle van de verwerking door de functionaris voor gegevensbescherming plaats. Hoe kan deze functionaris voor gegevensbescherming sanctioneren indien een PIU uit een andere lidstaat niet volgens de regels opereert? Is er in een dergelijk geval een legale basis dan wel een andere grondslag voor het onthouden van persoonsgegevens om de privacy van passagiers te borgen?

Vragen en opmerkingen van de leden van de ChristenUnie-fractie

De leden van de fractie van de ChristenUnie hebben er begrip voor dat de regering voor een dilemma staat en de implementatie doorgang laat vinden omdat de richtlijn zelf niet ongeldig is verklaard. Tegelijk blijft het schuren dat de Afdeling reeds concludeert dat de PNR-richtlijn eveneens op onderdelen strijdig is met de door het Handvest van de grondrechten van de Europese Unie gewaarborgde grondrechten. De leden van de fractie van de ChristenUnie vragen welke effecten het advies van het HvJ EU op de implementatie in andere EU-landen vorm heeft en of hier gezamenlijke voornemens worden ontwikkeld om de richtlijn in overeenstemming te brengen met het Handvest. Zij vragen wat de stand van zaken op dit moment in Brussel is en welke voornemens de regering hieromtrent heeft op het moment dat een nieuwe Europese Commissie aantreedt.

Het doel van de PNR-richtlijn is de bestrijding van terroristische misdrijven en ernstige criminaliteit. De leden van de fractie van de ChristenUnie vragen om een korte uiteenzetting hoe de regering de effectiviteit, noodzakelijkheid en proportionaliteit van de maatregel wenst te volgen. Welke evaluatieve voornemens zijn er bij deze richtlijn? Heeft de regering reeds wetenschappelijk onderzoek tot haar beschikking die nut en noodzaak van deze maatregelen onderschrijven en kan ze hier een opsomming van geven?

De leden van de fractie van de ChristenUnie zien dat deze richtlijn alleen betrekking heeft op vliegverkeer. Welke overwegingen en risico-inschattingen liggen hieraan ten grondslag, zo vragen zij.

De leden van de fractie van de ChristenUnie constateren dat er reeds een inbreukprocedure is gestart door de Europese Commissie tegen Nederland, omdat de implementatie van deze richtlijn niet tijdig is afgerond. Dat zet de parlementaire behandeling van dit wetsvoorstel in de Eerste Kamer onder tijdsdruk. Deze leden vragen of de regering de implementatietermijn te kort vond of dat er andere te billijken redenen zijn waardoor de Eerste Kamer nu in zeven weken dit wetsvoorstel moet behandelen. Hoe reflecteert de regering hierop en welke maatregelen heeft zij genomen om te waarborgen dat er voldoende tijd is voor een zorgvuldige en gedegen behandeling van voorstellen, ook in de Eerste Kamer?

De leden van de vaste commissie voor Justitie en Veiligheid zien de reactie van de regering uiterlijk vrijdag 10 mei 2019 met belangstelling tegemoet, zodat zij de nadere procedure op 14 mei 2019 kunnen bespreken, nu de Minister van Justitie en Veiligheid heeft aangegeven dat spoedige behandeling van het wetsvoorstel wenselijk is.18

De vice-voorzitter van de vaste commissie voor Justitie en Veiligheid, Van Bijsterveld

De griffier van de vaste commissie voor Justitie en Veiligheid, Van Dooren