Het voorbereidend onderzoek heeft de commissie aanleiding gegeven tot het maken van de volgende opmerkingen en het stellen van de volgende vragen, die spoedshalve per fractie geordend zijn.

Met belangstelling heb ik kennisgenomen van het voorlopig verslag. Ik spreek mijn dank uit dat uw Kamer op korte termijn dit voorlopig verslag heeft uitgebracht. Zoals ik uiteen heb gezet in mijn brief van 18 april 20191, stelt de regering een voortvarende behandeling door uw Kamer zeer op prijs. Ik kom daar in deze memorie van antwoord nog nader op terug bij de beantwoording van de vragen van de ChristenUnie.

Inleiding

De fractieleden van D66 hebben kennisgenomen van het voorliggende wetsvoorstel dat EU-richtlijn 2016/681 implementeert. Zij hebben een aantal vragen, mede ingegeven door het oordeel van het Hof van Justitie van de Europese Unie (hierna: HvJ EU) ten aanzien van de PNR-overeenkomst tussen Canada en de EU.

De SP-fractieleden hebben met belangstelling kennisgenomen van het voorliggend wetsvoorstel en willen naar aanleiding daarvan een aantal vragen stellen aan de regering.

De fractieleden van de PvdA hebben kennisgenomen van het voorliggende wetsvoorstel en hebben naar aanleiding daarvan nog een aantal vragen. De fractie van 50PLUS sluit zich bij enkele van deze vragen aan.

De leden van de GroenLinks-fractie hebben kennisgenomen van het wetsvoorstel. Zij hebben hierover nog enkele vragen.

De leden van de fractie van de ChristenUnie hebben kennisgenomen van het wetsvoorstel Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven. Zij stellen nog enkele vragen over het bindend advies dat het HvJ EU heeft uitgebracht over de PNR- overeenkomst tussen de EU en Canada, nu de overeenkomst op onderdelen onverenigbaar wordt geacht met het Handvest van de grondrechten van de Europese Unie.

Vragen en opmerkingen van de leden van de D66-fractie

Vraag 1 (D66)

In het onderhavige wetsvoorstel wordt de EU-richtlijn geïmplementeerd in Nederlandse wetgeving. De verplichting om de richtlijn toe te passen op intra-EU-gegevens komt niet voort uit de richtlijn. In het wetsvoorstel is daar wel voor gekozen. Het HvJ EU heeft ten aanzien van de PNR-overeenkomst tussen Canada en de EU geoordeeld dat de grondrechten binnen die overeenkomst onvoldoende geborgd zijn. De Afdeling advisering van de Raad van State (hierna: Afdeling) heeft mede daardoor gesteld dat de grondrechten niet voldoende geborgd zijn met deze richtlijn. Deze leden vernemen daarom graag waarom de verplichtingen die volgen uit de richtlijn uitgebreid worden, ondanks het feit dat er een kans bestaat dat de EU-richtlijn grondrechten niet waarborgt.

Vraag 2 (D66)

De fractieleden van D66 zijn niet overtuigd van het nut, de noodzaak en de proportionaliteit van de EU-richtlijn. Zij menen dat de kans groot is dat de grondrechten door deze richtlijn onvoldoende gewaarborgd worden. Voorgaande wordt versterkt door het oordeel van het HvJ EU ten aanzien van de PNR-overeenkomst tussen Canada en de EU. Het advies van de Afdeling aan de regering om in te zetten op een juridische herbeoordeling van de richtlijn, kunnen de leden daarom onderschrijven. In de Tweede Kamer is een motie aangenomen van het lid Groothuizen (D66) die de regering oproept om hier actief werk van te maken in Europees verband. De D66-fractieleden achten het van belang dat de aangenomen motie spoedig wordt uitgevoerd. Zij horen graag van de regering hoe en wanneer zij deze motie kan uitvoeren.

Vragen en opmerkingen van de leden van de SP-fractie

Vraag 3 (SP)

Kan de regering aantonen dat het opslaan van alle gegevens van alles en iedereen zinvol respectievelijk zinnig is? Anders geformuleerd: kan de regering aantonen wat het nut, de noodzaak en de proportionaliteit van de voorgestelde maatregel zijn? Zo ja, op welke wijze?

De Commissie voerde bij de totstandkoming van de richtlijn een impact-assessment uit. De conclusie hiervan luidt dat een richtlijn die erop is gericht op nationaal niveau PNR-gegevens van de luchtvaartmaatschappijen te verzamelen noodzakelijk is om de veiligheid binnen de EU te vergroten en tegelijkertijd de kaders van de privacybescherming in acht te nemen. De analyse van PNR-gegevens is nodig omdat de reisbewegingen van (potentiële) terroristen en criminelen vaak moeilijk zijn na te gaan door de beperkte beschikbaarheid van de PNR-gegevens voor de opsporingsinstanties.

Wat betreft de noodzaak en proportionaliteit van de voorgestelde regeling stel ik voorop dat deze wat betreft de (nadelige) gevolgen voor de individuele passagiers uitgaat van een getrapt stelsel. De passagiersgegevens worden weliswaar in een centrale databank verzameld, maar daarbij moet in het oog worden gehouden dat dit uitsluitend gegevens betreft die al door de luchtvaartmaatschappijen worden opgeslagen en bij hen beschikbaar zijn voor de opsporingsautoriteiten. Het opslaan en het verwerken van die gegevens leidt in het leeuwendeel van de gevallen niet tot rechtsgevolgen voor de passagiers. Slechts indien de vergelijking van de passagiersgegevens door de passagiersinformatie-eenheid (de Pi-NL) met opsporingsdatabanken of risico-criteria een positief resultaat oplevert, wordt dit resultaat aan de bevoegde instanties7 voor nader onderzoek doorgegeven. Enkel indien dit nadere onderzoek uitwijst dat de desbetreffende passagier (mogelijk) betrokken is bij terrorisme of ernstige criminaliteit, kan dit leiden tot maatregelen jegens die passagier.

Vraag 4 (SP)

Is het juist dat de regering toegegeven heeft dat er geen statistische onderbouwing te geven is die het nut van de richtlijn aantoont? Erkent zij dat de voorgestelde regeling, zeg maar het vakantieregister, inhoudt dat de overheid veel data gaat verzamelen van miljoenen onschuldige reizigers zonder dat de regering nut, noodzaak en proportionaliteit van de regeling kan aantonen? Zo nee, hoe denkt zij nut, noodzaak en proportionaliteit wel te kunnen aantonen? En om welke reden acht de regering het verantwoord om een ernstige inbreuk te maken op het privéleven respectievelijk de privacy van zovele burgers?

Vraag 5 (SP)

De SP-fractieleden zijn op zich niet tegen het doelgericht verzamelen van relevante gegevens, waarmee potentiële criminelen en terroristen opgespoord kunnen worden, maar zien er niets in om op volstrekt willekeurige wijze zoveel mogelijk gegevens van zoveel mogelijk mensen te verzamelen. Waarom heeft de regering, indachtig haar plicht om burgers niet onnodig te criminaliseren en haar plicht om burgers te beschermen tegen onnodige overheidsinvloed en overheidsbemoeienis, niet voor meer proportionele maatregelen gekozen, hetgeen mogelijk is?

Ik verwijs voorts naar het antwoord op vraag 8 van de leden van de PvdA-fractie, waarin uitgebreid wordt ingegaan op het grondrechtenkader en de rechtvaardiging voor de inbreuk op de privacy, die het wetsvoorstel met zich brengt.

Vragen en opmerkingen van de leden van de PvdA-fractie

Vraag 6 (PvdA)

De verzamelde passagiersgegevens worden niet alleen doorzocht op gezochte personen, maar er wordt ook een algoritme op losgelaten dat mensen met een verdacht profiel eruit pikt. Privacy First wijst erop dat bij het voorgestelde PNR-systeem het risico op onterechte verdenkingen en discriminatie door feilbare algoritmes bij profiling levensgroot is.

De Wetenschappelijke Raad voor het Regeringsbeleid (hierna: WRR) besteedt in het rapport «Big Data in een vrije en veilige samenleving» uitgebreid aandacht aan de waarborgen voor het gebruik van data/persoonsgegevens. Hij stelt dat de kwaliteit van de data en de deugdelijkheid van de gehanteerde analysemethoden aan een aantal algemene vereisten moeten voldoen:

• • Gegevens moeten up-to-date zijn en datasets mogen geen bias bevatten.

• • De algoritmes en methoden die bij data-analyses worden gebruikt, moeten deugdelijk zijn en aan de wetenschappelijke criteria voor goed (statistisch) onderzoek voldoen.

• • De algoritmes en methoden moeten daarom voor toezicht toegankelijk zijn.

Deelt de regering deze algemene vereisten, zo vragen de leden van de PvdA-fractie mede namens de fractie van 50PLUS? Zo nee, op welke onderdelen niet en waarom niet? Hoe beoordeelt de regering het huidige wetsvoorstel op basis van deze algemene vereisten? De WRR beveelt aan om bij profiling nadere regels over toelaatbare foutmarges te stellen, het verbod op geautomatiseerde besluitvorming strikter te handhaven en alert te zijn op semiautomatische besluitvorming. Deelt de regering dit standpunt? Hoe verhoudt het huidige wetsvoorstel zich daartoe?

Het kabinet deelt de door de WRR geformuleerde algemene vereisten voor de kwaliteit van de data en de deugdelijkheid van de gehanteerde analysemethoden. In het kabinetsstandpunt over het rapport van de WRR8 wordt als uitgangspunt gehanteerd dat overheidsdiensten overeenkomstig de Algemene verordening gegevensbescherming (AVG) en de Richtlijn gegevensbescherming opsporing en vervolging9 ervoor moeten zorgen dat hun gegevens zoveel als met een redelijke inspanning mogelijk is up to date zijn en hun datasets een zo gering mogelijke bias (afwijking) bevatten en dat de door hen gebruikte algoritmen en analysemethoden deugdelijk zijn.10 Het kabinet schaart zich ook achter het vereiste dat algoritmes en methoden die bij data-analyses worden gebruikt, voor toezicht toegankelijk zijn. Het wijst in dat verband naar de brief van de Minister voor Rechtsbescherming van 9 oktober 2018 over transparantie van algoritmes bij de overheid11, waarin dit vereiste nader is uitgewerkt. In die brief is ook vermeld dat het kabinet in aanvulling daarop bezig is met het opstellen van richtlijnen voor het inzichtelijk maken van algoritmes die de overheid gebruikt, voor toezichthouders en de rechtspraak. Deze richtlijnen zullen overigens in meer algemene zin op het toepassen van algoritmes door overheden betrekking hebben.

Uit voornoemd kabinetsstandpunt komt naar voren dat de grootte van wat bij profilering als toelaatbare foutmarges wordt gehanteerd, slechts per geval of categorieën van gevallen kan worden bepaald. Betrokken partijen dienen deze foutmarges zoveel mogelijk voor een ieder transparant en bespreekbaar te maken. Controle op die foutmarges, de gebruikte methodes en de consequentie daarvan is essentieel teneinde het risico van fouten en een ondeugdelijke interpretatie van een profiel jegens een persoon of groep zo klein mogelijk te laten zijn.12

Het wetsvoorstel is in lijn met het kabinetsstandpunt. Krachtens artikel 7 moeten de vooraf vastgestelde criteria die door de Pi-NL worden gebruikt bij de beoordelingen die worden verricht om te bepalen welke personen betrokken zouden kunnen zijn bij een terroristisch of ernstig misdrijf, door de Pi-NL worden vastgesteld in overeenstemming met de bevoegde instanties. Bovendien wordt voorgeschreven dat deze criteria regelmatig worden getoetst. De criteria moeten doelgericht, evenredig en specifiek zijn. Het analyseren van passagiersgegevens door de Pi-NL voor het opstellen van nieuwe of het bijstellen van bestaande criteria (artikel 6, eerste lid) draagt daaraan bij. Het uitgangspunt is dat zowel false positives als false negatives zoveel mogelijk worden voorkomen. Voorts kunnen over de wijze waarop de criteria worden opgesteld en bijgesteld en over de eisen waaraan de criteria en de toepassing ervan moeten voldoen, bij algemene maatregel van bestuur nadere regels worden gesteld. Thans bestaat er nog geen noodzaak om van deze delegatiebepaling gebruik te maken, maar zij biedt wel de mogelijkheid om zo nodig in de toekomst aanvullende waarborgen op te nemen. Tot slot moet worden opgemerkt dat de Pi-NL is onderworpen aan het toezicht van de Autoriteit persoonsgegevens (AP) (artikel 17 van het wetsvoorstel juncto artikel 35 tot en met 35c van de Wet politiegegevens (Wpg)). De gebruikte criteria (algoritmes) zijn voor de AP toegankelijk op grond van de artikelen 5:16 en 5:17 van de Algemene wet bestuursrecht.

De beoordeling van passagiers in de zin van het wetsvoorstel geschiedt op geautomatiseerde wijze door middel van een vergelijking met daartoe aangewezen databanken dan wel een verwerking aan de hand van vooraf vastgestelde criteria zoals hiervoor omschreven (artikel 6, tweede lid). Deze beoordeling geschiedt op een niet-discriminerende wijze (artikel 6, derde lid). Indien er bij deze vergelijking sprake is van een positieve overeenkomst, moet die per geval door menselijke tussenkomst worden gecontroleerd om te bepalen of een bevoegde instantie maatregelen moet treffen of nader onderzoek moet doen (artikel 8). Verstrekking van de gegevens aan een bevoegde instantie zonder voorafgaande menselijke tussenkomst na geautomatiseerde vergelijking is derhalve niet toegestaan. Concrete rechtsgevolgen voor betrokkene zullen pas kunnen optreden wanneer het nader onderzoek door de bevoegde instantie leidt tot het vermoeden dat er sprake is van betrokkenheid bij een terroristisch of ander ernstig misdrijf. In dat geval zal betrokkene als verdachte in een opsporingsonderzoek worden aangemerkt en gelden de waarborgen van het Wetboek van Strafvordering.

Vraag 7 (PvdA)

Het Rathenau Instituut verwijst in het rapport «Opwaarderen. Borgen van publieke waarden in de digitale samenleving» naar Diakopoulos. Hij heeft een eerste poging gedaan om een transparantiestandaard voor het gebruik van algoritmes te ontwikkelen, om zo controle en toezicht op algoritmes mogelijk te maken. Hij beschrijft hierin vijf categorieën waarmee rekening moet worden gehouden om transparantie te waarborgen:

• «1. Menselijke betrokkenheid. Helder moet zijn wie (van het bedrijf) controle heeft over het algoritme; wie verantwoordelijk is; en wie de ontwikkelaars zijn van het algoritme.

• 2. Data. Helderheid over de kwaliteit, nauwkeurigheid, onzekerheid en volledigheid van de data, en welke data gebruikt worden en welke data gecombineerd worden.

• 3. Het model. Helder moet zijn hoe data gecombineerd worden, hoe bepaalde data gewogen worden en welke aannames er gemaakt worden.

• 4. Inferentie. Wat is de foutmarge? Bijvoorbeeld: hoeveel «false positives» en «false negatives» zijn er, en zijn die fouten te wijten aan data-input, menselijke betrokkenheid of het algoritme?

• 5. Gebruik van het algoritme. Helder moet zijn op welk moment en in welke gevallen een algoritme wordt ingezet.»

Dit brengt de fractieleden van de PvdA op de volgende vragen, waar de fractie van 50PLUS zich bij aansluit. Deelt de regering deze vijf algemene vereisten? Zo nee, op welke onderdelen niet en waarom niet? Zo ja, hoe beoordeelt zij het huidige wetsvoorstel op basis van deze vijf criteria?

Vraag 8 (PvdA)

Het Rathenau Instituut stelt in het rapport «Opwaarderen. Borgen van publieke waarden in de digitale samenleving» volgens de regering «als eerste de komst van nieuwe technologieën zoals biotechnologische toepassingen, profilering en kunstmatige intelligentie in relatie tot een breed spectrum van mensenrechten en publieke waarden aan de orde.» Over de mate waarin de voorliggende wetgeving zich verhoudt met het Handvest van de grondrechten van de Europese Unie is uitgebreid gesproken in de Tweede Kamer.

De leden van de fractie van de PvdA vragen de regering om aan te geven hoe de voorliggende wetgeving zich verhoudt tot de juridische kaders voor de bescherming van de mensenrechten in het eerste hoofdstuk van de Grondwet, het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten van de Verenigde Naties en het Europees Verdrag voor de Rechten van de Mens.

Verhouding tot het recht op eerbiediging van de persoonlijke levenssfeer en het recht op bescherming van persoonsgegevens

Een inperking van het recht op eerbiediging van de persoonlijke levenssfeer ingevolge artikel 10 van de Grondwet is rechtens toegestaan, indien hierin bij of krachtens wet is voorzien. Aan de eis van een wettelijke grondslag voor het verzamelen en verwerken van passagiersgegevens ten behoeve van de bestrijding van terroristische en ernstige misdrijven wordt voldaan door het bepaalde bij of krachtens het onderhavige wetsvoorstel. Aan de luchtvaartmaatschappijen wordt de verplichting opgelegd de passagiersgegevens, waarover zij in het kader van hun bedrijfsvoering beschikken, aan de Pi-NL te verstrekken. Aan de Pi-NL wordt de bevoegdheid toegekend de passagiersgegevens met inachtneming van de in het wetsvoorstel opgenomen voorwaarden te verwerken.

Op grond van artikel 7 van het Handvest heeft een ieder recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Ook heeft een ieder op grond van artikel 8 van het Handvest recht op bescherming van de hem betreffende persoonsgegevens. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Een ieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. Deze rechten vertonen grote overeenkomst met artikel 8 van het EVRM, op grond waarvan een ieder het recht heeft op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. Geen inmenging van enig openbaar gezag in de uitoefening van dit recht is toegestaan dan voor zover bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van, onder meer, de nationale veiligheid, de openbare veiligheid of het voorkomen van wanordelijkheden en strafbare feiten. De in het Handvest gewaarborgde rechten zijn onderworpen aan een vergelijkbare beperkingssystematiek (zie artikel 52, eerste lid, van het Handvest).

Voorzien bij wet

Bij wet voorzien houdt in dat de wet voorzienbaar en toegankelijk is. Dit betekent dat de wet zo precies mogelijk de voorwaarden dient te omschrijven onder welke in de persoonlijke levenssfeer kan worden ingegrepen. Het wetsvoorstel voorziet in welomschreven voorwaarden die de Pi-NL bij de verwerking van passagiersgegevens met het oog op de bestrijding van terroristische misdrijven en ernstige criminaliteit in acht dient te nemen. Het doel en de wijze van verwerking van de passagiersgegevens door de Pi-NL worden limitatief bepaald in de artikelen 2 en 6 van het wetsvoorstel. De Minister van Justitie en Veiligheid is verantwoordelijkheid voor de gegevensverwerking door de Pi-NL.

Noodzakelijk en effectief gelet op een legitiem doel

Proportionaliteit en subsidiariteit

Met het oog op de beginselen van proportionaliteit en subsidiariteit is gestreefd naar een zo beperkt mogelijke inperking van het recht op eerbiediging van de persoonlijke levenssfeer. De lijst van passagiersgegevens die kunnen worden verzameld en verwerkt bevat uitsluitend details over de reserveringen en de reisroutes van de passagiers die de bevoegde instanties in staat stellen te bepalen welke vliegtuigpassagiers een risico voor de interne veiligheid vormen. Het verwerken van bijzondere persoonsgegevens is niet toegestaan. De passagiersgegevens mogen alleen op Europees grondgebied worden opgeslagen en mogen door de Pi-NL niet langer dan vijf jaar worden bewaard, waarna zij moeten worden gewist. Bovendien moeten de persoonsgegevens na zes maanden worden afgeschermd en zijn deze gegevens daarna uitsluitend toegankelijk ter uitvoering van een vordering op basis van het Wetboek van Strafvordering13 in een opsporingsonderzoek. Voor de verstrekking van de persoonsgegevens na zes maanden is toestemming van de officier van justitie vereist, alsmede een kennisgeving aan de FG, die deze verwerking achteraf controleert. Het doel waarvoor de gegevens mogen worden verwerkt is beperkt tot het voorkomen, opsporen, onderzoeken en vervolgen van ernstige en terroristische misdrijven.

In het licht van de proportionaliteit is de aanwezigheid van controlemechanismen van belang. De AP als nationale toezichthoudende autoriteit, alsmede de FG worden belast met het adviseren over en het toezicht op de wijze van verwerking van de passagiersgegevens. Iedere verwerking van de gegevens dient te worden gelogd en gedocumenteerd, zodat de rechtmatigheid ervan kan worden gecontroleerd, interne controle kan worden uitgeoefend en de integriteit van de gegevens en een beveiligde bewerking kunnen worden gewaarborgd. Ook wordt gewaarborgd dat door menselijke tussenkomst controle plaatsvindt van de geautomatiseerde verwerking van de gegevens.

Subsidiariteit betreft de vraag of de beperking effectief bijdraagt aan de verwezenlijking van het doel, terwijl steeds nagegaan behoort te zijn of er eventueel minder ingrijpende maar even effectieve, alternatieve middelen bestaan om het doel te bereiken. Het nagaan van reisbewegingen van criminelen en verdachten is op dit moment alleen mogelijk door het vorderen van passagiersgegevens in het belang van een opsporingsonderzoek bij de luchtvaartmaatschappijen. Omdat het in een opsporingsonderzoek niet altijd duidelijk is met welke maatschappij wordt gevlogen of van/naar welke bestemming of op welk tijdstip, is het vaak moeilijk om de gezochte informatie te verkrijgen. Ook kunnen onderzoeken daardoor zeer tijdrovend zijn. De beschikbaarheid van alle passagiersgegevens bij een centrale eenheid (de Pi-NL) maakt het mogelijk om in opsporingsonderzoeken op een eenvoudige wijze de noodzakelijke informatie te verkrijgen. Het identificeren van personen naar wie onderzoek moet worden gedaan door analyse van de passagiersgegevens aan de hand van risico-criteria is momenteel niet mogelijk bij het ontbreken van een volledig bestand van passagiersgegevens. De inbreuk op de privacy is door dit instrument juist minder ingrijpend. De naam van een persoon wiens gegevens worden gevorderd, hoeft niet door de opsporingsautoriteiten onder de aandacht van een tal aan luchtvaartmaatschappijen te worden gebracht om de benodigde informatie te achterhalen.

Verhouding tot het recht op non-discriminatie

In artikel 1 van de Grondwet, artikel 14 van het EVRM, artikel 1 van het Protocol nr. 12 bij het EVRM en artikel 21 van het Handvest is het recht op non-discriminatie verankerd. Met name waar het gaat om het verwerken van passagiersgegevens overeenkomstig risico-criteria (profiling) kan dit grondrecht in het geding zijn. In artikel 19 van het wetsvoorstel is bepaald dat de verwerking van persoonsgegevens geen betrekking mag hebben op bijzondere persoonsgegevens. Dit houdt in dat geen gegevens mogen worden verwerkt die iemands godsdienst of levensovertuiging, ras of etnische afkomst, politieke gezindheid, gezondheid, seksuele leven, seksuele geaardheid of lidmaatschap van een vakvereniging betreffen. Verder wordt in artikel 6, derde lid, van het wetsvoorstel expliciet bepaald dat het verwerken van passagiersgegevens overeenkomstig risico-criteria en het combineren van gegevens er niet toe mag leiden dat onderscheid worden gemaakt naar iemands godsdienst of levensovertuiging, ras of etnische afkomst, politieke gezindheid, gezondheid, seksuele leven, seksuele geaardheid of lidmaatschap van een vakvereniging. Artikel 7 van het wetsvoorstel bevat nadere voorwaarden voor het vaststellen van de risico-criteria, zoals (wederom) het verbod op discriminatie, doelgerichtheid, evenredigheid en specificiteit.

Vraag 9 (PvdA)

Ook vragen de leden de regering om aan te geven hoe de voorliggende wetgeving zich concreet verhoudt tot de uitgangspunten van de Algemene verordening gegevensbescherming (hierna: AVG).

De AVG is niet van toepassing op de gegevensverwerking door de Pi-NL. Op de gegevensverwerking door de Pi-NL zijn in de eerste plaats specifieke bepalingen uit het Kaderbesluit 2008/977/JBZ van toepassing (zie artikel 13, eerste en tweede lid, van de richtlijn). Dit kaderbesluit is inmiddels vervangen door de Richtlijn gegevensbescherming opsporing en vervolging. Deze richtlijn is geïmplementeerd in onder andere de Wpg en het Besluit politiegegevens (Bpg). Daarom zijn de in artikel 17 van het wetsvoorstel opgenomen bepalingen van de Wpg, die de omzetting vormen van de relevante bepalingen van de Richtlijn gegevensbescherming opsporing en vervolging van overeenkomstige toepassing op de gegevensverwerking door de Pi-NL. In de tweede plaats bevat de richtlijn (artikel 13, vijfde tot en met achtste lid) aanvullende voorschriften inzake gegevensbescherming, die zijn omgezet in de artikelen 18 tot en met 23 van het wetsvoorstel.

Overigens zijn de beginselen inzake de verwerking van persoonsgegevens, zoals vastgelegd in artikel 4 van de Richtlijn gegevensbescherming opsporing en vervolging, vergelijkbaar met de beginselen van artikel 5 AVG. Bij de totstandkoming van de richtlijn zijn uiteraard de beginselen van (toen nog) het Kaderbesluit 2008/977/JBZ in acht genomen. Om te voldoen aan het evenredigheidsbeginsel voorziet de richtlijn op bepaalde punten voorts in strengere gegevensbeschermingsregels dan het Kaderbesluit 2008/977/JBZ respectievelijk de Richtlijn gegevensbescherming opsporing en vervolging.14

Vraag 10 (PvdA)

In de impactassessment wordt gesproken van een grotere werklast voor het Openbaar Ministerie, het Landelijk Internationaal Rechtshulp Centrum (LIRC), de Nationale Politie, de Koninklijke Marechaussee en de bijzondere opsporingsdiensten. Vanuit de begroting van het ministerie wordt vanaf 2020 jaarlijks ruim 22 miljoen euro voor de uitvoering van deze wet uitgetrokken. Dit komt uit de staande begroting. Een fors deel is bestemd voor de passagiersinformatie-eenheid (hierna: Pi-NL). Kan de regering de exacte verdeling van de financiële middelen over de betrokken organisaties/diensten aangeven? Graag ontvangen de PvdA-fractieleden een onderbouwing van de gekozen verdeling.

Vraag 11 (PvdA)

In het ongevraagd advies van de Raad voor de rechtspraak is te lezen dat verwacht wordt dat de voorgestane wijze van uitvoering van het wetsvoorstel substantiële werklastgevolgen heeft voor de Rechtspraak. De Raad schat die gevolgen in op ruim 3 miljoen euro in het eerste jaar na invoering, op bijna 4 miljoen euro in het tweede jaar na invoering en daarna structureel jaarlijks op 6,4 miljoen euro. Deelt de regering deze prognose? Zo nee, waarom niet? Kan zij aangeven hoe deze verwachte kosten gedekt worden?

Ik beantwoord deze vragen van de leden van de PvdA-fractie gezamenlijk. De leden doelen op de «Ketenbrede impactanalyse» zoals uitgevoerd door Significant.15 Deze geeft een indicatie van de mogelijke werklastgevolgen van het wetsvoorstel voor de betrokken ketenpartners,16 inclusief de rechtspraak. Omdat deze werklastgevolgen niet geheel of met verschillende maten van onzekerheid zijn in te schatten, is ervoor gekozen om deze op basis van daadwerkelijke werklastgevolgen te bepalen en te financieren. Er is daarom op voorhand nog geen exacte verdeling van de financiële middelen aan te geven. Wel is per 2019 al € 2,5 miljoen verdeeld over de bevoegde instanties (politie, openbaar ministerie, bijzondere opsporingsdiensten en de Koninklijke Marechaussee) om de eerste effecten van het wetsvoorstel op te vangen. Daarnaast is een substantieel gedeelte van de financiële middelen gereserveerd voor doorontwikkeling en het (verder) financieren van de werklasteffecten (over 2020 bijna 8 miljoen en vanaf 2021 zo’n € 9 miljoen).

De Ketenbrede impactanalyse is tezamen met het ongevraagd advies van de Raad voor de Rechtspraak (RvdR) en een brief van de Minister van Justitie en Veiligheid in april 2018 door de Tweede Kamer ontvangen.17 In deze brief is over de werklastberekening door de RvdR opgemerkt dat deze weliswaar uitgaat van de uitkomsten van de impactanalyse van Significant, maar dat daarin ook andere factoren worden meegenomen in de schatting van de mogelijke werklastgevolgen van het wetsvoorstel voor de rechtspraak. Voorts wordt in de aanbiedingsbrief vermeld dat met alle betrokken ketenpartners is afgesproken dat de werklast na inwerkingtreding van de PNR-wet wordt gemonitord. De ketenpartners, inclusief de RvdR, onderschrijven de noodzaak van die monitoring gelet op het onzekere karakter van de impact van de PNR-wet op de langere termijn. Betrokken ketenpartners zijn voorts overeengekomen dat structurele middelen die in 2019 en 2020 beschikbaar komen voor de betrokken ketenpartners op basis van deze monitoring worden verdeeld.

De systematiek van permanent monitoren en periodiek evalueren die thans is ingericht meet aan de hand van een jaarlijkse monitor de werklastgevolgen, afgezet tegen een nulmeting bij de start van de Pi-NL en gebaseerd op heldere indicatoren. Op basis daarvan zal elk jaar worden besloten of en hoeveel van de gereserveerde financiële middelen voor het financieren van werklasteffecten moet worden aangewend voor de werklastgevolgen die de verschillende organisaties, waaronder de rechtspraak, daadwerkelijk ondervinden.

Vraag 12 (PvdA)

In de tweede nota van wijziging wordt het tweede lid van het voorgestelde artikel 18 geschrapt. Daarin staat dat de Minister de functionaris voor gegevensbescherming voldoende middelen moet geven voor de uitvoering van diens taken. Kan de regering aangeven waarom deze passage geschrapt is?

Bij de tweede nota van wijziging is het wetsvoorstel aangepast aan de wijzigingen in de Wpg ter implementatie van de richtlijn gegevensbescherming opsporing en vervolging18, welke wijzigingen op 1 januari 2019 in werking zijn getreden. Artikel 36, zesde lid, van de Wpg bepaalt dat de FG over voldoende middelen moet beschikken voor de vervulling van diens taken en voor het in stand houden van zijn deskundigheid. In het wetsvoorstel (artikel 18, zesde lid) is artikel 36 van de Wpg van overeenkomstige toepassing verklaard. Op deze wijze is verzekerd dat de FG over voldoende middelen voor de uitvoering van zijn taken beschikt.

Vraag 13 (PvdA)

Er zijn personele tekorten bij de Koninklijke Marechaussee, het Openbaar Ministerie en de Nationale Politie. Na inwerkingtreding van deze wet krijgen zij er taken bij. Hoe staat het met het beschikbare personeel dat daadwerkelijk invulling aan deze wet kan geven?

Vraag 14 (PvdA)

De Autoriteit Persoonsgegevens (hierna: AP) houdt toezicht op de gegevensverwerking. De AP heeft een kritisch advies gegeven ten aanzien van deze wet. Wat heeft de AP nodig om, ondanks de stevige kritiek, kwalitatief goed toezicht te kunnen houden in lijn met de AVG? Kan de AP deze rol naar eigen zeggen waarmaken?

Zowel de AVG19 als de Richtlijn gegevensbescherming opsporing en vervolging20 schrijft voor dat iedere nationale toezichthoudende autoriteit moet beschikken over de personele, technische en financiële middelen en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden. Onder die taken en bevoegdheden is ook de toezichthoudende taak in het kader van de richtlijn begrepen. Er is derhalve sprake van een heldere en concrete inspanningsverplichting van de Nederlandse regering. Er zijn thans geen redenen om te veronderstellen dat de AP haar toezichthoudende taak niet op een goed kwalitatief niveau zou kunnen uitoefenen.

Vraag 15 (PvdA)

In artikel 13 van het wetsvoorstel staat dat de passagiersgegevens, onder voorwaarden, ook gedeeld mogen worden met derde landen buiten de EU. Dus ook met onvrije landen en/of landen met een lager beschermingsniveau. Er staat in het voorgestelde artikel 13, eerste lid, onder a dat informatie uitsluitend wordt doorgegeven indien deze informatie noodzakelijk is voor het voorkomen, opsporen, onderzoeken, of vervolgen van een terroristisch of ernstig misdrijf. In het voorgestelde artikel 13, eerste lid, onder b staat dat deze derde landen (na ermee ingestemd te hebben) deze gegevens aan een ander derde land mogen doorgeven indien dit strikt noodzakelijk is voor het voorkomen, opsporen, onderzoeken, of vervolgen van een terroristisch of ernstig misdrijf. Kan de regering aangeven op basis van welke criteria beoordeeld wordt of het doorgeven van informatie «noodzakelijk» dan wel «strikt noodzakelijk» is? En kan zij aangeven hoe toezicht wordt gehouden in deze derde landen op het naleven van de gestelde vereisten en waarborgen? Biedt dit toezicht volgens de regering voldoende borging van de gegevens van Nederlandse inwoners? Hoe verhoudt deze wetgeving zich met de AVG-wetgeving op dit onderdeel? Met name als er sprake is van derde landen met een niet passend beschermingsniveau?

De leden van de PvdA-fractie stellen terecht dat de Pi-NL passagiersgegevens en zo nodig het verwerkingsresultaat van die gegevens onder voorwaarden aan een autoriteit in een derde land kan doorgeven. In tegenstelling tot de uitwisseling van passagiersgegevens met de PIU’s van andere lidstaten (op grond van artikel 10 van het wetsvoorstel) betreft de doorgifte van passagiersgegevens aan derde landen geen verplichte taak van de Pi-NL. Zie hiervoor artikel 5, eerste lid, onder b, van het wetsvoorstel. Doorgifte van passagiersgegevens aan derde landen kan plaatsvinden, indien aan een aantal vereisten is voldaan, zo bepaalt artikel 13 van het wetsvoorstel.21

De leden van de PvdA-fractie wijzen er terecht op dat doorgifte aan een derde land uitsluitend kan geschieden indien dit in een bepaald geval noodzakelijk is voor het voorkomen, opsporen, onderzoeken of vervolgen van een terroristisch of ernstig misdrijf (artikel 13, eerste lid, onder a, van het wetsvoorstel). Voorts wordt bij de doorgifte aan derde landen de navolgende voorwaarde gesteld: de autoriteit van het derde land moet ermee instemmen de ontvangen gegevens alleen aan een ander derde land door te geven indien dit strikt noodzakelijk is voor de bestrijding van terrorisme en ernstige criminaliteit en nadat voor de doorgifte toestemming is verleend door de verwerkingsverantwoordelijke (de Minister van Justitie en Veiligheid).

De eis van noodzakelijkheid houdt in zijn algemeenheid in dat de omstandigheden van het geval, zoals gepresenteerd in het gemotiveerde verzoek van het derde land, tot de doorgifte van de gegevens aan dat derde land dienen te nopen. Bij de strikte noodzaak voor doorgifte door het derde land aan andere derde landen ligt de lat nog hoger. Dit betekent dat de doorgifte in een concreet geval zeer dringend of onvermijdelijk moet zijn met het doel van bestrijding van terrorisme en ernstige criminaliteit. Voorts dient de verwerkingsverantwoordelijke toestemming hiertoe te verlenen.

Wat betreft de vraag van de PvdA-fractie over het toezicht in derde landen op het naleven van de gestelde vereisten en waarborgen, wijs ik erop dat het wetsvoorstel voorziet in een uitgebreide set waarborgen waaraan dient te worden voldaan alvorens tot doorgifte aan een derde land kan worden overgegaan. Ik benadruk hierbij dat het zwaartepunt van die toetsing (uiteraard) bij de bevoegde Nederlandse autoriteiten ligt. Het is vanzelfsprekend de verantwoordelijkheid van deze autoriteiten om erop toe te zien dat alleen gegevens worden verstrekt aan landen die aan de nodige regels over gegevensbescherming voldoen en zich aan de gestelde (aanvullende) voorwaarden houden.

De voorwaarden voor doorgifte aan derde landen zijn in artikel 13 van het wetsvoorstel vastgelegd. Daarin zijn naast de direct uit de richtlijn voortvloeiende voorwaarden de in de Wpg opgenomen voorwaarden voor de doorgifte van politiegegevens aan derde landen van toepassing verklaard.22 Als uitgangspunt geldt dat doorgifte mogelijk is indien de Europese Commissie in een zogenaamd adequaatheidsbesluit heeft verzekerd, dat het derde land beschikt over een toereikend beschermingsniveau voor de voorgenomen doorgifte van gegevens vanuit de Unie. Bij ontstentenis van zulk een besluit dienen de Nederlandse autoriteiten te beoordelen of er passende waarborgen zijn voor de bescherming van persoonsgegevens in het derde land (artikel 17a, tweede lid, Wpg). Indien dit niet het geval is, kunnen politiegegevens slechts worden doorgegeven in de gevallen bedoeld in artikel 17a, derde lid, Wpg. Het moet dan bijvoorbeeld gaan om de noodzaak van bescherming van een vitaal belang van betrokkene of andere personen of een onmiddellijk en ernstig gevaar voor de openbare veiligheid van een lidstaat of derde land in samenhang met een terroristisch of ernstig misdrijf. Voorts merk ik op dat aan de verdere verwerking van de gegevens door het derde land (nadere) voorwaarden kunnen worden gesteld.23

Indien naar het oordeel van de Nederlandse autoriteiten aan de voorwaarden voor doorgifte is voldaan, kan deze plaatsvinden. Hoe door de derde landen toezicht wordt gehouden op het naleven van de gestelde vereisten en waarborgen, is een aspect dat een rol speelt bij de afweging door de Nederlandse autoriteiten of in het derde land passende waarborgen voor de bescherming van persoonsgegevens aanwezig zijn24, zo antwoord ik de leden van de PvdA-fractie. Toezicht door de Nederlandse autoriteiten op de gegevensverwerking in derde landen is niet gebruikelijk, gelet op de soevereiniteit van die landen.

Ik merk voorts op dat de AP belast is met het toezicht op de gegevensverwerking door de Pi-NL, derhalve ook op de doorgifte van gegevens aan derde landen.25 De AP is bevoegd onderzoeken te verrichten na de naleving van het wetsvoorstel, ook op basis van informatie die de AP ontvangt van de toezichtsautoriteiten in de lidstaten.26 De AP kan, naar aanleiding van een klacht van de betrokkene, de rechtmatigheid van de doorgifte te controleren.27 De AP is gerechtigd om bij niet-naleving van de wettelijke voorschriften sancties op te leggen. Zij kan onder meer een last onder bestuursdwang dan wel een bestuurlijke boete opleggen voor ten hoogste de vijfde of de zesde categorie (€ 83.000 resp. € 830.000). Daarnaast kan zij de verwerkingsverantwoordelijke verplichten om een inbreuk op de persoonsgegevens te melden aan betrokkene.

De leden van de PvdA-fractie vragen ten slotte naar de relatie van de regeling over doorgifte naar derde landen tot de AVG, in het bijzonder wat betreft derde landen met een niet passend beschermingsniveau. Als gezegd, is de AVG niet van toepassing op de gegevensverwerking door de Pi-NL. De richtlijn (artikel 11) schrijft voor dat bij de doorgifte aan derde landen aan de bepalingen van het Kaderbesluit 2008/97728 dient te zijn voldaan. Dit kaderbesluit is vervangen door de Richtlijn gegevensbescherming opsporing en vervolging, welke sinds 1 januari 2019 in (onder andere) de Wpg is geïmplementeerd.29 Om die reden zijn, zoals hiervoor reeds vermeld, in artikel 13 van het wetsvoorstel de voorschriften van de Wpg die zien op doorgifte van politiegegevens aan derde landen (artikel 17a Wpg) van overeenkomstige toepassing verklaard op de doorgifte van passagiersgegevens door de Pi-NL aan derde landen. Zoals gezegd, dient op grond van artikel 17a Wpg aan de nodige voorwaarden te zijn voldaan bij ontstentenis van een besluit van de Europese Commissie over een adequaat gegevensbeschermingsniveau in een derde land.

Vragen en opmerkingen van de leden van de GroenLinks-fractie

Vraag 16 (GroenLinks)

De leden van de GroenLinks-fractie verwijzen naar de Lijst van strafbare feiten als bedoeld in artikel 1 van het wetsvoorstel en constateren dat deze lijst een grote reikwijdte heeft, waarbij in sommige gevallen de proportionaliteit van verwerking van passagiersgegevens niet evident is. Is de regering van mening dat de doelbinding met betrekking tot elk van deze misdrijven voldoende is geborgd in het onderhavige wetsvoorstel? Hoe verhouden bijvoorbeeld «milieumisdrijven» en «namaak van producten en productpiraterij» zich tot het beoogde doel van de wet, namelijk het voorkomen, opsporen en onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit?

De lijst met strafbare feiten die kwalificeren als ernstig misdrijf in de zin van het wetsvoorstel is inderdaad uitgebreid, al gaat het in de meeste gevallen om misdrijven die zonder meer als ernstig moeten worden aangemerkt (zoals moord, verkrachting en seksueel misbruik van kinderen). Plaatsing van een strafbaar feit op de lijst, bedoeld in bijlage 2 bij het wetsvoorstel, is echter niet het enige criterium om als ernstig misdrijf in de zin van het wetsvoorstel te worden aangemerkt. Een strafbaar feit dat is opgenomen op deze lijst is namelijk pas een ernstig misdrijf in de zin van het wetsvoorstel, indien daarop naar wettelijke omschrijving een gevangenisstraf van drie jaar of meer is gesteld (zie de begripsomschrijving van «ernstig misdrijf» in artikel 1 van het wetsvoorstel). Misdrijven die worden bedreigd met hechtenis of met een gevangenisstraf van minder dan drie jaar worden derhalve niet aangemerkt als ernstig misdrijf in de zin van het wetsvoorstel, ook al vallen zij onder de opsomming van bijlage 2.

Vraag 17 (GroenLinks)

In de memorie van toelichting is te lezen dat «het vastleggen van uitvoeringsregels in een algemene maatregel van bestuur geen verplichting meer, maar een mogelijkheid [is].» Kan de regering dit nader toelichten? Betekent dit dat het inwinnen van advies van de AP geen verplichting is indien er middels AMvB wijzigingen in regels worden aangebracht, bijvoorbeeld het per AMvB stellen van nadere regels over de (toepassing van) risico-criteria en controle hierop, of over de verstrekking en uitwisseling van passagiersgegevens van Pi-NL met Europol en de passagiersinformatie-eenheden van andere lidstaten?

In de memorie van toelichting is in reactie op het advies van de AP30 vermeld dat een mogelijk tot stand te komen ontwerp van een algemene maatregel van bestuur (amvb) over de organisatie, inrichting en werkwijze van de Pi-NL op grond van artikel 5, vierde lid, van het wetsvoorstel, aan haar voor advies zal worden voorgelegd. Een amvb met nadere regels over dit onderwerp is niet nodig gebleken. Wat betreft de andere amvb’s, waarvoor het wetsvoorstel grondslag biedt, zullen deze aan de AP worden voorgelegd indien deze zien op de verwerking van persoonsgegevens. Dit conform artikel 36, vierde lid, van de AVG.31 De AP is daarom ook geraadpleegd over de ontwerpamvb die nadere regels bevat over de gegevensuitwisseling tussen de Pi-NL en de PIU’s van andere lidstaten op grond van artikel 10, vijfde lid, van het wetsvoorstel.

Vraag 18 (GroenLinks)

De leden van de GroenLinks-fractie constateren dat verwerking van passagiersgegevens gebeurt door middel van vergelijking met signaleringslijsten (SIS-II-databank) en door geautomatiseerde risicobeoordeling aan de hand van zogenaamde «risico-criteria». Deze leden vragen de regering, mede gelet op het feit dat de regering in de memorie van toelichting stelt dat «zoveel mogelijk transparantie [wordt] betracht», om een nadere toelichting van deze «risico-criteria» alsmede de betreffende toelaatbare foutmarges en gehanteerde logica.

Het beoordelen van passagiers vóór hun geplande aankomst in of gepland vertrek uit de lidstaat volgens vooraf bepaalde criteria (de zogenaamde risico-criteria) wordt op niet-discriminerende en zorgvuldige wijze verricht.32 Deze criteria mogen onder geen beding gebaseerd zijn op ras, etnische afstamming, religieuze, levensbeschouwelijke of politieke overtuiging, vakbondslidmaatschap, gezondheid, seksleven of seksuele geaardheid van de betrokkene. Voorts moeten zij doelgericht, evenredig en specifiek zijn voor het misdrijf waarbij de mogelijke betrokkenheid van een persoon overeenkomstig de criteria kan worden bepaald. Uitsluitend de bevoegde instanties zijn bevoegd tezamen met de Pi-NL de risico-criteria op te stellen.

Ik merk nog op dat ten behoeve van de Pi-NL een onafhankelijke FG wordt aangesteld. Deze heeft toegang tot alle gegevens die door Pi-NL worden verwerkt en is ook belast met het toezicht op het hiervoor beschreven proces.

Vraag 19 (GroenLinks)

De regering geeft meermaals aan dat menselijke tussenkomst een vereiste is bij automatische verwerking aan de hand van risico-criteria. Kan zij de contouren geven van de «objectieve toets», aan de hand waarvan een medewerker van de Pi-NL de uitkomst van een vergelijking met risico-criteria dient te beoordelen alvorens deze voor nader onderzoek door te geven?

In het antwoord op vraag 18 van de leden van de GroenLinks-fractie is reeds ingegaan op de invulling van de objectieve toets.

Vraag 20 (GroenLinks)

Is de regering voornemens om te onderzoeken dan wel te evalueren of automatische verwerking aan de hand van risico-criteria in de praktijk niet alsnog een disproportioneel discriminatoir effect op bepaalde groepen passagiers heeft, en de bevindingen hiervan te gebruiken om automatische verwerkingsmethoden te optimaliseren?

Vraag 21 (GroenLinks)

Volgens de regering dienen de risico-criteria «uiteraard dusdanig scherp te zijn opgesteld dat het systeem zo weinig mogelijk onschuldige personen aanduidt.» Acht de regering dit mogelijk gezien de aard van de te ontvangen en verwerken passagiersgegevens, die noodzakelijkerwijs een breed karakter hebben?

De risico-criteria, aan de hand waarvan de Pi-NL passagiersgegevens kan analyseren, dienen inderdaad dusdanig scherp te zijn opgesteld, dat het systeem zo weinig mogelijk onschuldige personen aanduidt.34 Anders dan deze leden lijken te veronderstellen, is het naar de opvatting van de regering juist zeer wel mogelijk om op basis van een uitgebreide(re) set gegevens scherpe risico-criteria te formuleren om verdachte patronen te onderkennen en personen in verband te brengen met specifieke strafbare feiten, dan bij een minder uitgebreide set gegevens het geval zou zijn. Ik verwijs voorts naar het antwoord op de voorgaande vraag.

Vraag 22 (GroenLinks)

De GroenLinks-fractieleden menen een spanningsveld te zien tussen het openbaar maken van de principes waarop geautomatiseerde bewerking plaatsvindt en de effectiviteit van automatische verwerkingsmethodes indien transparantie mensen met terroristische of criminele motieven de kans geeft om te kunnen anticiperen op de risico-criteria. Desalniettemin is transparantie voor redenen van aansprakelijkheid essentieel. Graag een reflectie van de regering.

Onder omstandigheden kan er inderdaad een spanningsveld bestaan tussen de vereiste transparantie jegens de betrokkenen en de effectiviteit van automatische verwerkingsmethodes. Artikel 24b Wpg – dat van overeenkomstige toepassing is op de verwerking van persoonsgegevens door de Pi-NL – bepaalt dat de betrokkene moet worden geïnformeerd over het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en nuttige informatie over de onderliggende logica. Deze informatieverplichting kan echter geheel of gedeeltelijk buiten toepassing worden gelaten voor zover dit een noodzakelijke en evenredige maatregel is in verband met een belang als bedoeld in artikel 27, eerste lid, onderdelen a tot en met e, Wpg. Deze belangen zijn onder meer: de vermijding van nadelige gevolgen voor de opsporing en vervolging van strafbare feiten en de bescherming van de nationale veiligheid. Dit biedt een grondslag om de informatieverplichting jegens betrokkenen te beperken of achterwege te laten.

Het voorgaande laat onverlet dat de AP als toezichthouder wel zal kunnen beschikken over de onderliggende logica. In dit kader verwijs ik deze leden naar het antwoord op vraag 6 van de leden van de PvdA-fractie.

Vraag 23 (GroenLinks)

Een uitzondering op de regel dat passagiersgegevens na een termijn van 6 maanden deels moeten worden gedepersonaliseerd, geldt voor de lijst met «false positives» om (onterechte) herhaaldelijke controles te vermijden. Geldt hier niet evengoed de absolute bewaartermijn van 5 jaar? Betekent dit dat na deze termijn controle moet plaatsvinden alvorens dezelfde persoon opnieuw op de lijst met «false positives» wordt gezet? Hoe verhoudt dataminimalisatie zich in dit geval tot het doel om foutmarges minimaal te houden?

Wat betreft de vraag van de leden van de GroenLinks-fractie naar de relatie tussen dataminimalisatie en het doel om foutmarges minimaal te houden merk ik het volgende op. Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken. In het geval van het bewaren van de false positives is hieraan voldaan. Het doel van het bewaren van de false positives is immers het voorkomen van nieuwe onjuiste positieve overeenkomsten (en dus om foutmarges bij de vergelijking van gegevens minimaal te houden). De inbreuk die iemand ondervindt van (onterechte) herhaaldelijke controles is bovendien vele malen groter dan het opslaan van de gegevens op de lijst met false positives.

Vraag 24 (GroenLinks)

Indien een PIU uit een andere lidstaat verzoekt om persoonsgegevens van passagiers die zijn gedepersonaliseerd door afscherming (gegevens die ouder zijn dan 6 maanden), vindt een controle van de verwerking door de functionaris voor gegevensbescherming plaats. Hoe kan deze functionaris voor gegevensbescherming sanctioneren indien een PIU uit een andere lidstaat niet volgens de regels opereert? Is er in een dergelijk geval een legale basis dan wel een andere grondslag voor het onthouden van persoonsgegevens om de privacy van passagiers te borgen?

De leden van de GroenLinks-fractie stellen terecht dat de FG in kennis wordt gesteld van de verstrekking van passagiersgegevens door de Pi-NL aan de PIU’s van andere lidstaten en dat hij deze verstrekking achteraf controleert.36 De officier van justitie dient voorafgaand aan de verstrekking toestemming hiertoe te verlenen. Het gaat hier om de verstrekking van passagiersgegevens die zes maanden na ontvangst door de Pi-NL zijn gedepersonaliseerd (dit betekent dat de identificerende gegevens van betrokkenen zijn afgeschermd) en welke afscherming ongedaan wordt gemaakt.

Uit het vertrouwensbeginsel dat ten grondslag ligt aan politionele en justitiële samenwerking tussen (de bevoegde autoriteiten van) de lidstaten vloeit voort dat de Pi-NL ervan moet uitgaan dat verzoeken van de PIU’s van andere lidstaten voldoen aan de daartoe door de richtlijn en de nationale wetgeving gestelde eisen. De Pi-NL behoudt uiteraard de ruimte om de motivering van een individueel verzoek van een PIU met inachtneming van artikel 10 van het wetsvoorstel te beoordelen. Indien het gaat om gedepersonaliseerde gegevens, is voor de verstrekking aan een PIU van een andere lidstaat bovendien als vermeld voorafgaande toestemming van de officier van justitie vereist. De officier van justitie toetst of de inbreuk op het recht op bescherming van de persoonsgegevens die de verstrekking met zich brengt, in een concreet geval gerechtvaardigd is. Hij beoordeelt ook of het opsporingsbelang mogelijk aan de verstrekking in de weg staat. De FG controleert achteraf of de verstrekking rechtmatig was. Hij beziet of de Pi-NL adequaat gebruik heeft gemaakt van de haar toekomende beoordelingsruimte, of het verzoek van de andere PIU voldoende gemotiveerd was en de verstrekking in het individuele geval noodzakelijk was voor bestrijding terrorisme en/of ernstige criminaliteit. Ik teken hierbij aan dat controle achteraf impliceert dat de FG de verstrekking niet kan beletten. De FG kan evenmin sancties opleggen. Echter, de FG is bevoegd de AP te informeren als hij de verwerking door de Pi-NL onrechtmatig acht (artikel 18, vijfde lid, van het wetsvoorstel37). De AP kan zo nodig handhavend optreden.

Vragen en opmerkingen van de leden van de ChristenUnie-fractie

Vraag 25 (ChristenUnie)

De leden van de fractie van de ChristenUnie hebben er begrip voor dat de regering voor een dilemma staat en de implementatie doorgang laat vinden omdat de richtlijn zelf niet ongeldig is verklaard. Tegelijk blijft het schuren dat de Afdeling reeds concludeert dat de richtlijn eveneens op onderdelen strijdig is met de door het Handvest van de grondrechten van de Europese Unie gewaarborgde grondrechten. De leden van de fractie van de ChristenUnie vragen welke effecten het advies van het HvJ EU op de implementatie in andere EU-landen vorm heeft en of hier gezamenlijke voornemens worden ontwikkeld om de richtlijn in overeenstemming te brengen met het Handvest. Zij vragen wat de stand van zaken op dit moment in Brussel is en welke voornemens de regering hieromtrent heeft op het moment dat een nieuwe Europese Commissie aantreedt.

Vraag 26 (ChristenUnie)

Het doel van de richtlijn is de bestrijding van terroristische misdrijven en ernstige criminaliteit. De leden van de fractie van de ChristenUnie vragen om een korte uiteenzetting hoe de regering de effectiviteit, noodzakelijkheid en proportionaliteit van de maatregel wenst te volgen. Welke evaluatieve voornemens zijn er bij deze richtlijn? Heeft de regering reeds wetenschappelijk onderzoek tot haar beschikking die nut en noodzaak van deze maatregelen onderschrijven en kan ze hier een opsomming van geven?

Vraag 27 (ChristenUnie)

De leden van de fractie van de ChristenUnie zien dat deze richtlijn alleen betrekking heeft op vliegverkeer. Welke overwegingen en risico-inschattingen liggen hieraan ten grondslag, zo vragen zij.

De richtlijn, en daarmee het wetsvoorstel, heeft uitsluitend betrekking op luchtvaartverkeer, zowel op vluchten binnen de EU als op vluchten tussen derde landen en EU-lidstaten. Na de aanslagen op 9/11 stelde VS dat met het verzamelen van luchtvaartpassagiersgegevens, PNR (Passenger Name Record), de kans groter zou zijn om dergelijke aanslagen te onderkennen en te voorkomen. Bovendien heeft de luchtvaartsector internationaal goede onderlinge afspraken en verzamelt deze veel data die behulpzaam kunnen zijn bij het vooraf screenen van personen. Zware criminelen en terroristen beperken zich echter niet tot één bepaalde manier van reizen. Het gebruik van passagiersgegevens van andere vervoersmodaliteiten, zoals treinen, bussen en boten, kan evenzeer bijdragen aan de bestrijding en een adequate opsporing en vervolging van ernstige criminaliteit en terrorisme.

In de overwegingen van de richtlijn41 wordt aangegeven dat deze onverlet laat dat de lidstaten krachtens hun nationaal recht een systeem kunnen opzetten voor het verzamelen en verwerken van PNR-gegevens van andere vervoerders dan de luchtvaart, mits dit nationale recht in overeenstemming is met het recht van de Unie. Ik heb reeds aangekondigd te zullen bezien of passagiersgegevens van andere typen vervoerders op vergelijkbare wijze kunnen worden geanalyseerd als vormgegeven in het wetsvoorstel.42

Om te voorkomen dat lidstaten verschillende eisen zullen stellen aan de vervoerssector (bussen, hogesnelheidstreinen en ferry’s) is een technisch onderzoek uitgevoerd. Op basis van dit onderzoek is een routekaart opgesteld die als basis dient voor de onderhandelingen met de vervoerssector. België is gestart met een pilot om passagiersgegevens te verzamelen van één busmaatschappij. Verenigd Koninkrijk en België zijn voorts een pilot gestart voor het verzamelen van passagiersgegevens van één aanbieder van internationaal treinverkeer. Nederland zal op termijn, nadat de Pi-NL haar werkzaamheden heeft aangevangen, bezien of een systematiek zoals vormgegeven in de richtlijn toegepast kan worden op hogesnelheidstreinen, bussen en/of ferry’s.

Vraag 28 (ChristenUnie)

De leden van de fractie van de ChristenUnie constateren dat er reeds een inbreukprocedure is gestart door de Europese Commissie tegen Nederland, omdat de implementatie van deze richtlijn niet tijdig is afgerond. Dat zet de parlementaire behandeling van dit wetsvoorstel in de Eerste Kamer onder tijdsdruk. Deze leden vragen of de regering de implementatietermijn te kort vond of dat er andere te billijken redenen zijn waardoor de Eerste Kamer nu in zeven weken dit wetsvoorstel moet behandelen. Hoe reflecteert de regering hierop en welke maatregelen heeft zij genomen om te waarborgen dat er voldoende tijd is voor een zorgvuldige en gedegen behandeling van voorstellen, ook in de Eerste Kamer?

Erkend moet worden dat het implementatietraject langer heeft geduurd dan wenselijk is. De richtlijn is op 27 april 2016 vastgesteld en op 24 mei 2016 in werking getreden. De implementatietermijn was, zoals gebruikelijk bij richtlijnen, twee jaar en eindigde op 25 mei 2018. Hierbij moet echter worden bedacht dat de richtlijn niet op zichzelf staat, maar tezamen met de AVG en de Richtlijn gegevensbescherming opsporing en vervolging onderdeel is van een omvangrijk pakket van Unieregelgeving op het gebied van de bescherming van persoonsgegevens. Zowel de AVG als de Richtlijn gegevensbescherming opsporing en vervolging vergde omvangrijke implementatie-, aanpassings- en uitvoeringswetgeving, in het bijzonder de totstandkoming van de Uitvoeringswet AVG en ingrijpende wijzigingen van de Wpg en de Wet justitiële en strafvorderlijke gegevens, alsmede wijziging van de onderliggende regelgeving. Deze trajecten legden een fors beslag op de beschikbare wetgevingscapaciteit.

Zowel vanwege de hiervoor genoemde samenloop van een aantal grote en zeer complexe wetgevingstrajecten als vanwege de uitvoeringsaspecten kon het voorliggende implementatiewetsvoorstel pas op 8 januari 2018 bij de Tweede Kamer worden ingediend. Na een eerste schriftelijke ronde en een afgelast wetgevingsoverleg bracht de Tweede Kamer op 17 mei 2018 een nader verslag uit. Er zit een zekere tijdspanne tussen het nader verslag en de nota naar aanleiding van het nader verslag, die volgde op 30 januari 2019. De reden voor de vertraging is dat er intensief is gewerkt aan complexe uitvoeringsaspecten, zulks met het oog op het verzekeren van de goede aansluiting van de Pi-NL op de opsporingspraktijk. Zo zijn werkprocessen uitgewerkt om de gegevensuitwisseling tussen de Pi-NL en de bevoegde instanties (politie, openbaar ministerie, Koninklijke marechaussee en bijzondere opsporingsdiensten) alsmede tussen de Pi-NL en de passenger information units (PIU’s) van de andere lidstaten optimaal vorm te geven. De Pi-NL is inmiddels geheel volgens de voorschriften van de richtlijn ingericht en kan haar werkzaamheden aanvangen onmiddellijk na inwerkingtreding van de implementatiewet.

Het kabinet acht tijdige implementatie van Europese richtlijnen van zeer groot belang. Er zijn in het verleden verschillende maatregelen getroffen om dit waarborgen. Niettemin is niet geheel uit te sluiten dat een lidstaat onder bepaalde omstandigheden niet aan de implementatietermijn kan voldoen. De hiervoor genoemde omstandigheden maakten dat dit het geval is wat betreft de richtlijn. Dit ontslaat Nederland uiteraard niet van de plicht tot (tijdige) implementatie. Ik heb in mijn brief van 18 april jl. uw Kamer daarom dringend verzocht het onderhavige wetsvoorstel voortvarend te behandelen. Ik ben uw Kamer dan ook zeer erkentelijk dat zij hiertoe bereid is, en zal van mijn kant alles in werk stellen om ondanks de vereiste spoed een zorgvuldige en gedegen behandeling door uw Kamer mogelijk te maken.

De leden van de vaste commissie voor Justitie en Veiligheid zien de reactie van de regering uiterlijk vrijdag 10 mei 2019 met belangstelling tegemoet, zodat zij de nadere procedure op 14 mei 2019 kunnen bespreken, nu de Minister van Justitie en Veiligheid heeft aangegeven dat spoedige behandeling van het wetsvoorstel wenselijk is.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus