Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 30 juni 2022
De aanzienlijke dreiging die uitgaat van terrorisme en zware criminaliteit, zoals mensenhandel en drugssmokkel stopt niet bij onze landsgrenzen, maar heeft steeds vaker een internationaal karakter. Grensoverschrijdende netwerken maken misbruik van de mogelijkheden van internationaal reizen en het vrij verkeer van personen binnen het Schengengebied om hun criminele en terroristische activiteiten voort te zetten.
Om gezamenlijk met onze Europese en internationale partners een vuist te maken tegen deze misdrijven en te voorkomen dat daders zich ongezien verplaatsen, is passend instrumentarium nodig. Het gebruik van Passenger Name Record (PNR) gegevens is één van die instrumenten, waarmee zonder de reismogelijkheden van gewone passagiers te beperken, bijgedragen kan worden aan verschillende stadia van onderzoek, opsporing en vervolging van zware criminaliteit en terrorisme. Door de PNR-richtlijn1 en -wet2 kan deze data door luchtvaartmaatschappijen en bevoegde instanties op één plek aangeleverd en gevorderd worden.
Hierbij is het van groot belang dat het recht op de eerbiediging van de persoonlijke levenssfeer, het recht op bescherming van persoonsgegevens en het recht op non-discriminatie worden gerespecteerd. De PNR-data dient daarom zorgvuldig te worden verzameld, verwerkt en bewaard. Het gegevensbeschermingsregime dat integraal onderdeel uitmaakt van de PNR-richtlijn en -wet, kan dan ook niet los van deze regelgeving worden gezien.
De passagiersinformatie-eenheid (Pi-NL), die sinds juni 2019 operationeel is, heeft daarom een belangrijke taak: zorgen dat bevoegde instanties de informatie krijgen die essentieel is voor het voorkomen, onderzoeken, opsporen en vervolgen van zware criminaliteit en terrorisme, op een wijze die recht doet aan de fundamentele rechten van passagiers.
Inmiddels verwerkt de Pi-NL de PNR-gegevens van 77 luchtvaartmaatschappijen. Om deze operatie zorgvuldig uit te voeren werkt Pi-NL met complexe processen voor de verwerking als ook de bescherming van deze data. Vanaf de oprichting van de Pi-NL en het inwerkingtreden van de wet op 18 juni 2019, is dan ook veel aandacht besteed aan het inrichten van privacywaarborgen en het beschermen van persoonsgegevens.
Enkele voorbeelden van maatregelen die zijn geïmplementeerd:
• het toepassen van een menselijke toets en doelbindingscheck voordat gegevens worden verstrekt aan bevoegde instanties
• het automatisch maskeren van datavelden waaraan een passagier geïdentificeerd kan worden na 6 maanden. Deze gegevens kunnen alleen met toestemming van een officier van justitie weer zichtbaar gemaakt worden en na kennisgeving aan de Functionaris Gegevensbescherming (FG), die deze verwerking achteraf controleert.
• het gebruik van geautomatiseerde filters, zodat data die door de Pi-NL niet mag worden verwerkt (zoals bijzondere persoonsgegevens) niet in de dataset terecht komt.
• het loggen van verwerkingen en verstrekkingen, en het toepassen van een vier-ogen-principe
• het aanstellen van een privacy adviseur bij de Pi-NL naast de dedicated, onafhankelijk gepositioneerde, FG
• het uitvoeren van onafhankelijke jaarlijkse audits. Doel hiervan is op systematische wijze te toetsen of aan specifieke bepalingen van de PNR-wet op adequate wijze uitvoering is gegeven.
In verschillende reguliere overleggen tussen de FG, Pi-NL en NCTV als gemandateerd verwerkingsverantwoordelijke, wordt stilgestaan bij het functioneren van deze en andere privacywaarborgen, zodat deze waar nodig kunnen worden bijgesteld. Dit is in 2021 bijvoorbeeld gebeurd t.a.v. de hierboven genoemde geautomatiseerde filters.
De jaarrapportage die de FG opstelt conform artikel 18 van de PNR-wet, vormt naast deze reguliere afstemming een momentopname die gebruikt wordt om het geheel aan privacywaarborgen te overzien en prioriteiten aan te scherpen voor de komende periode. De hierin opgenomen aanbevelingen worden met de FG besproken en in goede samenwerking opgepakt. In de bijgaande rapportage over 2021 concludeert de FG dat de wettelijke waarborgen voor het beschermen van persoonsgegevens die zijn gecontroleerd, aanwezig zijn en voldoende functioneren, en dat er in ruime mate sprake is van acties en compliancebereidheid om passagiersgegevens te beschermen. Een voorbeeld van een dergelijke actie betreft het vrijmaken van extra middelen voor het doorvoeren van wijzigingen in het Travel Information Portal3, naar aanleiding van de huidige rapportage. Deze wijzigingen zijn er o.a. op gericht de functionaliteiten die de FG gebruikt voor haar toezichthoudende rol te verbeteren.
Ook de WODC-evaluatie van de PNR-wet is ingegaan op het functioneren van de privacywaarborgen bij Pi-NL. Het WODC heeft hierbij gebruik gemaakt van de expertise van de FG. De FG geeft in haar rapportage verdere invulling aan de conclusies van deze evaluatie. In samenspraak met de FG wordt bezien op welke wijze technisch dan wel organisatorisch invulling kan worden gegeven aan de bevindingen. Voor de opvolging ten aanzien van de WODC-conclusies verwijs ik verder graag naar de beleidsreactie op het WODC-rapport4.
Ook in het komende jaar blijft mijn inzet erop gericht een zo hoog mogelijk niveau van bescherming van persoonsgegevens te realiseren bij Pi-NL, als noodzakelijke randvoorwaarde van het essentiële werk dat zij doen om zware criminaliteit en terrorisme te bestrijden.
Mede namens de Minister van Defensie,
De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius