Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 14 december 2022
Tijdens het commissiedebat terrorisme/extremisme van 24 november 2022 heb ik op verzoek van het Kamerlid Azarkan toegezegd de Kamer nader te informeren over de privacy audits bij de Passagiersinformatie-eenheid Nederland (Pi-NL). In deze brief ga ik in op de verschillende audits die de afgelopen jaren zijn uitgevoerd en geef ik opvolging aan de motie van het lid Azarkan over het – conform wettelijke verplichting – zo snel mogelijk uitvoeren van privacy audits.1
Luchtvaartmaatschappijen zijn sinds juni 2019 verplicht om Passenger Name Record-gegevens (PNR) van alle vluchten die in Nederland aankomen of uit Nederland vertrekken door te geven aan Pi-NL. Het gaat daarbij om reserverings- en check-in-gegevens van alle passagiers die een vlucht boeken. Deze gegevens kunnen essentiële informatie bevatten voor het bestrijden van terrorisme en ernstige criminaliteit. Pi-NL beoordeelt daarom met behulp van deze gegevens luchtvaartpassagiers op mogelijke betrokkenheid bij een terroristisch misdrijf of andere vormen van ernstige criminaliteit. Pi-NL is bij de uitvoering van deze taak gebonden aan privacywetgeving (de privacy waarborgen die zijn opgenomen in de Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven (PNR-wet)). Er mogen bijvoorbeeld geen bijzondere persoonsgegevens, zoals godsdienst en etnische afkomst, worden verwerkt en er gelden beperkte bewaartermijnen voor deze gegevens. De privacy waarborgen die Pi-NL hanteert, worden jaarlijks gecontroleerd door middel van interne audits. Daarnaast wordt periodiek (iedere 3 jaar) en bij grote wijzigingen de bescherming van gegevens getest door de technisch beheerder, de Justitiële informatiedienst. Vanuit deze audits en tests, en in samenwerking met de Functionaris Gegevensbescherming, worden verbeterpunten opgepakt en geadresseerd om de privacyregels te waarborgen.
Privacy audits
In de periode november 2019 tot januari 2020 heeft de Audit Dienst Rijk een audit uitgevoerd op het Travel Information Portal (TRIP) systeem, dat door Pi-NL wordt gebruikt voor het verwerken van PNR-gegevens. Deze audit zag toe op de beveiligingsmaatregelen die specifiek voor Pi-NL zijn getroffen op het centrale gedeelte van dit systeem. Hierbij zijn de waarborgen uit de PNR-wet meegenomen. Voorbeelden van deze maatregelen zijn het depersonaliseren door afscherming van persoonsgegevens na zes maanden en het zorgvuldig toekennen en onderhouden van autorisaties.
Ook in 2021 heeft een privacy audit plaatsgevonden, specifiek gericht op de verwerkingsprocessen bij Pi-NL die buiten het Travel Information Portal (TRIP) systeem plaatsvinden. Voorbeelden hiervan zijn de processen van spoedvorderingen en burgerverzoeken. Voor de audit met betrekking tot 2022 zijn inmiddels de voorbereidingen gestart.
Naast deze jaarlijkse audits, bestaat de verplichting eens in de vier jaar een privacy audit te laten uitvoeren die het gehele verwerkingsproces van Pi-NL beslaat. Deze zal voor de eerste keer in 2023/2024 plaatsvinden, aangezien Pi-NL sinds juni 2019 operationeel is.
De audits vinden plaats aanvullend op het doorlopend toezicht dat wordt gehouden op de gegevensverwerking bij Pi-NL door de specifiek daartoe benoemde Functionaris Gegevensbescherming. De uitkomsten van de audits en van rapportages van de Functionaris Gegevensbescherming worden ingezet om de processen van Pi-NL doorlopend te verbeteren. Zo zijn verbeterpunten rondom het account- en autorisatiemanagement opgepakt en actief gemonitord. Een ander voorbeeld betreft het vrijmaken van extra middelen voor het doorvoeren van wijzigingen in het Travel Information Portal (TRIP) systeem. Deze wijzigingen zijn er onder andere op gericht de functionaliteiten die de Functionaris Gegevensbescherming gebruikt voor haar toezichthoudende rol, te verbeteren. De jaarlijkse rapportage van de Functionaris Gegevensbescherming wordt ieder jaar vóór 1 juli2 gedeeld met beiden Kamers en de Autoriteit Persoonsgegevens.
De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius