| Ingediend | 14 december 2021 |
|---|---|
| Beantwoord | 11 februari 2022 (na 59 dagen) |
| Indieners | Jasper van Dijk (SP), Renske Leijten (SP) |
| Beantwoord door | Ankie Broekers-Knol (VVD), Ferdinand Grapperhaus (CDA) |
| Onderwerpen | openbare orde en veiligheid organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z23369.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-1649.html |
De politie geeft aan dat bij de overgang van het Wpg regime naar het AVG regime onvoldoende is gerealiseerd dat een privacytoets voor dit reeds bestaande project noodzakelijk was. Hierdoor heeft de toets pas plaatsgevonden in november 2021, waarna het project is beëindigd.
Organisaties hebben privacy officers die erop toezien dat verplichtingen rondom privacywetgeving worden nageleefd, zij hebben hiervoor ook een eigen verantwoordelijkheid. Bij ketenbrede trajecten wordt dan ook standaard gekeken naar de privacyaspecten.
Bij rondgang in de migratieketen is vooralsnog niets gebleken van vergelijkbare projecten waarbij er geen privacytoets is uitgevoerd. Wanneer mijn ministerie binnen de migratieketenketen later vergelijkbare verwerkingen tegenkomt waarop nog geen privacytoets, de zogenaamde Data Protection Impact Assessment (DPIA), is uitgevoerd wordt u hierover geïnformeerd en zal evident zo’n toets alsnog uitgevoerd gaan worden.
Vanaf 2016 is gesproken over het Project Athene met als doel het verbeteren van de aard en kwaliteit van de informatie om de identiteit van een individuele asielzoeker vast te kunnen stellen en in een vroeg stadium signalen van nationale
veiligheid en mensenhandel en -smokkel beter te onderkennen.
Het projectvoorstel dat aan de basis lag van het Project Athene, voorzag in een planning wat betreft de inrichtingsfase van het project. Het voornemen was de inrichtingsfase af te ronden in februari 2020.
In de beleidsreactie op het onderzoek van de Inspectie van Justitie en Veiligheid naar het identificatie- en registratieproces (I&R-proces) uw Kamer geïnformeerd over het plan van aanpak «Versterking proces ID straten».2 Hierin wordt genoemd dat gegevensdragers als onderdeel van het identificatie- en registratieproces worden onderworpen aan een handmatige check van de inhoud van de gegevensdrager.
Het project Athene is in 2016 ontwikkeld. De verwerking van het project Athene viel volledig onder het verwerkingsregime van de Wet politiegegevens (Wpg). Het was in 2016 geen verplichting -op grond van de Wpg- een DPIA op te stellen. Met de inwerkingtreding van de nieuwe Wet politiegegevens in januari 2019 is deze verwerking van het project Athene onder de Algemene verordening gegevensbescherming (AVG) komen te vallen.
Politie heeft zich bij de verandering van het privacy regime niet tijdig genoeg gerealiseerd dat deze verwerking niet langer op dezelfde wettelijke basis berustte. Dat besef kwam dankzij de uitvoering van een DPIA3 die in november 2021 binnen AVIM als onderdeel van een korpsbreed programma is gedaan. Toen werd duidelijk dat de opsporingsgegevens (die vallen onder de Wpg) die geautomatiseerd werden verstrekt in het kader van het Athene-project, niet voor de vreemdelingentaken van de Afdeling Vreemdelingenpolitie, Identificatie en Mensenhandel (AVIM, die vallen onder de AVG) gebruikt hadden mogen worden, omdat hier geen grondslag voor was in de Wpg.
Er is geen sprake van data-interceptie. De wettelijke basis van het uitlezen van de gegevensdragers in het kader van het I&R-proces is artikel 55, tweede lid, van de Vreemdelingenwet 2000. De Wet op de inlichtingen- en veiligheidsdiensten is niet van toepassing. Daarmee is ook een aanvraag bij de Toetsingscommissie Inzet Bevoegdheden of de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten niet van toepassing.
De politie heeft bij mij aangegeven dat verkregen gegevens niet zijn gedeeld met andere instanties.
Ik verwijs u naar het nader rapport waarin uitgebreid is gereageerd op het advies van de Raad van State4 betreffende het uitlezen van de simkaart en andere elektronische gegevensdragers. Daaruit komt onder meer naar voren dat er voor de medewerkingsplicht van de vreemdeling die asiel aanvraagt, wettelijke grondslagen bestaan. In artikel 4 van de Kwalificatierichtlijn wordt – kort gezegd – bepaald dat van de aanvrager mag worden verlangd dat hij alle elementen ter staving van het verzoek om internationale bescherming zo spoedig mogelijk indient.5 Deze plicht om alle relevante informatie beschikbaar te stellen is neergelegd in artikel 31, tweede en derde lid, van de Vreemdelingenwet 2000.
Het weigeren om een telefoon af te staan is op grond van de verwijzing van artikel 108, eerste lid, van de Vreemdelingenwet 2000 naar artikel 55 van die wet een strafbare overtreding. Een telefoon of een andere digitale gegevensdrager kan materiaal bevatten dat relevant is voor de vaststelling van de identiteit en/of nationaliteit van de aanvrager en beoordeling van de aanvraag, of dat verband houdt met de nationale veiligheid. Te denken valt aan situaties waarin uit foto’s op de telefoon de betrokkenheid blijkt bij terroristische organisaties.
Tegelijkertijd ben ik van mening dat het verzamelen van persoonsgegevens altijd zo veel mogelijk beperkt zou moeten worden. Dat vloeit ook voort uit het gegevensbeschermingsrecht.
Gegevensdragers van asielzoekers worden altijd eerst handmatig bekeken. Vervolgens wordt op basis van deze handmatige controle besloten of een volledige uitlezing gewenst is. Project Athene maakte het mogelijk om de uitgelezen gegevens met opsporingsinformatie met betrekking tot mensenhandel en terrorisme geautomatiseerd te vergelijken. Dat laatste vindt nu niet meer plaats.
Zoals aangegeven in het nader rapport naar aanleiding van het advies van de Raad van State begrijpt de regering de opmerkingen van de Afdeling advisering zo dat de huidige regeling in de Vreemdelingenwet 2000 die ziet op -kort gezegd- het inzien van bescheiden na het indienen van een asielaanvraag in een sterkere en specifiekere bescherming zou moeten voorzien om ook het uitlezen van digitale gegevensdragers van de asielzoeker mogelijk te maken. Artikel 107a van de Vreemdelingenwet 2000 biedt een uitdrukkelijke wettelijke basis voor het verwerken van bijzondere persoonsgegevens voor zover deze gegevens noodzakelijk zijn voor onder meer de doelmatige en doeltreffende uitvoering van de toelating en het verblijf van vreemdelingen. Ter waarborging van de persoonlijke levenssfeer wordt dit artikel nader uitgewerkt in de artikelen 7.1a tot en met 7.1d van het Voorschrift Vreemdelingen 2000. Hiermee doe ik recht aan het advies van de Raad van State.
Zoals eveneens vermeld in het nader rapport, zal op een geschikt moment artikel 55, tweede lid, Vreemdelingenwet 2000 worden verhelderd, zodat daaruit uitdrukkelijk blijkt dat ook digitale gegevensdragers kunnen worden ingezien en uitgelezen. Hoewel de bevoegdheid om digitale gegevensdragers in te zien en uit te lezen op grond van artikel 55, tweede lid, van de Vreemdelingenwet 2000 bestaat, is het passend dit te verduidelijken in de wetstekst.
Hierbij deel ik u, mede namens de Staatssecretaris van Justitie en Veiligheid, mede dat de schriftelijke vragen van de leden Jasper van Dijk en Leijten (beiden SP), van uw Kamer aan de Minister van Justitie en Veiligheid over het controleren en koppelen van data van onschuldige mensen (ingezonden 14 december 2021) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.