| Ingediend | 24 februari 2023 |
|---|---|
| Beantwoord | 28 maart 2023 (na 32 dagen) |
| Indieners | Hind Dekker-Abdulaziz (D66), Farid Azarkan (DENK) |
| Beantwoord door | Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
| Onderwerpen | luchtvaart openbare orde en veiligheid organisatie en beleid verkeer |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2023Z03451.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20222023-2055.html |
Ja, daar ben ik bekend mee.
In de uitspraak van 21 juni 2022, in de door België doorverwezen zaak over de Passenger Name Record-richtlijn (hierna: PNR-richtlijn), oordeelde het Hof van Justitie van de Europese Unie (hierna: het Hof) dat deze richtlijn weliswaar inbreuk maakt op het recht op eerbiediging van het privé, familie en gezinsleven en het recht op de bescherming van persoonsgegevens2, maar proportioneel is in relatie tot de doelen die de richtlijn nastreeft – namelijk de bestrijding van ernstige criminaliteit en terrorisme – en de maatregelen waarin wordt voorzien om de privacy te beschermen. Volgens het Hof vereisen deze grondrechten echter dat de bevoegdheden waarin de richtlijn voorziet, slechts worden uitgeoefend voor zover dat strikt noodzakelijk is.
Met deze uitspraak wordt zowel het belang van de bestrijding van terrorisme en ernstige criminaliteit, zoals mensenhandel, als het belang van bescherming van de privacy door het Hof onderschreven en blijft de inhoud van de richtlijn – en daarmee het instrument – overeind.
Zoals ik in mijn brief van 10 maart aan uw Kamer3 heb aangegeven, heeft de Autoriteit Persoonsgegevens mij op 21 februari 2023 verzocht om met onmiddellijke ingang alle benodigde maatregelen te nemen om ervoor te zorgen dat de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» en bijbehorende verwerkingen van passagiersgegevens in overeenstemming te brengen met de interpretatie van de richtlijn die Hof heeft gegeven. Ik onderschrijf deze oproep en werk al enige tijd – samen met alle betrokken partners – op nationaal en op Europees niveau aan de juridische, operationele en technische uitwerking van maatregelen.4
De «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» bevat al verschillende (privacy) waarborgen voor de verwerking van passagiersgegevens.5 Er mogen bijvoorbeeld geen bijzondere persoonsgegevens worden verwerkt. Naast de bestaande privacy waarborgen zal ik dit jaar nog – in lijn met de uitspraak van het Hof en het verzoek van de Autoriteit Persoonsgegevens – een aantal aanpassingen doen in de verwerking van passagiersgegevens. Namelijk het inperken van de algemene bewaartermijn naar drie jaar, een onafhankelijke toets voor vorderingen en verstrekkingen van passagiersgegevens, een inperking van de gegevensverwerking van intra-EU vluchten door selectie op het niveau van luchthavens en het instellen van een technisch filter voor het aanleveren van intra EU-vluchten op nationaal niveau.
Met deze maatregelen geef ik invulling aan een evenredig en proportioneel pakket aan maatregelen en waarborgen die noodzakelijk zijn voor de bestrijding van terrorisme en zware criminaliteit, met de noodzakelijke bescherming van persoonsgegevens.
Bijlage 1 van de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» geeft een limitatieve lijst van alle gegevens die opgenomen mogen worden in het Passenger Name Record-bestand. Het gaat hier om gegevens die de passagier zelf aanlevert bij het boeken van een vlucht, zoals namen, geplande reisdatum of -data, adres en contactgegevens waaronder telefoonnummer en e-mailadres, alle betalingsinformatie en volledige reisroute. Luchtvaartmaatschappijen zijn alleen verplicht om de gegevens aan te leveren die zij reeds verzamelen voor hun normale bedrijfsvoering. Zij hebben niet de verplichting om alle gegevens uit bijlage 1 van de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» te verzamelen. Wat er precies in het Passenger Name Record-bestand is opgenomen kan dus verschillen per luchtvaartmaatschappij, maar kan in geen enkel geval meer zijn dan de gegevens opgenomen in bijlage 1 van de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven».
De «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» kent tevens geen grondslag om bijzondere persoonsgegevens, zoals gegevens over ras of etnische afkomst, religieuze of levensbeschouwelijke overtuigingen en gegevens over gezondheid, te verzamelen en/of te verwerken. Mochten bijzondere persoonsgegevens onverhoopt toch door een luchtvaartmaatschappij worden aangeleverd, zijn technische maatregelen genomen om deze gegevens eruit te filteren en direct geautomatiseerd te verwijderen.
Conform de Passenger Name Record-richtlijn en de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» is de huidige bewaartermijn vastgesteld op vijf jaar. Zoals aangegeven in mijn brief aan uw Kamer van 10 maart 20236, heeft het Hof bepaald dat een bewaartermijn van zes maanden noodzakelijk en proportioneel wordt geacht, maar dat een langere bewaartermijn beperkt is toegestaan waarbij de noodzakelijkheid leidend is. De bepaling in de Passenger Name Record-richtlijn die expliciet de bewaartermijn van vijf jaar toestaat, is daarbij door het Hof in stand gehouden7.
In lijn met de uitspraak van het Hof en het verzoek van de Autoriteit Persoonsgegevens zal de algemene bewaartermijn naar drie jaar worden ingeperkt. De bewaartermijn blijft in specifieke gevallen vijf jaar indien een concrete link met terrorisme of ernstige criminaliteit is gebleken. Een algemene bewaartermijn van drie jaar past bij een interpretatie van de Hofuitspraak, waarbij de algemene bewaartermijn noodzakelijk is vanwege het feit dat opsporingsonderzoeken naar zware criminaliteit en terrorisme één tot drie jaar oude data nodig hebben en uit de praktijk blijkt dat dergelijke opsporingsonderzoeken een opstartfase van meerdere maanden behelst.
Op dit moment is het al zo dat de passagiersgegevens waaruit rechtstreeks de identiteit van een persoon kan worden afgeleid, zes maanden na ontvangst door de Passagiersinformatie-eenheid Nederland gedepersonaliseerd worden én na afloop van de wettelijke bewaartermijn de passagiersgegevens definitief worden verwijderd. Binnen een maand zal invulling worden gegeven aan de Hofuitspraak door geen passagiersgegevens ouder dan drie jaar meer te verstrekken aan bevoegde instanties. Voordat passagiersgegevens ouder dan drie jaar definitief kunnen worden verwijderd, dient nader onderzocht te worden, welke passagiersgegevens niet verwijderd kunnen worden in verband met lopende wettelijke procedures. Parallel hieraan zal gewerkt worden aan het aanpassen van de wet op deze punten. Vanzelfsprekend zal ik uw Kamer hierover informeren.
In Nederland zijn er drie overheidsinstanties die passagiersgegevens verzamelen op basis van hun respectievelijke wettelijke grondslag. Dit zijn de Passagiersinformatie-eenheid Nederland, de Douane en de Koninklijke Marechaussee. De Passagiersinformatie-eenheid Nederland en Douane ontvangen Passenger Name Record-gegevens en de Koninklijke Marechaussee ontvangt Advance Passenger Information-gegevens.
Luchtvaartmaatschappijen delen via een beveiligde verbinding de passagiersgegevens met de Passagiersinformatie-eenheid Nederland en de Douane via de technische voorziening Travel Information Portal (TRIP). De Passagiersinformatie-eenheid Nederland ontvangt alleen de passagiersgegevens, zoals opgenomen in de limitatieve lijst van bijlage 1 van de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven»».
De Douane ontvangt de passagiersgegevens op basis van het Douanewetboek van de Unie (DWU) en de Algemene douanewet (Adw). Deze gegevensstromen van de Passagiersinformatie-eenheid Nederland en de Douane zijn in TRIP strikt gescheiden waardoor zij enkel de gegevens ontvangen waarover zij mogen beschikken.
De Passagiersinformatie-eenheid Nederland beoordeelt de passagiersgegevens om terrorisme en ernstige criminaliteit te bestrijden aan de hand van door bevoegde instanties ingediende vorderingen, SIS-databank vergelijkingen en risicocriteria sets. De Passagiersinformatie-eenheid Nederland deelt de passagiersgegevens of het resultaat van de verwerking ervan, met de bevoegde instanties, indien deze nader onderzoek behoeven. De Koninklijke Marechaussee is net als het Openbaar Ministerie, de politie, de bijzondere opsporingsdiensten en de Rijksrecherche een bij wet aangewezen bevoegde instantie. Verstrekkingen aan bevoegde instanties vinden niet geautomatiseerd plaats, maar pas na een menselijke toets. Dit is een objectieve toets waarbij door een medewerker van de Passagiersinformatie-eenheid Nederland wordt nagegaan of het gaat om een rechtmatige verstrekking van passagiersgegevens binnen de doelbinding van de wet, namelijk de bestrijding van ernstige criminaliteit en terrorisme. Daarnaast wordt door een medewerker van de Passagiersinformatie-eenheid Nederland getoetst of de te verstrekken gegevens passen bij het verzoek of de signalering.
De Douane maakt voor haar toezichts- en controletaken op goederen in het reizigersverkeer gebruik van reisgegevens van passagiers. De Douane gebruikt voor haar risicoselectie Passenger Name Record-gegevens van passagiers die van buiten de Europese Unie naar Nederland reizen, of van Nederland naar buiten de Europese Unie, inclusief die van passagiers die overstappen in de Europese Unie. De Douane verwerkt de Passenger Name Record-gegevens gedurende tweemaal 24-uur na aankomst of vertrek van een vlucht. In gerichte gevallen kan deze termijn tot maximaal 28 dagen worden verlengd. Na 48 uur respectievelijk 28 dagen worden de gegevens in TRIP gedepersonaliseerd voor analyse-doeleinden. Na 2 jaar worden de gegevens daaruit volledig verwijderd.
De Koninklijke Marechaussee ontvangt, in geval er een wettelijke grondslag is om aan de Koninklijke Marechaussee te verstrekken, naast Passenger Name Record-gegevens via de Passagiersinformatie-eenheid Nederland ook rechtstreeks Advance Passenger Information-gegevens. Dat zijn paspoort- en vluchtgegevens van passagiers die aan boord van een vliegtuig zitten. Bijvoorbeeld de naam, nationaliteit, gegevens over de vlucht en reisroute. De luchtvaartmaatschappij stuurt Advance Passenger Information-gegevens aan het eind van de instapcontroles door naar de Koninklijke Marechaussee. Het Advance Passenger Information-centrum van de Koninklijke Marechaussee op Schiphol verwerkt de aangeleverde passagiersgegevens. Dit doet het centrum voor vluchten vanuit landen die geen lid zijn van de EU of landen die het Verdrag van Schengen niet hebben ondertekend. De Koninklijke Marechaussee verwerkt deze gegevens volgens de Vreemdelingenwet 2000 ter bestrijding van illegale migratie en grenscontrole van personen.
Conform de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» deelt de Passagiersinformatie-eenheid Nederland passagiersgegevens met de bij wet aangewezen Nederlandse bevoegde instanties, te weten, de Nationale Politie, het openbaar ministerie, de Koninklijke Marechaussee, de bijzondere Opsporingsdiensten en de Rijksrecherche.
Daarnaast deelt de Passagiersinformatie-eenheid Nederland conform de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» passagiersgegevens met Passenger Information Units van andere EU-lidstaten, bevoegde instanties van andere EU-lidstaten en Europol. De passagiersgegevens worden alleen verstrekt aan bovengenoemde instanties wanneer het noodzakelijk is teneinde de gegevens nader te onderzoeken, of de nodige maatregelen te treffen voor het voorkomen, opsporen, onderzoeken of vervolgen van terroristische of ernstige misdrijven.
Het interne proces van beoordeling van Passagiersgegevens van de Passagiersinformatie-eenheid Nederland voorafgaand aan het verstrekken van passagiersgegevens aan bevoegde instanties in Nederland staat beschreven in het antwoord op vraag 5.
De Passagiersinformatie-eenheid Nederland kan passagiersgegevens verstrekken aan de Passagiersinformatie-eenheid van een andere lidstaat. Passagiersgegevens kunnen worden verstrekt na een overeenkomst met de Schengen Informatie Systeem II-databank of na een verzoek van de Passagiersinformatie-eenheid van de desbetreffende lidstaat, nadat door een medewerker van de Passagiersinformatie-eenheid Nederland wordt nagegaan of het gaat om een rechtmatige verstrekking van passagiersgegevens binnen de doelbinding van de wet. Daarnaast wordt door een medewerker van de Passagiersinformatie-eenheid Nederland getoetst of de te verstrekken gegevens passen bij het verzoek of de signalering. De Passagiersinformatie-eenheid van een andere lidstaat geeft de gegevens door aan de eigen bevoegde instanties. Indien een Passagiersinformatie-eenheid uit een andere lidstaat verzoekt om persoonsgegevens van passagiers ouder dan zes maanden, dan kunnen deze persoonsgegevens alleen na toestemming van de officier van justitie worden doorgegeven. Daarbij vindt tevens een controle van de verwerking door de Functionaris Gegevensbescherming van de Passagiersinformatie-eenheid Nederland achteraf plaats.
Bij dringende noodzaak is in voorkomend geval een rechtstreekse verstrekking aan de bevoegde instantie van een andere lidstaat mogelijk. Van een dringende noodzaak is sprake als de informatie het risico voor dood of letsel van personen of serieuze schade aan goederen kan voorkomen of de informatie noodzakelijk is voor vrijheidsontneming van een verdachte op korte termijn. Het verzoek van de bevoegde instantie van een andere lidstaat moet aan dezelfde voorwaarden voldoen als die gelden voor een regulier verzoek van een Passagiersinformatie-eenheid van een andere lidstaat. De Passagiersinformatie-eenheid Nederland zendt een afschrift van het verzoek van een bevoegde instantie van een andere lidstaat aan de Passagiersinformatie-eenheid van die andere lidstaat en aan de landelijke eenheid.
De Passagiersinformatie-eenheid deelt passagiersgegevens op een voldoende gemotiveerd verzoek van Europol, via de nationale Europol-eenheid, voor zover dit in een bepaald geval noodzakelijk is voor Europol ter ondersteuning en versterking van het optreden van de lidstaten bij het voorkomen, opsporen, onderzoeken of vervolgen van een terroristisch of ernstig misdrijf dat onder de bevoegdheid van Europol valt. De doorgifte aan Europol dient in overeenstemming te zijn met de Europol-verordening 2016/794/EU.
De PNR-richtlijn bevat een regeling voor de doorgifte van passagiersgegevens en verwerkingsresultaten aan een autoriteit in een derde land. Doorgifte van gegevens aan derde landen betreft echter, anders dan de uitwisseling van gegevens met (bevoegde autoriteiten van) andere lidstaten en Europol, geen verplichte taak van de Passagiersinformatie-eenheid. De Passagiersinformatie-eenheid zelf kan géén passagiersgegevens met derde landen delen. Hiervoor dient een derde land een regulier rechtshulpverzoek via het Landelijk Internationaal Rechtshulpcentrum (LIRC) in te dienen. Het LIRC zet dit verzoek om in een nationale vordering bij de Passagiersinformatie-eenheid Nederland. Het LIRC onderzoekt of, op basis van het antwoord van Passagiersinformatie-eenheid Nederland, de informatie gedeeld kan worden met het verzoekende derde land.
Zie antwoord vraag 6.
Ernstige criminaliteit en terrorisme beperkt zich niet tot landsgrenzen. Voor een doeltreffende aanpak is internationale samenwerking dan ook cruciaal. De Passagiersinformatie-eenheid Nederland draagt hieraan bij door met behulp van passagiersgegevens de mogelijke betrokkenheid van luchtvaartpassagiers bij een terroristisch misdrijf of andere vormen van ernstige criminaliteit te detecteren.
Zoals ook aangegeven in mijn brief aan uw Kamer van 10 maart 20238, heb ik besloten om de algemene bewaartermijn van vijf naar drie jaar bij te stellen. De bewaartermijn blijft in specifieke gevallen vijf jaar indien een concrete link met terrorisme of ernstige criminaliteit is gebleken. Een algemene bewaartermijn van drie jaar is een forse inperking van de in de PNR-richtlijn genoemde vijf jaar en de in de huidige «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» vastgestelde vijf jaar. Een algemene bewaartermijn van drie jaar past bij een interpretatie van de Hofuitspraak, waarbij de algemene bewaartermijn noodzakelijk is vanwege het feit dat opsporingsonderzoeken naar zware criminaliteit en terrorisme één tot drie jaar oude data nodig hebben en het feit dat dergelijke opsporingsonderzoeken een opstartfase van meerdere maanden behelst.
Een verdere inperking heeft vergaande consequenties voor de opsporingspraktijk en de slagvaardigheid van de bevoegde instanties in de strijd tegen terrorisme en ernstige criminaliteit. Een inperking van de bewaartermijn minder dan drie jaar zou ertoe leiden dat waarschijnlijk niet meer aan de doelstellingen van de PNR-richtlijn kan worden voldaan, omdat er onvoldoende passagiersgegevens beschikbaar zijn om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen en zo de interne veiligheid te bevorderen. Samengevat acht ik een algemene bewaartermijn van drie jaar doelmatig, maar ook evenredig, proportioneel en noodzakelijk, gelet op de doelstelling van de Passagiersinformatie-eenheid Nederland.
De aanzienlijke dreiging die uitgaat van terrorisme en zware criminaliteit, zoals mensenhandel en drugssmokkel stopt niet bij onze landsgrenzen, maar heeft steeds vaker een internationaal karakter. Grensoverschrijdende netwerken maken misbruik van de mogelijkheden van internationaal reizen en het vrij verkeer van personen binnen het Schengengebied om hun criminele en terroristische activiteiten voort te zetten. Om gezamenlijk met onze Europese en internationale partners een vuist te maken tegen deze misdrijven en te voorkomen dat daders zich ongezien verplaatsen, is een passend instrumentarium nodig. Het gebruik van Passenger Name Record gegevens is hierbij een belangrijk instrument wat ook door het Europese Hof is erkent
Naar aanleiding van de uitspraak van het Hof is op basis van objectieve criteria, waaronder relevantie voor opsporingsonderzoek, een risicoanalyse uitgevoerd voor de Nederlandse luchthavens. Op basis van deze analyse is bepaald voor welke intra-EU vluchten van en naar Nederlandse luchthavens rechtvaardiging bestaat voor de verwerking van passagiersgegevens.
Hiermee geef ik invulling aan een evenredig en proportioneel pakket aan maatregelen en waarborgen die noodzakelijk zijn voor de bestrijding van terrorisme en zware criminaliteit, met de noodzakelijke bescherming van persoonsgegevens.
De verwerking van de passagiersgegevens heeft sinds de inwerkingtreding van de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven», op 18 juni 2019 ten behoeve van implementatie van de PNR-Richtlijn over het gebruik van passagiersgegevens voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit in lijn hiermee uitgevoerd.
Bij brief van 12 november 2021 is de Autoriteit Persoonsgegevens geraadpleegd over het consultatiebesluit houdende bestendiging van de toepasselijkheid op vluchten binnen de Europese Unie van de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» naar aanleiding van de horizonbepaling uit de wet. In haar reactie heeft de Autoriteit Persoonsgegevens op 3 januari 2022 geadviseerd om de uitspraak van het Europese Hof af te wachten, alvorens de procedure van het conceptbesluit voort te zetten.
In mijn appreciatie9 (25 januari 2022) op het advies van de Autoriteit Persoonsgegevens ga ik uitgebreid in op mijn overwegingen in de context van vorig jaar, toen het Hof nog geen uitspraak had gedaan. Samengevat is expliciet afgewogen wat de consequenties zouden zijn van het beëindigen van het toepassen van de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» door Nederland op Intra EU-vluchten voor een effectievere samenwerking tussen de EU-lidstaten op het gebied van terrorismebestrijding.
De conclusie van deze afweging, waarbij het recht op een veilige leefomgeving en het recht op privacy en gegevensbescherming beiden zijn betrokken, was op dat moment dat, het continueren van het toepassen van de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» op Intra EU-vluchten noodzakelijk was met het oog op de nationale veiligheid en de veiligheid van Europa als geheel en dat door solide waarborging van de rechten van betrokkenen, de verwerking van de passagiersgegevens bij het toepassen van de «Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven» op Intra EU-vluchten verenigbaar is met het recht op privacy en gegevensbescherming. Met de uitspraak van het Hof wordt dit onderschreven en blijft de inhoud van de richtlijn – en daarmee het instrument – overeind.
Zoals ook aangegeven in mijn brief aan uw Kamer van 10 maart 202310 zal ik dit jaar nog een aantal aanpassingen doen in de verwerking van passagiersgegevens.
Met bovenstaande maatregelen geef ik invulling aan de uitspraak van het Hof en gehoor aan het advies van de Autoriteit Persoonsgegevens alsmede invulling aan een evenredig en proportioneel pakket aan maatregelen en waarborgen die noodzakelijk zijn voor de bestrijding van terrorisme en zware criminaliteit, met de noodzakelijke bescherming van persoonsgegevens.
Hierbij deel ik u mede dat de schriftelijke vragen van de leden Dekker-Abdulaziz (D66) en Azarkan (DENK), van uw Kamer aan de Minister van Justitie en Veiligheid over het bericht dat de overheid de gegevens van vliegpassagiers verzamelt (ingezonden 24 februari 2023) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.