Brief regering : Reactie op de jaarrapportage van de functionaris gegevensbescherming van de passagiersinformatie-eenheid Nederland

Nr. 28
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 juni 2021

Hierbij bied ik u, mede namens de Minister van Defensie, de rapportage aan van de
functionaris gegevensbescherming (hierna: FG) van de passagiersinformatie-eenheid
Nederland (hierna: Pi-NL) over 20201. Deze rapportage wordt jaarlijks opgesteld in uitvoering van artikel 18 van de Wet
gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige
misdrijven (hierna: PNR-wet).

In de rapportage gaat de FG in op de wijze waarop controle is uitgeoefend op de verwerking
van de persoonsgegevens door de Pi-NL en de wijze waarop de waarborgen voor de gegevensbescherming
zijn uitgevoerd. De rapportage bevat daarnaast statistieken over de manieren waarop
de Pi-NL passagiersgegevens heeft verwerkt op grond van de PNR-wet.

Gezien de Pi-NL sinds juni 2019 operationeel is, is de rapportage over 2020 de eerste
over een volledig kalenderjaar. Door de grote invloed van de covid-19 pandemie op
de luchtvaart was het meteen een ongebruikelijk jaar, waarin veel minder passagiers
dan gebruikelijk zijn beoordeeld. Desondanks heeft de Pi-NL ook over 2020 een belangrijke
bijdrage geleverd aan de bestrijding van ernstige criminaliteit en terrorisme.

De FG concludeert dat de wettelijke waarborgen voor het beschermen van persoonsgegevens
die zijn gecontroleerd, aanwezig zijn en functioneren. Daarbij blijft aandacht voor
de continuïteit van deze waarborgen van onverminderd belang.

De rapportage noemt een aantal belangrijke waarborgen voor de gegevensbescherming.
Hieronder ga ik op een aantal waarborgen nader in en licht ik graag toe welke acties
zijn en worden genomen om de bescherming van persoonsgegevens te borgen en processen
verder te verbeteren.

Audits

Jaarlijks vindt bij de Pi-NL een audit plaats. Deze heeft tot doel op systematische
wijze te toetsen of aan de bepalingen van de wet op adequate wijze uitvoering is gegeven.
De eerste van deze audits heeft plaatsgevonden in de periode november 2019 tot januari
2020. Het betrof een audit uitgevoerd door de Auditdienst Rijk (ADR) op het centrale
deel van het TRIP-systeem. De audit gaf een positief beeld en tevens enige verbeterpunten
(waaronder het account- en autorisatiemanagement) die zijn opgepakt en actief worden
gemonitord.

Informatievoorziening

De overheid dient transparant te zijn over informatie die zij verzamelt, in dit geval
PNR-gegevens van luchtvaartpassagiers. Daartoe staat, naast hetgeen luchtvaartmaatschappijen
direct richting hun reizigers communiceren, op rijksoverheid.nl toegelicht:

– Welke gegevens worden verzameld

– Wat de wettelijke grondslag hiervoor is

– Hoe de passagiersgegevens worden gebruikt door o.a. de Pi-NL en bevoegde instanties
zoals de politie

– Wat de toegepaste bewaartermijnen zijn

– Hoe passagiers hun gegevens kunnen inzien, laten wijzigen of verwijderen

Bijzondere persoonsgegevens

De verwerking van gegevens door de Pi-NL mag nooit betrekking hebben op persoonsgegevens
waaruit iemands godsdienst of levensovertuiging, ras of etnische afkomst, politieke
gezindheid, gezondheid, seksuele leven of geaardheid of lidmaatschap van een vakvereniging
blijkt. Al deze gegevens, mochten deze onverhoopt door luchtvaartmaatschappijen toch
worden doorgestuurd, worden vóór verdere verwerking door het systeem gefilterd. In
samenspraak met de FG wordt de lijst van te filteren termen die op bijzondere persoonsgegevens
kunnen wijzen, continu geactualiseerd en waar nodig aangepast.

Correct overnemen van vorderingsgegevens

In de jaarrapportage van de FG over 2019 (Bijlage bij Kamerstuk 34 861, nr. 26) werd onder meer geconstateerd: «Een aandachtspunt is het secuur overnemen door de
bevoegde instantie, van de toestemming uit de vordering, in TRIP en de controle daarvan
door Pi-NL». Hier is in 2020 door de Pi-NL veel aandacht aan besteed, waardoor de
FG in haar rapportage over 2020 kan aangeven: «In 2020 verbeterde de controle op het
correct overnemen van de vordering en/of het verzoek door de bevoegde instantie. Dit
heeft een zeer positief effect. Aan het einde van 2020 was het aantal onjuist overgenomen
gegevens bijna nihil.» Ik ben uiteraard verheugd met dit resultaat en zal hier ook
in de toekomst scherp op blijven.

Aanleveren van de juiste passagiersgegevens door luchtvaartmaatschappijen

De FG geeft in haar rapportage terecht aan: «De door de passagier zelf aan de luchtvaartmaatschappij
aangeleverde gegevens komen in TRIP. De juistheid en volledigheid van die gegevens
hangt daarmee af van de aanlevering door de passagier of degene die boekt». Het is
daarom van belang dat de Pi-NL waar mogelijk, zoals de PNR-wet ook aangeeft, naast
PNR de aanwezige API-gegevens verzamelt. Deze laatste zijn in de meeste gevallen gevalideerd
(bijvoorbeeld met behulp van een scan van het paspoort) en kennen daardoor een hoge
mate van betrouwbaarheid.

Toestemming Officier van Justitie (OvJ) bij spoedvordering

De FG vermeldt dat wanneer een mondelinge vordering in geval van spoed plaatsvindt,
achteraf sporadisch blijkt dat de OvJ toch geen toestemming had gegeven. Deze situatie
is in 2020 eenmaal voorgekomen. Hiervan is melding gemaakt bij de privacy coördinator
en de verstrekte gegevens zijn door de ontvangende bevoegde instantie verwijderd uit
het onderzoeksdossier. Zowel Pi-NL als de bevoegde instanties blijven er ook in de
toekomst scherp op toezien dat de vastgestelde procedures in alle gevallen worden
gevolgd.

Bewustzijn

De FG heeft een belangrijke controlerende en agenderende rol voor de Pi-NL.

In 2020 is naast de FG een privacy officer aangesteld bij de Pi-NL, alsook een juridisch adviseur, die beiden een belangrijke
bijdrage leveren aan het uitvoering geven aan de gegevensbescherming.

Constateringen van de FG worden in samenwerking opgepakt om tot verbeterde processen
te komen. Dit heeft onverminderd de aandacht.

Ik wil de FG danken voor haar niet aflatende inzet dit bewustzijn van en kennis over
het beschermen van persoonsgegevens binnen de Pi-NL op een hoger niveau te brengen.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus