Brief regering : Jaarrapportage van de Functionaris Gegevensbescherming van de Passagiersinformatie-eenheid

Nr. 33
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 juni 2022

De aanzienlijke dreiging die uitgaat van terrorisme en zware criminaliteit, zoals
mensenhandel en drugssmokkel stopt niet bij onze landsgrenzen, maar heeft steeds vaker
een internationaal karakter. Grensoverschrijdende netwerken maken misbruik van de
mogelijkheden van internationaal reizen en het vrij verkeer van personen binnen het
Schengengebied om hun criminele en terroristische activiteiten voort te zetten.

Om gezamenlijk met onze Europese en internationale partners een vuist te maken tegen
deze misdrijven en te voorkomen dat daders zich ongezien verplaatsen, is passend instrumentarium
nodig. Het gebruik van Passenger Name Record (PNR) gegevens is één van die instrumenten,
waarmee zonder de reismogelijkheden van gewone passagiers te beperken, bijgedragen
kan worden aan verschillende stadia van onderzoek, opsporing en vervolging van zware
criminaliteit en terrorisme. Door de PNR-richtlijn1 en -wet2 kan deze data door luchtvaartmaatschappijen en bevoegde instanties op één plek aangeleverd
en gevorderd worden.

Hierbij is het van groot belang dat het recht op de eerbiediging van de persoonlijke
levenssfeer, het recht op bescherming van persoonsgegevens en het recht op non-discriminatie
worden gerespecteerd. De PNR-data dient daarom zorgvuldig te worden verzameld, verwerkt
en bewaard. Het gegevensbeschermingsregime dat integraal onderdeel uitmaakt van de
PNR-richtlijn en -wet, kan dan ook niet los van deze regelgeving worden gezien.

De passagiersinformatie-eenheid (Pi-NL), die sinds juni 2019 operationeel is, heeft
daarom een belangrijke taak: zorgen dat bevoegde instanties de informatie krijgen
die essentieel is voor het voorkomen, onderzoeken, opsporen en vervolgen van zware
criminaliteit en terrorisme, op een wijze die recht doet aan de fundamentele rechten
van passagiers.

Inmiddels verwerkt de Pi-NL de PNR-gegevens van 77 luchtvaartmaatschappijen. Om deze
operatie zorgvuldig uit te voeren werkt Pi-NL met complexe processen voor de verwerking
als ook de bescherming van deze data. Vanaf de oprichting van de Pi-NL en het inwerkingtreden
van de wet op 18 juni 2019, is dan ook veel aandacht besteed aan het inrichten van
privacywaarborgen en het beschermen van persoonsgegevens.

Enkele voorbeelden van maatregelen die zijn geïmplementeerd:

• het toepassen van een menselijke toets en doelbindingscheck voordat gegevens worden
verstrekt aan bevoegde instanties

• het automatisch maskeren van datavelden waaraan een passagier geïdentificeerd kan
worden na 6 maanden. Deze gegevens kunnen alleen met toestemming van een officier
van justitie weer zichtbaar gemaakt worden en na kennisgeving aan de Functionaris
Gegevensbescherming (FG), die deze verwerking achteraf controleert.

• het gebruik van geautomatiseerde filters, zodat data die door de Pi-NL niet mag worden
verwerkt (zoals bijzondere persoonsgegevens) niet in de dataset terecht komt.

• het loggen van verwerkingen en verstrekkingen, en het toepassen van een vier-ogen-principe

• het aanstellen van een privacy adviseur bij de Pi-NL naast de dedicated, onafhankelijk
gepositioneerde, FG

• het uitvoeren van onafhankelijke jaarlijkse audits. Doel hiervan is op systematische
wijze te toetsen of aan specifieke bepalingen van de PNR-wet op adequate wijze uitvoering
is gegeven.

In verschillende reguliere overleggen tussen de FG, Pi-NL en NCTV als gemandateerd
verwerkingsverantwoordelijke, wordt stilgestaan bij het functioneren van deze en andere
privacywaarborgen, zodat deze waar nodig kunnen worden bijgesteld. Dit is in 2021
bijvoorbeeld gebeurd t.a.v. de hierboven genoemde geautomatiseerde filters.

De jaarrapportage die de FG opstelt conform artikel 18 van de PNR-wet, vormt naast
deze reguliere afstemming een momentopname die gebruikt wordt om het geheel aan privacywaarborgen
te overzien en prioriteiten aan te scherpen voor de komende periode. De hierin opgenomen
aanbevelingen worden met de FG besproken en in goede samenwerking opgepakt. In de
bijgaande rapportage over 2021 concludeert de FG dat de wettelijke waarborgen voor
het beschermen van persoonsgegevens die zijn gecontroleerd, aanwezig zijn en voldoende
functioneren, en dat er in ruime mate sprake is van acties en compliancebereidheid
om passagiersgegevens te beschermen. Een voorbeeld van een dergelijke actie betreft
het vrijmaken van extra middelen voor het doorvoeren van wijzigingen in het Travel
Information Portal3, naar aanleiding van de huidige rapportage. Deze wijzigingen zijn er o.a. op gericht
de functionaliteiten die de FG gebruikt voor haar toezichthoudende rol te verbeteren.

Ook de WODC-evaluatie van de PNR-wet is ingegaan op het functioneren van de privacywaarborgen
bij Pi-NL. Het WODC heeft hierbij gebruik gemaakt van de expertise van de FG. De FG
geeft in haar rapportage verdere invulling aan de conclusies van deze evaluatie. In
samenspraak met de FG wordt bezien op welke wijze technisch dan wel organisatorisch
invulling kan worden gegeven aan de bevindingen. Voor de opvolging ten aanzien van
de WODC-conclusies verwijs ik verder graag naar de beleidsreactie op het WODC-rapport4.

Ook in het komende jaar blijft mijn inzet erop gericht een zo hoog mogelijk niveau
van bescherming van persoonsgegevens te realiseren bij Pi-NL, als noodzakelijke randvoorwaarde
van het essentiële werk dat zij doen om zware criminaliteit en terrorisme te bestrijden.

Mede namens de Minister van Defensie,

De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius