Brief regering : Toezegging gedaan tijdens het commissiedebat Terrorisme/extremisme van 24 november 2022, over over de privacy audits bij de Passagiersinformatie-eenheid Nederland (Pi-NL)
34 861 Regels ter implementatie van richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PbEU 2016, L 119) (Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven)
Nr. 34
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 14 december 2022
Tijdens het commissiedebat terrorisme/extremisme van 24 november 2022 heb ik op verzoek
van het Kamerlid Azarkan toegezegd de Kamer nader te informeren over de privacy audits
bij de Passagiersinformatie-eenheid Nederland (Pi-NL). In deze brief ga ik in op de
verschillende audits die de afgelopen jaren zijn uitgevoerd en geef ik opvolging aan
de motie van het lid Azarkan over het – conform wettelijke verplichting – zo snel
mogelijk uitvoeren van privacy audits.1
Luchtvaartmaatschappijen zijn sinds juni 2019 verplicht om Passenger Name Record-gegevens
(PNR) van alle vluchten die in Nederland aankomen of uit Nederland vertrekken door
te geven aan Pi-NL. Het gaat daarbij om reserverings- en check-in-gegevens van alle
passagiers die een vlucht boeken. Deze gegevens kunnen essentiële informatie bevatten
voor het bestrijden van terrorisme en ernstige criminaliteit. Pi-NL beoordeelt daarom
met behulp van deze gegevens luchtvaartpassagiers op mogelijke betrokkenheid bij een
terroristisch misdrijf of andere vormen van ernstige criminaliteit. Pi-NL is bij de
uitvoering van deze taak gebonden aan privacywetgeving (de privacy waarborgen die
zijn opgenomen in de Wet gebruik van passagiersgegevens voor de bestrijding van terroristische
en ernstige misdrijven (PNR-wet)). Er mogen bijvoorbeeld geen bijzondere persoonsgegevens,
zoals godsdienst en etnische afkomst, worden verwerkt en er gelden beperkte bewaartermijnen
voor deze gegevens. De privacy waarborgen die Pi-NL hanteert, worden jaarlijks gecontroleerd
door middel van interne audits. Daarnaast wordt periodiek (iedere 3 jaar) en bij grote
wijzigingen de bescherming van gegevens getest door de technisch beheerder, de Justitiële
informatiedienst. Vanuit deze audits en tests, en in samenwerking met de Functionaris
Gegevensbescherming, worden verbeterpunten opgepakt en geadresseerd om de privacyregels
te waarborgen.
Privacy audits
In de periode november 2019 tot januari 2020 heeft de Audit Dienst Rijk een audit
uitgevoerd op het Travel Information Portal (TRIP) systeem, dat door Pi-NL wordt gebruikt
voor het verwerken van PNR-gegevens. Deze audit zag toe op de beveiligingsmaatregelen
die specifiek voor Pi-NL zijn getroffen op het centrale gedeelte van dit systeem.
Hierbij zijn de waarborgen uit de PNR-wet meegenomen. Voorbeelden van deze maatregelen
zijn het depersonaliseren door afscherming van persoonsgegevens na zes maanden en
het zorgvuldig toekennen en onderhouden van autorisaties.
Ook in 2021 heeft een privacy audit plaatsgevonden, specifiek gericht op de verwerkingsprocessen
bij Pi-NL die buiten het Travel Information Portal (TRIP) systeem plaatsvinden. Voorbeelden
hiervan zijn de processen van spoedvorderingen en burgerverzoeken. Voor de audit met
betrekking tot 2022 zijn inmiddels de voorbereidingen gestart.
Naast deze jaarlijkse audits, bestaat de verplichting eens in de vier jaar een privacy
audit te laten uitvoeren die het gehele verwerkingsproces van Pi-NL beslaat. Deze
zal voor de eerste keer in 2023/2024 plaatsvinden, aangezien Pi-NL sinds juni 2019
operationeel is.
De audits vinden plaats aanvullend op het doorlopend toezicht dat wordt gehouden op
de gegevensverwerking bij Pi-NL door de specifiek daartoe benoemde Functionaris Gegevensbescherming.
De uitkomsten van de audits en van rapportages van de Functionaris Gegevensbescherming
worden ingezet om de processen van Pi-NL doorlopend te verbeteren. Zo zijn verbeterpunten
rondom het account- en autorisatiemanagement opgepakt en actief gemonitord. Een ander
voorbeeld betreft het vrijmaken van extra middelen voor het doorvoeren van wijzigingen
in het Travel Information Portal (TRIP) systeem. Deze wijzigingen zijn er onder andere
op gericht de functionaliteiten die de Functionaris Gegevensbescherming gebruikt voor
haar toezichthoudende rol, te verbeteren. De jaarlijkse rapportage van de Functionaris
Gegevensbescherming wordt ieder jaar vóór 1 juli2 gedeeld met beiden Kamers en de Autoriteit Persoonsgegevens.
De Minister van Justitie en Veiligheid,
D. Yeşilgöz-Zegerius
Ondertekenaars
-
Eerste ondertekenaar
D. Yesilgöz-Zegerius, minister van Justitie en Veiligheid