Brief regering : Jaarrapportage 2024 van de functionaris gegevensbescherming van de Passagiersinformatie-eenheid Nederland
34 861 Regels ter implementatie van richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PbEU 2016, L 119) (Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven)
32 761 Verwerking en bescherming persoonsgegevens
Nr. 42 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 12 maart 2025
Terroristische en criminele netwerken maken gebruik van internationale reisroutes
binnen en buiten het Schengengebied om hun activiteiten uit te voeren. De dreiging
van ernstige criminaliteit, zoals mensenhandel en drugssmokkel, blijft hiermee onverminderd
aanwezig. De terroristische dreiging wordt onderstreept door het huidige dreigingsniveau
in Nederland, dat op niveau 4 staat.1 Dit betekent dat er sprake is van een substantiële terroristische dreiging en dat
de kans op een aanslag aanzienlijk is. Om deze dreiging effectief het hoofd te bieden
en de veiligheid van onze samenleving te waarborgen, is het noodzakelijk om over de
juiste wettelijke en beleidsmatige instrumenten te beschikken.
Een belangrijk instrument is het gebruik van Passenger Name Record-gegevens (PNR-gegevens).
Deze gegevens spelen een essentiële rol bij het voorkomen, opsporen, onderzoeken en
vervolgen van terroristische misdrijven en andere vormen van ernstige criminaliteit,
zonder de reismogelijkheden van gewone passagiers te beperken. De Passagiersinformatie-eenheid
Nederland (hierna: Pi-NL) draagt hieraan bij door PNR-gegevens van luchtvaartpassagiers
te analyseren en zo mogelijke betrokkenheid bij ernstige criminaliteit of terrorisme
te detecteren.
Recent heb ik uw Kamer geïnformeerd dat in het licht van het huidige dreigingsbeeld
en de voorstelbare dreiging rond de door Nederland georganiseerde NAVO-top op 24 en
25 juni 2025, de Pi-NL tot de zomer van 2025 de passagiersgegevens van alle intra-EU
vluchten van en naar Nederlandse luchthavens verzamelt en verwerkt om te voorkomen
dat (potentiële) terroristen en criminelen zich ongezien verplaatsen.2 Daarna wordt geëvalueerd of er nog steeds sprake is van een reële en actuele of voorzienbare
dreiging. Bij de verwerking van PNR-gegevens blijft de bescherming van persoonsgegevens
een prioritair aandachtspunt. Er wordt gestreefd naar een zo hoog mogelijk beschermingsniveau
ten aanzien van de privacy van reizigers, waarbij tegelijkertijd de veiligheid van
onze samenleving wordt gegarandeerd.
Hierbij bied ik u, mede namens de Minister van Defensie, de jaarrapportage van de
functionaris gegevensbescherming van de Pi-NL over 2024 aan.3 De rapportage onderstreept dat binnen de Pi-NL acties worden genomen die verband
houden met de bescherming van persoonsgegevens. Tegelijk doet de functionaris gegevensbescherming
ook nog aanbevelingen ter verbetering van de werkwijze. Ik dank de functionaris gegevensbescherming
voor haar uitgebreide rapportage en neem de aanbevelingen over. Graag licht ik de
conclusie en het belangrijkste aandachtspunt van de functionaris gegevensbescherming
toe.
Het gebruik van PNR-gegevens vereist waarborgen op het gebied van gegevensbescherming.
Deze waarborgen geven invulling aan de universele privacy-beginselen die ten grondslag
liggen aan de PNR-wet, zoals doelmatigheid, rechtmatigheid en transparantie. Ik onderschrijf
de conclusie van de functionaris gegevensbescherming dat men zich binnen de Pi-NL
bewust is van het belang van gegevensbescherming en zorgvuldig omgaat met de persoonsgegevens
en de verwerking daarvan. In de rapportage constateert de functionaris gegevensbescherming
dat de gecontroleerde wettelijke waarborgen voor de bescherming van persoonsgegevens
aanwezig zijn en voldoende functioneren. Daarnaast toont de rapportage dat aanbevelingen
uit de jaarrapportage 2023 zijn opgevolgd. In de jaarrapportages 2022 en 2023 is als
aandachtspunt benoemd dat de verwerkers moeten aantonen dat de technische en organisatorische
maatregelen in de verwerkersovereenkomsten zijn geïmplementeerd en worden nageleefd.4 De functionaris gegevensbescherming constateert dat in 2024 de verwerkers hierover
verklaringen hebben afgegeven.
In de jaarrapportage van 2023 is geadviseerd dat de Pi-NL moet toewerken naar een
meer gedocumenteerde en planmatige privacy-aanpak van de bescherming van passagiersgegevens.
In 2024 heeft de Pi-NL, naar aanleiding van de privacy-audit door de Auditdienst Rijk5, een verbeterplan opgesteld waarin de verbetermaatregelen worden beschreven die reeds
zijn getroffen en nog worden genomen. Voor 2025 blijft één van de belangrijkste aandachtspunten
om te werken aan een meer gedocumenteerde en planmatige aanpak van de bescherming
van passagiersgegevens. Het advies van de functionaris gegevensbescherming is om de
verbetermaatregelen uit het verbeterplan en de resterende actiepunten van de actielijst
te prioriteren, planmatig uit te voeren en actief te monitoren. De functionaris gegevensbescherming
adviseert hierbij een meer gedocumenteerde aanpak om de verantwoordingsplicht beter
te borgen. De Pi-NL zal, waar het nog niet in gang is gezet, het advies van de functionaris
gegevensbescherming om te werken aan een meer geïntegreerde en gedocumenteerde privacy-aanpak
verder opvolgen.
Tot slot sta ik stil bij het advies van de functionaris gegevensbescherming ten aanzien
van de implementatie van het arrest van het Hof van Justitie van de Europese Unie
op 21 juni 2022 (hierna: het Hof).6 In de afgelopen jaren heb ik u op verschillende momenten geïnformeerd over de wijzigingen
in de verwerking van PNR-gegevens.7 Deze wijzigingen zijn noodzakelijk om de verwerking in lijn te brengen met het arrest
van het Hof. Naar aanleiding van het arrest heb ik in 2023 onder andere de algemene
bewaartermijn van PNR-gegevens aangepast van vijf naar drie jaar.8 De functionaris gegevensbescherming stelt dat een algemene bewaartermijn van drie
jaar, in het belang van de veiligheid van de burgers is, en in verhouding staat tot
de inbreuk op de privacy van de personen van wie de passagiersgegevens worden verwerkt.
Hiervoor is een algemene bewaartermijn van drie jaar noodzakelijk en evenredig aan
de doelstellingen van de PNR-wet. De functionaris gegevensbescherming adviseert de
algemene bewaartermijn niet in te korten en derhalve drie jaar aan te houden, hetgeen
in lijn is met het arrest van het Hof. Ik deel de zienswijze van de functionaris gegevensbescherming
en ben van mening dat deze maatregel een evenwichtig en proportioneel middel is in
de bestrijding van terrorisme en ernstige criminaliteit, met de noodzakelijke bescherming
van persoonsgegevens. Ik volg de ontwikkelingen ten aanzien van de Europese implementatie
van dit arrest en ik blijf mij inzetten voor een sterke informatiepositie van lidstaten
in de bestrijding van terrorisme en ernstige criminaliteit.
In het komende jaar zal ik mij onverminderd blijven inspannen voor de bestrijding
van ernstige criminaliteit en terrorisme. Het uitgangspunt hierbij blijft het waarborgen
van de veiligheid van onze samenleving. Mijn inzet blijft erop gericht een zo hoog
mogelijk niveau van bescherming van persoonsgegevens te realiseren bij Pi-NL, alsmede
het recht op de eerbiediging van de persoonlijke levenssfeer, het recht op bescherming
van persoonsgegevens en het recht op non-discriminatie te waarborgen.
De Minister van Justitie en Veiligheid, D.M. van Weel
Ondertekenaars
-
Eerste ondertekenaar
D.M. van Weel, minister van Justitie en Veiligheid