Memorie van toelichting - Goedkeuring van de op 26 juli 2007 te Washington tot stand gekomen Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika (PNR-Overeenkomst 2007), met briefwisseling en verklaring (Trb. 2007, 129) - Hoofdinhoud
Deze memorie van toelichting i is onder nr. 3 toegevoegd aan wetsvoorstel 31735 - Goedkeuring PNR-Overeenkomst 2007.
Inhoudsopgave
Officiële titel | Goedkeuring van de op 26 juli 2007 te Washington tot stand gekomen Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika (PNR-Overeenkomst 2007), met briefwisseling en verklaring (Trb. 2007, 129); Memorie van toelichting |
---|---|
Documentdatum | 10-10-2008 |
Publicatiedatum | 18-10-2008 |
Nummer | KST123160 |
Kenmerk | 31735, nr. 3 |
Van | Justitie (JUS) Buitenlandse Zaken (BUZA) |
Originele document in PDF |
Tweede Kamer der Staten-Generaal
Vergaderjaar 2008–2009
31 735
Goedkeuring van de op 26 juli 2007 te Washington tot stand gekomen Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika (PNR-Overeenkomst 2007), met briefwisseling en verklaring (Trb. 2007, 129)
Nr. 3
MEMORIE VAN TOELICHTING
-
1.Doel van het wetsvoorstel
Dit wetsvoorstel strekt tot goedkeuring van de op 26 juli 2007 te Washington tot stand gekomen Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika (PNR-Overeenkomst 2007) met briefwisseling en verklaring (Trb. 2007, 129 en Trb 2008, 75).
-
2.Doel van de PNR-Overeenkomst 2007
Van elke passagier die een vlucht boekt worden in de boekingssystemen van de luchtvaartmaatschappij standaard een aantal vaste en variabele gegevens verwerkt. Die gegevens betreffen uiteraard altijd naam, voornaam en geslacht van de passagier, vluchtgegevens (routes en vluchtnummers, data en tijdstippen van vertrek en aankomst), hoe de reservering is gemaakt (rechtstreeks of via een intermediair), wanneer de reservering is gemaakt en eventueel tussentijds is aangepast. Daarnaast worden, afhankelijk van opgave door de passagier, ook gegevens verwerkt als de wijze van betaling, gewenst stoelnummer, bijzondere maaltijdwensen of eventuele andere wensen. Ook wordt achteraf bijgehouden of de passagier daadwerkelijk met het gereserveerde vliegtuig is vertrokken. Daarnaast worden zogeheten API (Advanced Passenger Information) data verzameld, die ontleend zijn aan het paspoort van de passagier. Deze gegevens worden in deze memorie aangeduid als passagiers-gegevens.
De autoriteiten van de Verenigde Staten hebben uit de gebeurtenissen die aan 11 september 2001 voorafgingen afgeleid dat er onvoldoende informatie beschikbaar was over identiteit en achtergrond van de reizigers die het land binnenkwamen. In de visie van de Verenigde Staten zijn passagiersgegevens een essentiële aanvulling op de gegevens die de immigratieautoriteiten en de douane vragen over het voorgenomen
verblijf, de reisdocumenten en de bagage van een passagier die de Verenigde Staten binnenkomt. Indien de passagiersgegevens beschikbaar zijn, kunnen deze elektronisch worden opgeslagen en geanalyseerd. Daarmee is men beter in staat te zijn om na te gaan wie het land binnenkomt en wie wellicht de toegang tot het land moet worden ontzegd. Passagiersgegevens stellen de rechtshandhavingsautoriteiten in staat zich een beeld te vormen van het verplaatsingspatroon van individuen waarvoor zij een gerichte belangstelling hebben of tegen wie een gerichte verdenking bestaat. Ook de Nederlandse regering is er van overtuigd dat vergaring en analyse van passagiersgegevens een belangrijke bijdrage kan leveren aan de strijd tegen het terrorisme en andere criminaliteit. Passagiersgegevens worden verwerkt door luchtvaartmaatschappijen. Deze ondernemingen waren niet verplicht passagiersgegevens zonder meer over te dragen aan de Amerikaanse overheid. Om de luchtvaartmaatschappijen een dergelijke verplichting op te leggen is in november 2001 de Aviation Transportation Security Actvastgesteld. Op grond van die wet zijn alle luchtvaartmaatschappijen die vluchten uitvoeren naar, van, of over het grondgebied van de Verenigde Staten, zonder onderscheid naar plaats van vestiging van de maatschappij, verplicht passagiersgegevens van alle passagiers die het grondgebied van de Verenigde Staten binnenkomen of verlaten over te dragen aan het Bureau of Customs and Border Protectionvan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten. Het niet voldoen aan deze verplichting levert voor de luchtvaartmaatschappij het risico op van hoge boetes. Buitenlandse luchtvaartmaatschappijen riskeren bovendien het verlies van landingsrechten in de Verenigde Staten.
Voor de in de Europese Unie gevestigde luchtvaartmaatschappijen gold echter – tot het moment van een hieronder, in paragraaf 4.2 te bespreken uitspraak van het Hof van Justitie van de Europese Gemeenschappen – dat de overdracht van passagiersgegevens wel in overeenstemming moet zijn met richtlijn nr. 95/46/EG i van het Europees Parlement en de Raad van de Europese Unie van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281) (hierna: de richtlijn). Immers, op grond van de richtlijn mogen persoonsgegevens alleen aan een derde land worden doorgegeven indien dat land een passend niveau van bescherming waarborgt voor die gegevens. Ten aanzien van de Verenigde Staten heeft de Europese Commissie in het verleden geoordeeld dat dit land een dergelijk niveau in algemene zin niet zonder meer waarborgt. Hieruit volgt dat het Europees recht zich in beginsel verzet tegen de overdracht van passagiersgegevens aan de Amerikaanse autoriteiten.
Deze situatie levert twee problemen op. Ten eerste worden de in de Europese Unie gevestigde luchtvaartmaatschappijen daardoor blootgesteld aan conflicterende wettelijke maatregelen. Ten tweede staat niet vast dat er bij eventuele overdracht van passagiersgegevens een passend beschermingsniveau voor de gegevens verzekerd is.
Gegeven de Europeesrechtelijke achtergrond van deze problemen, kan de oplossing daarvan alleen op het niveau van de Europese Unie worden gevonden. De Unie heeft terzake een reeks van overeenkomsten met de regering van de Verenigde Staten gesloten. Een definitieve overeenkomst ligt thans ter goedkeuring voor.
-
3.Europese en Nederlandse maatregelen in het kader van terrorismebestrijding
3.1 Wettelijke maatregelen
Terrorismebestrijding is een van de belangrijkste thema’s in het internationale en nationale veiligheidsbeleid. De achtergronden van de aanslagen
die vanaf 11 september 2001 in de Verenigde Staten, Europa en elders zijn gepleegd, hebben duidelijk gemaakt dat de bestrijding van terrorisme niet uitsluitend op nationaal niveau kan plaatsvinden. Internationale samenwerking is daarvoor vereist. Ook op het niveau van de Europese Unie wordt dit duidelijk onderkend. Met het kaderbesluit nr. 2002/475 i/JBZ van de Raad van de Europese Unie van 13 juni 2002 inzake terrorismebestrijding (PbEU L 164) is op wetgevend niveau terzake een fundamenteel besluit genomen. Het door de Raad van de Europese Unie vastgestelde Haags Programma – versterking van vrijheid, veiligheid en recht in de Europese Unie (PbEU 2005 C 53) onderstreept nogmaals het belang van internationale samenwerking, zowel tussen de lidstaten van de Unie als van de Unie met derde landen.
Ook het Nederlandse kabinet heeft sinds 11 september 2001 intensief gewerkt aan verbetering van de terrorismebestrijding in Nederland. Nederland heeft in korte tijd op een groot aantal terreinen systematisch maatregelen getroffen om in te spelen op de nieuwe situatie. Op wetgevend terrein zij gewezen op de Wet terroristische misdrijven en de wet van 20 november 2006 tot wijziging van het Wetboek van Strafvordering, het Wetboek van Strafrecht en enige andere wetten tot verruiming van de mogelijkheden tot opsporing en vervolging van terroristische misdrijven (Stb. 580). Deze maatregelen beogen het vermogen van de overheid te versterken om een antwoord te bieden op de dreiging van deze tijd. Ook wordt de internationale samenwerking en onderlinge afstemming tussen de diensten van verschillende landen steeds verder ontwikkeld en geïntensiveerd. Tijdens het Nederlands voorzitterschap zijn de lijnen voor samenwerking tussen justitie en politie in de landen van de Europese Unie in de komende jaren vastgesteld. De uitvoering van het EU-Actieplan voor de strijd tegen terrorisme van 18 juni 2004 vindt systematisch voortgang.
Maar ook de praktische samenwerking is verder geïntensiveerd. Daar is overigens ook alle aanleiding voor. De dreiging is onveranderd ernstig. Het voorkomen van terrorisme vergt daarnaast niet alleen het observeren, opsporen en oppakken van degenen die terroristische aanslagen voorbereiden en het bewaken van personen, gebouwen en knooppunten, maar niet minder dat radicalisering en de groei van radicale groepen wordt tegengegaan, door de rekrutering te stoppen, de voedingsbodem te beperken en de weerbaarheid van bevolkingsgroepen daartegen te verhogen. Een goede informatiepositie op centraal en decentraal niveau, zowel nationaal als internationaal, is daarvoor essentieel. Voor de bestrijding van georganiseerde ernstige criminaliteit van grensoverschrijdende aard is het belang van een goede informatiepositie niet minder. De ervaringen in de VS hebben geleerd dat de vergaring en analyse van passagiersgegevens deze informatiepositie aanzienlijk kan versterken.
3.2 De Europese context van de doorgifte van passagiersgegevens
Vergaring en analyse van passagiersgegevens is niet een activiteit van uitsluitend de Verenigde Staten. Andere derde landen, zoals Canada, Australië en Zuid-Korea hebben ook het verlangen geuit passagiers-gegevens te ontvangen. Naar verwachting zal het niet bij deze landen blijven.
Tegelijk is duidelijk dat de hieruit voortvloeiende gegevensoverdracht wel moet plaatsvinden met inachtneming van het recht op privacy en de overige grondrechten van burgers en dat ook met de positie van de luchtvaartmaatschappijen rekening wordt gehouden. De hieruit voortvloeiende belangenafweging kan eigenlijk alleen in een Europese context plaatsvinden. De Europese Commissie heeft dan ook, mede naar aanleiding van verzoeken van het Europees Parlement, op 16 december 2003 in de vorm van een mededeling van de Commissie aan de Raad en het Parlement
«Doorgifte van passagiersgegevens (PNR-gegevens): een allesomvattende EU-aanpak» (COM (2003) 826 def i.) het voorgenomen beleid vastgesteld. Bij de doorgifte van passagiersgegevens behoort volgens de Commissie met de volgende belangen rekening te worden gehouden:
-
•de bestrijding van het terrorisme en de internationale misdaad
-
•het recht op privacy en de bescherming van de fundamentele rechten van de burger
-
•de noodzaak voor luchtvaartmaatschappijen om tegen aanvaardbare kosten aan de wettelijke eisen te kunnen voldoen
-
•de ruimere relatie tussen de EU en de VS
-
•de veiligheid en het comfort voor de passagiers
-
•de problemen in verband met de beveiliging van de grenzen
-
•de echte internationale, wereldwijde omvang van deze problemen De meervoudige aanpak die de Europese Commissie voor ogen heeft omvat de volgende hoofdelementen:
-
•een wettelijk kader voor de doorgifte van passagiersgegevens naar de VS, en wel in de vorm van een beschikking van de Commissie op grond van artikel 25, zesde lid, van de richtlijn in combinatie met een lichte bilaterale of internationale overeenkomst tussen de EU en de VS
-
•volledige en juiste informatie van passagiers; passagiers zouden tevoren op de hoogte moeten worden gesteld van hetgeen er gaat gebeuren met de op hen betrekking hebbende gegevens, tegelijk zouden zij in staat moeten worden gesteld hun toestemming te verlenen voor de doorgifte daarvan
-
•gebruik van de «push» methode in plaats van de «pull» methode bij de doorgifte van gegevens; het verdient de voorkeur om bij doorgifte de Amerikaanse autoriteiten geen directe toegang tot de gegevens te verlenen, maar de sector zou de gegevens bij voorkeur zelf, met passende filters, moeten aanleveren
-
•ontwikkeling van een EU-standpunt over het gebruik van passagiersgegevens
-
•de ontwikkeling van een multilateraal kader voor de doorgifte van passagiersgegevens in ICAO-verband.
In de reeks van overeenkomsten die de afgelopen jaren zijn gesloten zijn de drie eerste elementen uitgewerkt.
Volledigheidshalve zij hier nog vermeld dat de Europese Commissie inmiddels een voorstel voor een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden heeft vastgesteld (COM (2007) 654 def i.). Dat voorstel staat formeel gezien losvan de onderhavige PNR-Overeenkomst 2007. Voor het kaderbesluit zal te zijner tijd een afzonderlijk implementatietraject noodzakelijk zijn. Op de betekenisvan dit voorstel wordt in paragraaf 6.7 teruggekomen.
-
4.Grondslagen en totstandkomingsgeschiedenis van de PNR-Overeenkomst 2007 en de goedkeuringswet
4.1 De overeenkomst van 2004
De Europese Commissie heeft zich aanvankelijk op het standpunt gesteld dat de doorgifte van passagiersgegevens door luchtvaartmaatschappijen aan de Amerikaanse overheid geheel werd beheerst door artikel 25 van de richtlijn. In die bepaling is de doorgifte van persoonsgegevens naar derde landen geregeld. Ingevolge het eerste lid van dit artikel is de doorgifte van persoonsgegevens naar een derde land slechts mogelijk wanneer dat derde land een passend niveau van bescherming van die gegevens waarborgt. Wanneer de Europese Commissie constateert dat het desbetreffende derde land die waarborgen niet biedt, moeten de lidstaten ingevolge het vierde lid de nodige maatregelen nemen om de doorgifte van persoonsgegevens naar het desbetreffende land te voorkomen. Artikel 25,
vijfde lid, van de richtlijn biedt evenwel de Commissie de mogelijkheid met het derde land onderhandelingen te openen om de situatie die voortvloeit uit de hiervoor bedoelde constatering op te lossen. Artikel 25, zesde lid, van de richtlijn biedt de Commissie vervolgens de mogelijkheid om te constateren of als gevolg van de onderhandelingen het derde land hetzij «internationale verbintenissen» heeft aangegaan, hetzij nationale wetgeving heeft vastgesteld, met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen. Dit laatste artikellid bood dus de mogelijkheid om door middel van een beschikking van de Commissie, in combinatie met een verdrag (dat ingevolge artikel 300 EG-Verdrag door de Raad van de Europese Unie namens de Gemeenschap wordt gesloten), een regeling te treffen inzake de rechtmatigheid van de overdracht van passagiersgegevens naar de VS. Op die basis heeft de Commissie onderzocht of de wetgeving van de Verenigde Staten een passend niveau van bescherming van persoonsgegevens kent. Bij het onderzoek ingevolge artikel 25, tweede lid, van de richtlijn is met name gekeken naar de aard van de gegevens, het doeleinde en de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectorale rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.
Dit heeft geleid tot beschikking nr. 2004/535/EG i van de Commissie van de Europese Gemeenschappen van 14 mei 2004 betreffende de passende bescherming van persoonsgegevens in het Passenger Name Record van vliegtuigpassagiers die aan het Bureau of Customs and Border Protection van de Verenigde Staten worden doorgegeven (PbEU L 235). In deze beschikking heeft de Commissie vastgelegd dat het Bureau of Customs andBorder Protectionvan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten een betrouwbare instantie is die correct met gegevens omgaat (de zogenoemde adequacy decision). Voor de verwerking door het Bureau of Customs and Border Protection van de doorgegeven persoonsgegevens uit het PassengerNameRecord van vliegtuigpassagiers golden de voorwaarden die waren vastgesteld in de verbintenissen van het Bureau of Customs and Border Protectionvan 11 mei 2004, (de zogenoemde legal undertakings, die als bijlage bij de beschikking zijn gevoegd) en in de interne wetgeving van de Verenigde Staten waarnaar in die verbintenissen werd verwezen. Wat de interne wetgeving van de Verenigde Staten betreft, zijn in de Freedom of Information Actde voorwaarden vastgesteld waaronder het Bureau of Customs and Border Protectionverzoeken om openbaarmaking kan weigeren en aldus het vertrouwelijke karakter van persoonsgegevens in het Passenger Name Recordvan vliegtuigpassagiers kan garanderen. Deze wet regelt de openbaarmaking van persoonsgegevens in het Passenger Name Recordaan de belanghebbende, wat nauw aansluit bij het recht van toegang van de betrokkene. De Freedom of Information Act is zonder onderscheid van toepassing op onderdanen en niet-onderdanen van de Verenigde Staten.
Eerdergenoemde verbintenissen van het Bureau of Customs and Border Protection(delegal undertakings) zijn, overeenkomstig punt 44 daarvan, in de Verenigde Staten in wetten, verordeningen, richtsnoeren of andere wetsteksten opgenomen en zijn tevens in het Amerikaanse Federal Registergepubliceerd.
De verbintenissen van het Bureau of Customs and Border Protection getuigden van een serieus en weloverwogen politiek engagement van het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten. Niet-naleving ervan kon eventueel worden gewraakt met wettelijke, bestuursrechtelijke en politieke middelen. Bij voortdurende niet-naleving kon de werking van de beschikking nr. 2004/535/EG i worden opgeschort. De normen die het Bureau of Customs and Border Protectionhanteerde
bij het verwerken van persoonsgegevens in het Passenger Name Record van vliegtuigpassagiers, op basis van voornoemde Amerikaanse wetgeving en de verbintenissen van het Bureau of Customs and Border Protection, voldeden aan de vereiste grondbeginselen voor een passend beschermingsniveau.
Daarnaast is de Commissie onderhandelingen gestart met de Verenigde Staten om te komen tot een overeenkomst waarbij rekening wordt gehouden met de belangen van de passagiers, de Europese luchtvaartmaatschappijen en de belangen die zowel de Verenigde Staten als de Europese Unie hebben bij het voorkomen en bestrijden van terrorisme. Deze onderhandelingen hebben geleid tot besluit nr. 2004/496/EG i van de Raad van de Europese Unie van 17 mei 2004 betreffende de sluiting van een Overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten van Amerika inzake de verwerking en overdracht van PNR-gegevens door op het grondgebied van de lidstaten van de Gemeenschap gevestigde luchtvaartmaatschappijen aan het Bureau of Customs andBorder Protectionvan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika (PbEU L 183, rectificatie PbEU 2005 L 255). Deze overeenkomst is op 28 mei 2004 te Washington ondertekend en is op die dag in werking getreden. Hierdoor werd voorzien in de benodigde wettelijke verplichting voor de luchtvaartmaatschappijen om de nodige persoonsgegevens te verstrekken aan het Department of Homeland Security(DHS) van de Verenigde Staten.
4.2 Uitspraak Hof van Justitie EG
De overeenkomst van 2004 was gebaseerd op artikel 95 van het Verdrag tot oprichting van de Europese Gemeenschap (EG-Verdrag), ervan uitgaande dat het hier een rechtsinstrument betrof dat ertoe bijdroeg de doelstellingen en de werking van de interne markt te verwezenlijken, en dus viel binnen de werkingssfeer van het Gemeenschapsrecht. In zijn arrest van 30 mei 2006, met betrekking tot de gevoegde zaken C-317/04 en C-318/04 betreffende de overdracht van Passenger Name Recordsaan de Verenigde Staten (PbEU C 178/02), heeft het Hof van Justitie van de Europese Gemeenschappen de bovengenoemde beschikking van de Europese Commissie van 14 mei 2004 en het eveneens hierboven genoemde besluit van de Raad van de Europese Unie van 17 mei 2004 nietig verklaard. Deze nietigverklaring baseerde het Hof op de omstandigheid dat het overdragen van persoonsgegevens ten behoeve van terrorismebestrijding geen gemeenschapsbevoegdheid is, maar een aangelegenheid die de lidstaten in het kader van hun samenwerking op politie- en justitieterrein moeten regelen. Het Hof stelde vast dat artikel 95 van het EG-Verdrag, gelezen in samenhang met artikel 25 van de richtlijn, geen grondslag kan vormen voor de bevoegdheid van de Gemeenschap om de betrokken overeenkomst met de Verenigde Staten te sluiten.
Om een juridische leemte bij de overdracht van passagiersgegevens aan de Verenigde Staten te voorkomen en ervoor te zorgen dat de rechten en vrijheden van passagiers beschermd bleven, ontstond de noodzaak een nieuwe overeenkomst inzake de verwerking en overdracht van persoonsgegevens van passagiers, thans gebaseerd op de artikelen 24 en 38 van het Verdrag betreffende de oprichting van de Europese Unie, tussen de Europese Unie en de Verenigde Staten te sluiten. De Europese Commissie heeft terzake een tweesporenbenadering gevolgd: voor de korte termijn een interimovereenkomst, en gelijktijdig onderhandelen over een meerjarige overeenkomst.
4.3 De interimovereenkomst van 2006
De Europese inzet tijdens de onderhandelingen over de interimovereenkomst was om een overeenkomst op de juiste rechtsbasis te
sluiten die inhoudelijk zou overeenkomen met de overeenkomst van 2004. De uitspraak van het Hof had tot gevolg dat er geen formele noodzaak voor een beschikking van de Commissie meer bestond. Een overeenkomst op grond van de artikelen 24 en 38 van het Verdrag betreffende de oprichting van de Europese Unie biedt een voldoende juridische basis. Dit verschafte de Commissie wat meer flexibiliteit in de onderhandelingen met de Verenigde Staten. Overigens heeft de Commissie er in de onderhandelingen in het bijzonder op gelet dat ook onder de interim-overeenkomst een adequaat niveau van gegevensbescherming zou worden gerealiseerd.
De Verenigde Staten streefden naar aanleiding van recente wetgeving gericht op de bestrijding van terrorisme, meer flexibiliteit na met betrekking tot een aantal onderwerpen in de oorspronkelijke overeenkomst en met name in de door de Verenigde Staten aangegane legal undertakings (PbEU 2004 L 235). Deze Amerikaanse wetgeving verplicht, kort gezegd, alle met terrorismebestrijding belaste overheidsinstellingen relevante informatie met elkaar te delen. Dit heeft zijn weerslag gevonden in de bepaling in de interimovereenkomst over welke overheidsinstellingen rechtstreekse toegang tot de overgedragen gegevens zouden moeten hebben.
In de nacht van 5 op 6 oktober 2006 bereikten het voorzitterschap en de Commissie, namens de Europese Unie, en de Verenigde Staten een akkoord over een interim-overeenkomst inzake de verwerking en overdracht van persoonsgegevens van passagiersgegevens door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika, met een beperkte looptijd tot 31 juli 2007. (Besluit nr. 2006/729 i/JBZ van de Raad van de Europese Unie van 16 oktober 2006 betreffende de ondertekening, namens de Europese Unie, van een Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Department of Homeland Security(ministerie van Binnenlandse Veiligheid) van de Verenigde Staten van Amerika, PbEU L 298.) De interimovereenkomst is op 19 oktober 2006 te Washington tot stand gekomen (Trb. 2006, 221) en werd vanaf die datum voorlopig toegepast (Kamerstukken II 2006/07, 30 861, nrs. 1 en 2).
4.4 De PNR-Overeenkomst 2007
De geldigheid van de interim-overeenkomst liep af op 31 juli 2007. Het onderhandelingsmandaat voor de Europese Commissie en het Duitse voorzitterschap, om namens de Europese Unie te onderhandelen over een meerjarige overeenkomst, is op 22 februari 2007 in de Sociale Raad aangenomen (Kamerstukken II 2006/07, 30 861, nr. 4). Tijdens onderhandelingen op 27 juni 2007 hebben de Europese Commissie en het Duitse voorzitterschap overeenstemming bereikt met de Verenigde Staten over een tekst voor een nieuwe overeenkomst . Tevens is een akkoord bereikt over een bijbehorende briefwisseling tussen de Verenigde Staten en de Europese Unie, waarin de nodige verzekeringen van de Verenigde Staten zijn neergelegd voor het behandelen van persoonsgegevens. (Besluit nr. 2007/551 i/JBZ van de Raad van de Europese Unie van 23 juli 2007 betreffende de ondertekening, namens de Europese Unie, van een Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Department of Homeland Security (DHS) (ministerie van Binnenlandse Veiligheid) van de Verenigde Staten van Amerika, (PNR Overeenkomst 2007), PbEU L 204. In Nederland bekendgemaakt in Trb. 2007, 129. De Nederlandse tekst is bekendgemaakt in Trb. 2008, 75.)
De nieuwe Overeenkomst (hierna: PNR-Overeenkomst 2007) heeft een looptijd van zeven jaar (Kamerstukken II 2006/07, 30 861, nr. 5). De PNR-Overeenkomst 2007 heeft een andere structuur dan de hierboven geschetste overeenkomst van 2004. In plaats van de legal undertakings waarnaar in de eerder genoemde beschikking werd verwezen, zijn de voorwaarden voor gegevensverwerking opgenomen in een van de PNR-Overeenkomst 2007 deel uitmakende briefwisseling tussen het voorzitterschap van de Europese Unie en de minister van Binnenlandse Veiligheid van de VS.
4.5 Grondslag van de goedkeuringswet
Hoewel niet het Koninkrijk der Nederlanden, maar de Europese Unie partij is bij de PNR-Overeenkomst 2007, wordt deze ter goedkeuring voorgelegd aan de Staten-Generaal. De reden hiervoor is dat de PNR-Overeenkomst 2007 verplichtingen bevat die Nederland, de Nederlandse luchtvaartmaatschappijen en hun passagiers, rechtstreeks kunnen raken. Daarom is in de Raad met toepassing van artikel 24, vijfde lid, van het Verdrag betreffende de oprichting van de Europese Unie, een verklaring afgelegd dat het Koninkrijk zijn grondwettelijke procedures moet doorlopen alvorens de Europese Unie kan aangeven dat het haar interne procedure, noodzakelijk voor de inwerkingtreding, heeft voltooid. Ook België, Tsjechië, Duitsland, Spanje, Letland, Litouwen, Hongarije, Polen, Finland en Malta hebben een dergelijke verklaring afgelegd.
4.6 Voorlopige toepassing
Teneinde te voorkomen dat na het vervallen van de interimovereenkomst
2006 op 31 juli 2007 sprake zou zijn van gegevensoverdracht zonder behoorlijke rechtsgrondslag is in paragraaf 9 van de PNR-Overeenkomst
2007 bepaald dat deze voorlopig wordt toegepast vanaf de datum van ondertekening, zijnde 26 juli 2006. Dit is in overeenstemming met artikel 15, vierde lid, van de Rijkswet goedkeuring en bekendmaking verdragen. Bekendmaking van deze beslissing heeft plaatsgevonden bij brief van de Minister van Buitenlandse Zaken aan de voorzitter van de Tweede Kamer der Staten-Generaal van 14 augustus 2007 (Kamerstukken II 2006/07, 30 861, nr. 7).
4.7 Beoordeling van de PNR-Overeenkomst 2007
Ondergetekenden zijn primair van oordeel dat de PNR-Overeenkomst 2007 een belangrijke bijdrage levert aan de mogelijkheden het terrorisme te bestrijden en de veiligheid van het luchtverkeer te vergroten. Dit is niet alleen in het belang van de Verenigde Staten, maar ook in het belang van de Europese Unie.
De voorliggende overeenkomst heeft verder een aantal belangrijke voordelen ten opzichte van de overeenkomst van 2004 en de interimovereenkomst 2006. Allereerst is de PNR-Overeenkomst 2007 in zijn geheel van bindende aard. Dat gold niet voor elementen van de overeenkomst van 2004, waaronder de eerder genoemde legal undertakings. Daarnaast voorziet de PNR-Overeenkomst 2007 in een betrekkelijk lange looptijd. Dat betekent dat er gedurende een langere termijn een behoorlijk mate van rechtszekerheid bestaat voor luchtvaartmaatschappijen en passagiers. Ook op het gebied van de bescherming van de persoonlijke levenssfeer biedt de PNR-Overeenkomst 2007 een aantal duidelijke voordelen. Passagiersgegevens zijn toegankelijk voor een aantal voldoende bepaalde doeleinden, en er wordt voorzien in een afdoende niveau van bescherming van bijzondere persoonsgegevens. Voor de wijze van overdracht van de gegevens wordt een pushsysteem de norm, zodat de luchtvaartmaatschappij zelf zo veel mogelijk invloed heeft op de verwerking
van persoonsgegevens. Verder is verzekerd is dat EU-burgers in de Verenigde Staten zonodig een beroep kunnen doen op de daar geldende privacywetgeving om hun belangen te beschermen. Zeer belangrijk is dat de werking van de PNR-Overeenkomst 2007 tijdig kan worden geëvalueerd.
Ondergetekenden zijn zich er ook van bewust dat de voorliggende overeenkomst niet perfect is. Op een niet onbelangrijk aantal onderdelen laat de tekst van de overeenkomst nog een aantal vragen open. In paragraaf 6 van deze memorie wordt nader ingegaan op die vragen. Ondergetekenden zijn van oordeel dat in dit verband een verantwoordelijkheid op de Europese Commissie rust om, bij de praktische uitwerking van de PNR-Overeenkomst 2007, verdere verduidelijking van de overeenkomst te bewerkstelligen. In punt 4 van de PNR-Overeenkomst 2007 zijn het DHS en de Europese Unie overeengekomen de toepassing van de overeenkomst regelmatig te evalueren.
Bij die imperfecties moet wel bedacht worden dat het alternatief zou zijn geweest dat geen overeenkomst tot stand zou zijn gekomen. Dat zou er toe hebben geleid dat de Verenigde Staten aan de afzonderlijke luchtvaartmaatschappijen eisen zouden hebben gesteld op grond van hun eigen regelgeving, onder de dreiging van boetes of mogelijke consequenties voor de landingsrechten. Dergelijke akkoorden zouden zeker geen betere garantie hebben geboden voor de waarborging het recht op bescherming van persoonsgegevens dan deze overeenkomst. Alles afwegende zijn ondergetekenden zijn daarom van oordeel dat de PNR-Overeenkomst 2007 een passend niveau van gegevensbescherming biedt.
-
5.Advisering en bedrijfseffecten
5.1 Advisering
Het College bescherming persoonsgegevens (hierna: Cbp) heeft, op verzoek van de Minister van Justitie advies uitgebracht over het wetsvoorstel (advies van 27 augustus 2007, no. z2007–0099).1 Het Cbp stelt zich er terdege bewust van te zijn dat de voorliggende PNR-Overeenkomst 2007 het resultaat is van een internationale politieke afspraak. Aan deze afspraak liggen onderhandelingen ten grondslag die hun eigen dynamiek kennen. Het Cbp is desondanks kritisch over het eindresultaat. Het Cbp is positief over het feit dat Nederland zich bij de Europese Commissie wil inzetten voor meerdere toetsmomenten, in plaats van één evaluatiemoment gedurende de totale looptijd van de PNR-Overeenkomst 2007 (7 jaar). Ook is het Cbp positief over het feit dat Nederland erkent dat de Europese Commissie verantwoordelijkheid draagt voor een nadere invulling van de informatieverplichtingen van de luchtvaartmaatschappijen en een nadere uitwerking van de rechten waarop EU-burgers onder Amerikaanse privacywetgeving een beroep kunnen doen. Toch kunnen deze positieve intenties bij de Nederlandse implementatiewetgeving naar het oordeel van het Cbp de nadelen van de PNR-Over-eenkomst 2007 niet ondervangen. Het Cbp betoogt dat de PNR-Overeen-komst 2007 veel rechten geeft aan de verantwoordelijken in de Verenigde Staten, maar hen te weinig plichten oplegt. Overheden hebben de plicht om het vertrouwen van burgers en bedrijfsleven te bevorderen door de noodzaak van inbreukmakende wetgeving onweerlegbaar aan te tonen en nadat dat is gebeurd, in de uitvoeringswetgeving te voorzien in adequate waarborgen. Het Cbp is van oordeel dat de PNR-Overeenkomst 2007 daarin in onvoldoende mate voorziet.
Over de PNR-Overeenkomst 2007 heeft de zogeheten artikel 29 Werkgroep (de onafhankelijke werkgroep, bedoeld in artikel 29 van de richtlijn, belast met een adviserende taak op het gebied van de bescherming van persoonsgegevens) (hierna: de Werkgroep) op 17 augustus 2007 Opinie
1 Ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer.
nr. 5/2007 (Document WP 138) vastgesteld en deze aan de Europese
Commissie aangeboden. In deze opinie worden vrijwel dezelfde zorgen geuit als in het advies van het Cbp.
In het bovenstaande is door ondergetekenden al aangegeven hoe deze PNR-Overeenkomst 2007 in algemene zin wordt beoordeeld. In paragraaf 6 van deze memorie gaan wij onderdeelsgewijs inhoudelijk op de door het Cbp en de Werkgroep geuite zorgen in. In paragraaf 7 van deze memorie is de verhouding van de PNR-Overeenkomst 2007 tot het geldende recht op bescherming van persoonsgegevens geschetst.
5.2 Effecten voor de luchtvaartindustrie
Voor zover het Nederlandse luchtvaartmaatschappijen betreft die vanuit Nederland rechtstreeks naar de Verenigde Staten lijnvluchten met passagiers uitvoeren, heeft de PNR-Overeenkomst 2007 betrekking op twee bedrijven: KLM (deel uitmakend van Air France/KLM) en Martinair. Uit contact met de luchtvaartindustrie is gebleken dat men zich, wat de PNR-Overeenkomst 2007 als geheel betreft, aansluit bij bij de opinie die in internationaal en Europees verband is gegeven door zowel de International Air Traffic Association(IATA), respectievelijk de Association of European Airlines(AEA). Men meent dat het de voorkeur verdient dat in plaats van PNR-gegevens, zogenaamde APIS-gegevens (Advanced Passenger Information System) door te geven. Deze gegevens (en dan met name paspoortgegevens) zijn volgens de luchtvaartindustrie beter geschikt individuen te identificeren. Bovendien stelt de industrie dat het aantal en de aard van de passagiersgegevens sterk wisselt, afhankelijk van de wijze waarop zij worden verkregen (rechtstreeks in contact met de klant, via een reisagent, of via een partner-luchtvaartmaatschappij) en afhankelijk van de wijze van verdere verwerking (omdat reserveringssystemen van elkaar kunnen verschillen).
Ondergetekenden menen dat het in het belang van de bestrijding van terrorisme en andere vormen van ernstige grensoverschrijdende criminaliteit gerechtvaardigd is een zodanig aantal gegevens op te vragen dat de diensten belast met de rechtshandhaving optimaal in staat zijn te beoordelen of individuen in dat belang de toegang tot een land moet worden ontzegd. Indien PNR-gegevens (waarvan de beschikbare APIS-gegevens overigens deel uitmaken) daaraan een bijdrage kunnen leveren is dat, indien daarbij de nodige waarborgen tot bescherming van de persoonlijke levenssfeer kunnen worden gegeven, gerechtvaardigd. Ook wanneer het slechts een gering aantal gegevens betreft.
Met de luchtvaartindustrie is gesproken over de kosten en andere lasten die voortvloeien uit de verplichtingen die de Amerikaanse autoriteiten op hen hebben gelegd. Daarbij is gebleken dat er vooral kosten worden gemaakt om de reserveringssystemen aan te passen, en deze daarnaast uit te rusten met zogeheten pushen pullfaciliteiten. Daarnaast zijn er natuurlijk kosten verbonden aan de eigenlijke doorgifte van de gegevens. Eerstbedoelde kostencomponent is substantieel, de tweede component betreft slechts marginale kosten. In beide gevallen is gebleken dat de kosten niet op zichzelf staan, maar deel uitmaken van reguliere, toch al geplande kosten van ICT-aanpassingen en ICT-gebruik. Het is niet zinvol gebleken dit afzonderlijk te kwantificeren.
-
6.Inhoud van de PNR-Overeenkomst 2007
In paragraaf 4.4 is ingegaan op de juridische vormgeving van de PNR-Overeenkomst 2007. De belangrijkste inhoudelijke elementen van de PNR-Overeenkomst 2007 zijn neergelegd in een briefwisseling. In de brief van de minister van Binnenlandse Veiligheid van de VS (hierna: DHS-brief) is het onderhandelingsresultaat opgenomen. In de brief van het voorzitterschap wordt dit resultaat bevestigd. In het onderstaande wordt telkens verwezen naar de DHS-brief. Ondergetekende wijzen er op dat de
DHS-brief niet een eenzijdige Amerikaanse standpuntbepaling betreft, maar deel uitmaakt van een verdragsrechtelijk geheel, waarover beide verdragsluitende partijen overeenstemming hebben bereikt.
6.1 Doelbinding
In paragraaf I van de DHS-brief wordt geregeld dat het DHS de passagiers-gegevens uitsluitend gebruikt ter voorkoming en bestrijding van: 1) terrorisme en daarmee samenhangende strafbare feiten; 2) andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn, en 3) het zich onttrekken aan aanhoudingsbevelen of arrestatie voor de bovengenoemde strafbare feiten. Deze opsomming is, afgezien van enkele verschillen van ondergeschikte aard in de formulering, dezelfde als in de overeenkomst van 2004. Daarnaast kunnen passagiersgegevens, indien nodig, ook worden gebruikt voor: 4) de bescherming van de vitale belangen van de betrokkene of anderen; 5) bij strafrechtelijke procedures, of 6) in andere wettelijk voorgeschreven gevallen. In vergelijking met eerdergenoemde legal undertakings, deel uitmakend van de overeenkomst van 2004, lijkt dit een uitbreiding, aangezien de tweede groep van gebruiksdoeleinden niet expliciet als zodanig werden aangeduid in de undertakings. De Werkgroep wijst er in zijn advies terecht op dat die drie aanvullende doeleinden wel degelijk deel uitmaakten van de undertakings(punten 29, 33 en 34). Het is naar het oordeel van ondergetekenden dan ook een verbetering dat deze doeleinden zijn geëxpliciteerd.
Als voorbeeld van vitale belangen van betrokkene of anderen kunnen levensgevaar of ernstige gezondheidsrisico’s voor de betrokkene of derden genoemd worden. Wat betreft het gebruik van gegevens in strafrechtelijke procedures en andere wettelijk voorgeschreven gevallen, geldt dat DHS de Europese Commissie moet informeren over veranderingen in de Amerikaanse wetgeving die de reikwijdte van PNR-Overeenkomst 2007 beïnvloeden.
Ondergetekenden achten – anders dan de Werkgroep en het Cbp – de overdracht van passagiersgegevens met de eerste drie doelomschrijvingen, in het licht van de verdragsrechteljke context, voldoende bepaald om deze gerechtvaardigd te achten. De strijd tegen het terrorisme en de daarmee samenhangende criminaliteit, en de veiligheid van het luchtverkeer zijn zodanig belangrijk dat bij de keuze van de doelomschrijvingen niet het risico kan worden gelopen dat bepaalde strafbare feiten buiten de doelomschrijving zouden vallen. Daarom verdient een meer algemeen geformuleerde doelomschrijving in deze context uiteindelijk de voorkeur boven een doelomschrijving waarin alle Amerikaanse wetgeving enume-ratief wordt vermeld. Een dergelijke opsomming moet ook telkens worden aangepast.
Met de Werkgroep en het Cbp plaatsen ondergetekenden wel een kanttekening bij de doelomschrijving van het vijfde en zesde doel. Nederland zal bij de Europese Commissie aandringen op een verdere, nauwkeuriger invulling van die doelen bij de uitwerking van de PNR-Overeenkomst 2007. Met name bij het zesde doeleinde verdient een limitatieve opsomming de voorkeur.
6.2 Passagiersgegevens
6.2.1 Omvang gegevensverwerking
In paragraaf III van de DHS-brief is aangegeven welke passagiersgegevens zullen worden overgedragen aan het DHS. Het betreft de volgende 19 categorieën van gegevens: de PNR-bestandslocatiecode; datum van boeking/afgifte van het biljet; geplande reisdatum of reisdata; naam/ namen; beschikbare informatie betreffende frequent reizen en voordelen;
andere namen in het PNR, waaronder het aantal reizigers in het PNR; alle beschikbare contactgegevens; alle beschikbare betalings- of factureringsinformatie (met uitzondering van de daarbij gebruikte creditcard-nummers); reisroute voor dit specifieke PNR; reisbureau/agent; informatie over gedeelde vluchtcodes; opgesplitste/opgedeelde informatie; reisstatus van de passagier; informatie over biljetuitgifte, waaronder het biljet-nummer, biljetten voor enkele reizen en geautomatiseerde prijsnotering van reisbiljetten; alle bagage-informatie; zitplaatsinformatie, waaronder het zitplaatsnummer; algemene opmerkingen waaronder OSI, SSI en SSR-informatie; eventuele APIS-informatie; alle vroegere wijzigingen onder de hiervoor aangeduide punten.
Onder OSI, SSI en SSR wordt verstaan: other service information, special service information, respectievelijk special service request. Het betreft hier bijzondere wensen van de passagier die extra aandacht behoeven, zoals maaltijdwensen, de omstandigheid dat iemand assistentie behoeft bij in-en uitstappen of een onbegeleide minderjarige passagier. Onder APIS-informatie wordt verstaan: informatie afkomstig uit het advancedpassenger information system. Bij het inchecken worden de paspoortgegevens van een passagier door middel van lezing van de machineleesbare strook van het paspoort en de gegevens van instapkaart opgeslagen in het boekings- en vertrekcontrolesysteem. Aantekening verdient dat deze faciliteit in de reserveringssystemen van de belangrijkste Europese luchtvaartmaatschappijen niet wordt gebruikt. Ingevolge de Data Security Standardsvan de Payment Card Industry, een initiatief waarbij veel grote luchtvaartmaatschappijen zijn aangesloten, worden creditcardgegevens niet meer standaard in het PNR opgenomen.
In de overeenkomsten van 2004 en 2006 was sprake van een lijst van 34 categorieën gegevens. Niettemin betrof het vrijwel dezelfde hoeveelheid informatie, alleen was deze anders gerangschikt. Er zijn enige verschillen. Op de oude lijst kwamen de frequent flyer- gegevens en de bagage-gegevens niet voor. Op de nieuwe lijst ontbreekt het veld over zogenaamde «no show» informatie. Aan die verschillen moet geen absolute waarde worden toegekend. De verklaring van deze verschillen ligt mede hierin dat de interim-overeenkomst van 2006 inhoudelijk een ongewijzigde voortzetting was van de overeenkomst van 2004, en er in het kader van de International Civil Aviation Organization(ICAO) in 2005 besluitvorming heeft plaatsgevonden over nieuwe richtlijnen voor het inrichten van het PNR. (Het ICAO – document Passenger Name Record (PNR) Data, Guidelines on matters including data requirements, the transfer of such data and its frequency and timing, the processing of such data, passenger redress, and the protection and security of data,9June 2005.) Deze Guidelinesbevatten alle hiervoor genoemde categorieën gegevens en die zijn bovendien niet limitatief omschreven. Overdracht, opslag en analyse van al deze gegevens moeten vooralsnog worden aangemerkt als proportioneel en voldoende subsidiair, in relatie tot de hiervoor genoemde gebruiksdoelen.
Het Cbp en de Werkgroep delen dit oordeel niet. Zij achten de gevraagde hoeveelheid gegevens juist disproportioneel en menen dat met minder moet worden volstaan. Hierover zij het volgende opgemerkt. Het geheel van passagiersgegevens is ongelijksoortig. Sommige gegevens zijn objectief verifieerbaar, zoals bijvoorbeeld de APIS-gegevens of een gebruikt frequent flyernummer. Sommige gegevens zijn dat niet per definitie, zoals contactgegevens. Objectief verifieerbare gegevens zijn van evident belang voor de opsporing, omdat zij bij uitstek kunnen helpen een persoon ondubbelzinnig te identificeren. De combinatie van objectief verifieerbare gegevens met andere gegevens, kan bijdragen tot een verfijning van de opsporingsinspanningen. Daarom is het gerechtvaardigd deze gegevens op te slaan, zonodig te gebruiken en over te dragen.
Het zal echter nog enige jaren duren voordat definitieve conclusies kunnen worden getrokken over de effectiviteit van de onderzoeksin-spanningen die worden verricht met behulp van de gegevens die worden verworven op grond van de Overeenkomst. Alle betrokken staten of internationale organisaties zullen daarover onderling moeten overleggen en de resultaten daarvan resultaten moeten bespreken in de evaluaties van alle overeenkomsten. Bovendien veranderen de omstandigheden ook. Creditcardnummers worden niet meer in het PNR opgenomen om kans op fraude zo veel mogelijk te verminderen. Het ligt bovendien in de lijn van de verwachtingen dat in de komende jaren in ICAO-verband nader wordt overlegd over de functie van het PNR. In afwachting van die evaluaties achten ondergetekenden het niet verantwoord om het risico te nemen te volstaan met minder gegevens dan de gegevens die beschikbaar zijn. Daarbij moet worden bedacht dat in lang niet alle gevallen alle 19 gege-venscategorieën zijn ingevuld. Daar komt ook nog bij dat zeer veel van de gevraagde gegevens hoe dan ook zijn af te leiden uit het paspoort en de immigratie- en douaneformulieren die de passagier altijd aan de Amerikaanse autoriteiten moet overleggen. Desgevraagd moet hij ook zijn ticket of de bevestiging van zijn elektronische boeking tonen en zonodig kan hij ook individueel worden bevraagd. De Amerikaanse autoriteiten hebben bovendien plannen bekend gemaakt om met ingang van januari 2009, in navolging van een systeem dat Australië al jaren hanteert, een elektronische vooraankondiging van voorgenomen reizen naar de Verenigde Staten verplicht te stellen. Er mag van worden uitgegaan dat bij een dergelijk vooraankondiging ook weer gegevens moeten worden verstrekt. Niets verhindert de Amerikaanse autoriteiten langs deze wegen verworven gegevens op te slaan en te gebruiken.
6.2.2 Bijzondere persoonsgegevens
Bij het boeken van een luchtreis is in zeer weinig gevallen sprake van het direct verwerken van bijzondere persoonsgegevens (godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven of het lidmaatschap van een vakvereniging). Dat neemt niet weg dat onder omstandigheden de godsdienst of levensovertuiging kan worden afgeleid uit een bijzondere maaltijdwens, en iemands gezondheidstoestand kan worden afgeleid uit een verzoek om een assistentie bij het in- en uitstappen of om het gebruik van een rolstoel.
Het is moeilijker voorstelbaar dat andere bijzondere persoonsgegevens in het PNR-dossier worden verwerkt. In de antwoorden van de Ministers van Onderwijs, Cultuur en Wetenschap en van Justitie op de vragen van de leden Van Miltenburg en Teeven, (Aanhangsel Handelingen II 2007/08, nr. 170) is – veronderstellenderwijs – aangegeven onder welke zeer uitzonderlijke omstandigheden een aanwijzing voor de seksuele geaardheid van een reiziger in het PNR-dossier zou kunnen worden verwerkt. Hoe dan ook, in paragraaf III van de DHS-brief is aangegeven dat DHS bij de verwerking van PNR-gegevens een systeem toepast dat bijzondere persoonsgegevens filtert, dat DHS deze gegevens niet gebruikt en deze vervolgens onmiddellijk vernietigt. Slechts in een uitzonderlijk geval zal DHS deze gegevens gebruiken. Daaronder verstaat de DHS-brief gevallen waarin het leven van de betrokkene of een derde in gevaar zou kunnen zijn of ernstig wordt beperkt. Indien het gebruik van deze gegevens plaatsvindt, moet DHS daarvan een apart register bijhouden en de gegevens binnen 30 dagen wissen, indien het gebruiksdoel is bereikt, tenzij er een wettelijke verplichting bestaat de gegevens langer te bewaren. Indien dit gebeurt behoort DHS de Europese Commissie daarvan binnen 48 uur op de hoogte te stellen.
In algemene zin achten ondergetekenden het niveau van de bescherming van bijzondere persoonsgegevens voldoende. Het Cbp en de Werkgroep wijzen er in hun adviezen niet ten onrechte op dat de invulling van het
criterium uitzonderlijk geval in de DHS-brief nog niet volledig duidelijk is omschreven. Naar het ondergetekenden voorkomt rust op de Europese Commissie een medeverantwoordelijkheid voor de nadere invulling van dit criterium. Nederland zal zich er sterk voor maken dat dit punt bij de eerste evaluatie nadrukkelijk aan de orde wordt gesteld.
6.2.3 Analytische gegevens
Ingevolge paragraaf IX van de DHS-brief bevordert DHS dat de analytische informatie die door de bevoegde autoriteiten in de VS op basis van passagiersgegevens is opgesteld door de autoriteiten met de autoriteiten van de lidstaten, en in voorkomend geval met Europol en Eurojust, wordt gedeeld. Omgekeerd geldt dat wanneer de autoriteiten van de lidstaten dergelijke informatie bezitten, deze worden aangemoedigd die gegevens te delen met DHS.
Wat onder analytische gegevens precies wordt verstaan is niet omschreven, zodat thans nog geen volledige zekerheid bestaat over de vraag of daaronder mede persoonsgegevens kunnen worden verstaan. Ook dit is een kwestie die bij de uitvoering van de PNR-Overeenkomst 2007 nader moet worden ingevuld. Die invulling behoort op gelijke voet als de hiervoor genoemde persoonsgegevens in de evaluatie te worden betrokken. De Werkgroep meent in zijn advies dat daarmee het limitatieve karakter van de in paragraaf III van de DHS-brief genoemde persoonsgegevens kan worden aangetast, omdat niet kan worden uitgesloten dat bij de verdere verwerking door de Amerikaanse diensten nog andere gegevens dan de PNR-gegevens worden betrokken. Mogelijk is dat zo, maar die andere gegevens zullen dan wel eerst door die autoriteiten verworven moeten worden. Voorzover die afkomstig zijn van een verantwoordelijke in de Europese Unie geldt dat op die gegevensoverdracht de artikelen 25 en 26 van de richtlijn onverkort van toepassing zijn. Voor de overdracht van analytische gegevens van de VS naar de EU wijzen de Werkgroep en het Cbp terecht op de omstandigheid dat de PNR-Overeenkomst 2007 daarop eigenlijk geen betrekking heeft. Voor zover daarin geen persoonsgegevens zijn verwerkt, behoeft daarvoor overigens geen specifieke rechtsgrond aanwezig te zijn, behoudens reeds bestaande bilaterale verdragen over gegevensuitwisseling en rechtshulp tussen de VS en de desbetreffende lidstaat.
De mogelijkheid analytische gegevens te kunnen delen is overigens van groot belang. In de eerste plaats voor de bestrijding van het terrorisme en de grensoverschrijdende criminaliteit. In de tweede plaats kan met behulp van analytische informatie goed worden bezien welke concrete resultaten de overdracht van passagiersgegevens nu eigenlijk oplevert. Die gegevensoverdracht is daarom een essentieel element in de PNR-Overeenkomst 2007.
6.3 Partijen aan wie passagiersgegevens mogen worden overgedragen
6.3.1 Gegevensoverdracht naar en tussen Amerikaanse overheidsinstanties
Ten behoeve van de in paragraaf 6.1 genoemde doeleinden verkrijgt DHS de in paragraaf 6.2.1 aangeduide gegevens. Hoewel dit niet is gespecificeerd, ligt het in de rede dat binnen DHS de gegevens met name worden gebruikt door het Bureau of Customs and Border Protectionen de Transport Security Administration. Op grond van paragraaf II van de DHS-brief kan DHS de gegevens naar goeddunken ter beschikking stellen aan andere nationale overheden met taken op het gebied van wetshandhaving, openbare veiligheid of terrorismebestrijding. Dit gebeurt echter slechts ter ondersteuning van met terrorismebestrijding, grensoverschrijdende misdaad en openbare veiligheid verband houdende
gevallen (waaronder zorgwekkende bedreigingen, vluchten, personen en routes) die deze overheden bestuderen en onderzoeken, een en ander overeenkomstig de Amerikaanse wetgeving en de daarop gebaseerde schriftelijke afspraken die het gegevensverkeer tussen de Amerikaanse overheidsorganen regelen. DHS verbindt zich er toe die gegevens als gevoelig en vertrouwelijk overeenkomstig de Amerikaanse wetgeving te behandelen. Verder zal de toegang tot de gegevens strikt en zorgvuldig zijn beperkt tot de genoemde gevallen, in verhouding tot de aard van zaak.
Ten opzichte van de overeenkomst van 2004 moet met de Werkgroep en het Cbp worden geconstateerd dat het onderhandelingsresultaat thans een ruimere gegevensdoorgifte toestaat. Die verruiming is niet in alle opzichten een winstpunt. Bedacht moet echter worden dat in de VS een betrekkelijk groot aantal rechtshandhavingsinstanties is belast met onderzoek naar en opsporing van specifieke strafbare feiten die vaak wel een direct of indirect verband hebben met de bestrijding van terrorisme of georganiseerde criminaliteit en de daarmee verbonden andere vormen van criminaliteit. Het individueel benoemen van instanties levert echter een risico op van ongereguleerde gegevensdoorgifte aan niet genoemde instanties.
De op de overdracht van gegevens binnen de Amerikaanse overheid toepasselijke regelgeving is in de overwegingen van de PNR-Overeenkomst 2007 opgenomen. Het betreft de Aviation Transportation Security Act of 2001(wet veiligheid luchtvervoer), de Homeland Security Act of 2002(wet binnenlandse veiligheid), de Intelligence Reform and Terrorism Prevention Act of 2004(wet tot hervorming van de inlichtingendiensten en terrorismebestrijding) en Executive Order 13 388(presiden-tieel besluit 13 388) betreffende de samenwerking tussen agentschappen van de regering van de Verenigde Staten bij de bestrijding van terrorisme, en de Privacy Act of 1974(wet bescherming persoonlijke levenssfeer), de Freedom of Information Act(wet vrijheid van informatie) en de E-Government Act of 2002(wet overheidsdienstverlening door middel van informatie- en communicatietechnologie). Ondergetekenden achten die opsomming een voldoende weergave van het toepasselijke recht.
6.3.2 Overdracht naar derde landen
Net als onder de overeenkomst van 2004 biedt de PNR-Overeenkomst 2007 ook thans de mogelijkheid van doorgifte van passagiersgegevens door de Verenigde Staten aan derde landen. In de PNR-Overeenkomst 2007 is thans vastgelegd dat dergelijke doorgifte alleen plaatsvindt na beoordeling van het voorgenomen gebruik van de gegevens en de mogelijkheden van bescherming van de gegevens door de ontvanger. Verder geschiedt doorgifte uitsluitend aan derde landen waarmee de VS een met de PNR-Overeenkomst 2007 vergelijkbaar gegevensbeschermingsregime uitdrukkelijk zijn overeengekomen. Hierop mag slechts in noodsituaties een uitzondering worden gemaakt. De overeenkomst van 2004 bevatte slechts een summiere regeling voor de gegevensbescherming bij doorgifte aan derde landen die zich beperkte tot concrete gevallen. Ondergetekenden achten deze regeling daarom, anders dan de Werkgroep en het Cbp, per saldo een verbetering ten opzichte van het vorige resultaat. Wel is de uitzondering voor noodsituaties reden tot enige zorg. Nederland zal er daarom bij de Europese Commissie op aandringen dit criterium nader in te vullen bij de uitwerking van de PNR-Overeenkomst 2007.
6.4 Rechten van de betrokkene, rechtsbescherming en transparantie in de Verenigde Staten
6.4.1 Algemeen
Er moet een adequate balans zijn tussen enerzijds het belang van de overdracht van passagiersgegevens ten behoeve van de bestrijding van het internationale terrorisme, de daaraan gerelateerde criminaliteit, alsmede andere ernstige misdrijven van grensoverschrijdende aard, inclusief georganiseerde criminaliteit, en aan de andere kant het vereiste hierbij fundamentele rechten en vrijheden, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, in acht te nemen, zonder dat eventuele verschillen in de toepassing mogen leiden tot belemmeringen voor de samenwerking tussen de Europese Unie en de Verenigde Staten. Het belang van bescherming van de persoonlijke levenssfeer wordt benadrukt in de van de PNR-Overeenkomst 2007 deel uitmakende briefwisseling. Naar het oordeel van de Europese Unie is de bevestiging in het derde punt van de PNR-Overeenkomst 2007, alsook in de DHS-brief, dat de Verenigde Staten hecht aan de bescherming van de persoonlijke levenssfeer en passagiersgegevens verwerkt overeenkomstig de toepasselijke wetgeving en de grondwettelijke vereisten van de Verenigde Staten, zonder onwettige discriminatie, en met name zonder aanzien van nationaliteit of land van verblijf, aanleiding voor het oordeel dat het DHS voor de toepassing van de PNR-Overeenkomst 2007 een passend beschermingsniveau garandeert.
6.4.2 Rechten van de betrokkene
Hoewel de tekst van PNR-Overeenkomst 2007 en de DHS-brief expliciet vaststellen dat noch de PNR-Overeenkomst 2007, noch de DHS-brief enige rechten of voordelen scheppen of verlenen aan enige particuliere of openbare persoon of entiteit (punt 9 van de PNR-Overeenkomst 2007 en aanhef van de DHS-brief) neemt dat niet weg dat ook burgers van de EU in de VS een beroep kunnen doen op een aantal van de daar geldende wettelijke bepalingen met betrekking tot bescherming van de persoonlijke levenssfeer enerzijds, en openbaarheid van bestuur anderzijds. Het DHS heeft besloten om het regime voor gegevensbescherming op grond van de Privacy Act of 1974uit te breiden tot in het Automated Targeting System opgeslagen passagiersgegevens, ongeacht de nationaliteit of het land van vestiging van het datasubject, met inbegrip van gegevens die betrekking hebben op Europese burgers.
Overeenkomstig de Amerikaanse wetgeving beschikt het DHS ook over een systeem dat personen, ongeacht hun nationaliteit of land van vestiging, een verhaalsmogelijkheid biedt voor het zoeken van informatie over of de rectificatie van passagiersgegevens. Informatie over dit beleid is beschikbaar op de website van het DHS. De in de Europese Unie gewaarborgde rechten op inzage en correctie van verwerkte gegevens zijn naar het oordeel van ondergetekenden daarmee afdoende gewaarborgd. Voorts worden de door of namens een persoon verstrekte passagiers-gegevens aan de betrokkene meegedeeld overeenkomstig de Privacy Act en de Freedom of Information Act(FOIA) van de Verenigde Staten. De FOIA staat eenieder (ongeacht nationaliteit of land van vestiging) toegang tot de registers van een federale instantie van de Verenigde Staten toe, tenzij dergelijke registers (of een deel daarvan) tegen openbaarmaking beschermd zijn door een toepasselijke vrijstelling uit hoofde van de FOIA. Het DHS verstrekt geen PNR-gegevens aan het publiek, behalve aan de datasubjecten of hun vertegenwoordigers overeenkomstig de Amerikaanse wetgeving.
In bepaalde uitzonderlijke omstandigheden kan het DHS zich op de hem bij de FOIA verleende bevoegdheid beroepen om de openbaarmaking van
alle of een deel van de passagiersgegevens aan een verzoeker van de eerste partij krachtens titel 5, United States Code, sectie 552 (b), te weigeren of uit te stellen. Volgens de FOIA heeft elke verzoeker het recht om het besluit van de DHS tot het achterhouden van informatie administratief en gerechtelijk aan te vechten.
6.4.3 Sanctionering van schendingen van het recht op bescherming van persoonsgegevens in de Verenigde Staten
Uit paragraaf V van de DHS-brief blijkt dat de Amerikaanse wetgeving administratieve, civiel- en strafrechtelijke sancties kent voor schendingen van de privacyvoorschriften van de Verenigde Staten en de ongeoorloofde openbaarmaking van documenten van de VS. (Tot de betreffende bepalingen behoren onder meer titel 18, United States Code, secties 641 en 1030, en titel 19, Code of Federal Regulations, sectie 103.34.) Men dient zich te realiseren dat deze bepalingen regels van straf- en tuchtrecht bevatten die in de eerste plaats zijn bedoeld het behoorlijk functioneren van de Amerikaanse federale overheid te beschermen. Het valt niet met zekerheid te zeggen of EU-onderdanen zich voor de Amerikaanse rechter rechtstreeks op al deze regels kunnen beroepen in het belang van de bescherming van hun persoonlijke levenssfeer. Dat zal zeer waarschijnlijk mede afhankelijk zijn van de wijze waarop het zogeheten belangvereiste in een concrete zaak zal worden ingevuld.
6.4.4 Transparantie en informatieverplichtingen
Ten aanzien van de informatieplicht zullen zowel de Verenigde Staten als de Europese Unie blijkens het zevende punt van de PNR-Overeenkomst 2007 de luchtvaartmaatschappijen aanmoedigen om de informatie over systemen inzake passagiersgegevens bekend te maken aan de reizigers. Blijkens paragraaf VI van de DHS-brief heeft het DHS zelf al informatie verstrekt over het gebruik van de gegevens op zijn website (http://www.dhs.gov/xtrvlsec/programs/editorial_0678.shtm) en zal het de luchtvaartmaatschappijen een informatief formulier doen toekomen over de verzameling van de passagiersgegevens en de verhaal-procedures, met het oog op beschikbaarstelling aan het publiek. Met de Werkgroep en het Cbp zijn ondergetekenden verheugd over het feit dat de rechten die ingezetenen van de Verenigde Staten hebben onder de PrivacyAct, nu ook gelden voor passagiers uit Europa, althans voorzover hun gegevens zijn opgenomen in het Automated Targeting System. Met het Cbp en de Werkgroep zijn ondergetekenden van mening dat de huidige uitwerking van rechten van passagiers nog onvoldoende is, vooral in het licht van de disclaimer dat passagiers niet rechtstreeks rechten kunnen ontlenen aan de PNR-Overeenkomst 2007 en met het oog op het feit dat via het Automated Targeting Systemgeautomatiseerde risicobeslissingen worden genomen, zonder dat er de correctie- of verwijderingsmogelijkheden behoorlijk zijn uitgewerkt. De uitwerking van de informatieplicht voor luchtvaartmaatschappijen in de PNR-Overeenkomst 2007 laat het nodige te wensen over. Als verantwoordelijken voor de verwerking van de passagiersgegevens zou het wenselijk zijn geweest dat de PNR-Overeenkomst 2007 sterker geformuleerde verplichtingen zou hebben bevat om passagiers voorafgaand aan de boeking van een reis op een toegankelijke en begrijpelijke wijze te informeren met betrekking tot het gebruik door het DHS van de bij de boeking verwerkte gegevens.
Nederland zal zich er daarom sterk voor maken dat in het kader van de gezamenlijke evaluatie nader wordt geconcretiseerd op welke vormen van bescherming EU-burgers onder de Amerikaanse privacywetgeving een beroep kunnen doen en op welke wijze de informatieverstrekking aan de EU-burgers kan worden verbeterd.
Inmiddels verstrekken zowel de Europese Commissie (http://ec.europa.eu/justicehome/fsj/privacy/do cs/wpdocs/2007/ wp132a_nl.doc), als de Europese luchtvaartmaatschappijen (zie bijvoorbeeld KLM:
http://www.klm.com/travel/nl_nl/travel_information/customer_support/ faq/index.htm) op hun websites uitvoerige informatie aan reizigers over de redenen waarom en de voorwaarden waaronder passagiersgegevens worden verstrekt aan de Amerikaanse autoriteiten. De Werkgroep heeft in WP document 151 inmiddels een aantal verbeterde modellen ontwikkeld waarmee luchtvaartmaatschappijen hun klanten gericht kunnen informeren.
6.5 Bewaartermijn
In paragraaf VII van de DHS-brief is de bewaartermijn geregeld. DHS bewaart de passagiersgegevens gedurende een periode van zeven jaar. Vervolgens worden de gegevens gedurende een periode van acht jaar als niet-operationele («slapende»), beperkt toegankelijke gegevens bewaard. De gegevens die als slapend moeten worden aangemerkt zijn uitsluitend toegankelijk met toestemming van een door de minister van Binnenlandse Veiligheid aangewezen hoge ambtenaar van het DHS, en dit alleen naar aanleiding van een concrete zaak, dreiging of risico. Naar verwachting zullen de gegevens aan het eind van deze periode worden gewist. Hierover zal nog nader overleg plaatsvinden tussen het DHS en de Europese Unie.
Gegevens die verband houden met een specifieke zaak of onderzoek kunnen uiteraard, ook na de periode van zeven, respectievelijk acht jaar, worden bewaard totdat de zaak of het onderzoek wordt gearchiveerd. Ten opzichte van de bewaartermijn waarnaar in de legal undertakings behorende bij de overeenkomst van 2004 wordt verwezen (3,5 jaar) is er dus sprake van een verdubbeling van de termijn, gedurende welke de gegevens actief raadpleegbaar blijven. Het eindresultaat van de PNR-Overeenkomst 2007 is overigens niet dat de bewaartermijn van gegevens ineens toeneemt van 3,5 jaar naar 15 jaar, zoals wordt gesuggereerd door het Cbp en de Werkgroep.
De – op dit onderdeel – weinig duidelijke legal undertakingslijken een dubbele bewaartermijn (twee maal 3,5 jaar) niet uit te sluiten. Bovendien boden de undertakingsook de mogelijkheid gegevens na afloop van de initiële bewaartermijn nog eens acht jaar te bewaren in een niet actief bestand.
De undertakingsmoeten bovendien worden gekwalificeerd als een eenzijdige, niet-bindende inspanningsverplichting van de Amerikaanse autoriteiten. De PNR-Overeenkomst 2007 biedt een helder geformuleerde verplichting van verdragsrechtelijke, dat wil zeggen, bindende aard. Ondergetekenden achten dit een van de belangrijkste winstpunten uit de PNR-Overeenkomst 2007.
Daar komt nog bij dat in de DHS-brief is vastgelegd dat DHS het effect van de bewaringsregime zal evalueren en de resultaten daarvan met EU zal bespreken.
Wat betreft de lengte van termijn van 15 jaar, kan het volgende nog worden opgemerkt. Op basis van Amerikaanse praktijkervaringen kunnen gegevens na langere tijd van groot nut blijken, met name als bepaalde patronen moeten worden herkend. Nationale veiligheidsexperts die de Commissie heeft geconsulteerd, (h)erkennen de Amerikaanse praktijkervaringen en beoordelen een bewaartermijn van vijftien jaar als niet onredelijk lang.
6.6 Wijze van gegevensoverdracht In paragraaf VIII van de DHS-brief is vastgelegd dat de Verenigde Staten
uiterlijk op 1 januari 2008 overgaan naar een push-systeem. Hierop heeft de Europese Unie zeer aangedrongen, omdat een push-systeem met zich brengt dat de Amerikaanse autoriteiten niet langer de gegevens uit de databanken van de luchtvaartmaatschappijen kunnen halen. Op dit moment haalt het Amerikaanse Ministerie van Binnenlandse Veiligheid de gegevens zelf op uit de reserveringssystemen van de luchtvaartmaatschappijen (het zogenoemde pull-systeem). Vanaf 1 januari 2008 zullen de luchtvaartmaatschappijen de gegevens zelf doorgeven aan de Verenigde Staten (het zogenoemde push-systeem). Vanuit een oogpunt van privacybescherming is het voordeel van een push-systeem dat het de invloed en controle van de luchtvaartmaatschappijen op de doorgifte van gegevens vergroot. Langs die weg wordt ook een beter beschermingsniveau van bijzondere persoonsgegevens bereikt. De luchtvaartmaatschappij is daarop dan primair aanspreekbaar. Ondergetekenden achten dit resultaat ook een belangrijk winstpunt van de voorliggende PNR-Overeenkomst 2007.
Overigens moet wel worden aangetekend dat het push-systeem nog niet bij alle luchtvaartmaatschappijen uitvoerbaar is. Zolang de desbetreffende luchtvaartmaatschappijen nog niet in staat zijn gegevens zelf over te dragen, houden de Amerikaanse autoriteiten rechtstreeks toegang tot die gegevens.
Gegevens worden 72 uur voor vertrek doorgegeven; om eerdere doorgifte kan in bijzondere gevallen worden gevraagd als er aanwijzingen zijn voor een specifieke dreiging voor één of meer specifieke vluchten of vluchtroute. De Werkgroep acht dit in zijn advies onvoldoende bepaald. Het is echter ondoenlijk dit meer precies te regelen. Om rekening te kunnen houden met onverwachte gebeurtenissen moet een dergelijk systeem enige flexibiliteit bevatten.
Enkele maatschappijen, waaronder KLM, pushende gegevens nu al naar de Verenigde Staten. KLM zal te zijner tijd (vermoedelijk niet eerder dan medio 2008) echter overstappen van het eigen reserveringssysteem naar het ook door Air France gebruikte Global Reservation System «Amadeus» (ook in gebruik bij onder andere British Airways en Lufthansa). In het Amadeus Systeem is de push-faciliteit op het moment van schrijven nog niet beschikbaar. Dat systeem zal dus moeten worden aangepast. Het Cbp meent dat een stappenplan ontbreekt voor die aanpassing. Voor luchtvaartmaatschappijen die de overstap nog moeten maken biedt DHS echter samenwerking aan bij de inbouw van de overeengekomen faciliteit. Ondergetekenden achten dit een passend gebaar.
6.7 Wederkerigheid van de PNR-Overeenkomst 2007
Het uitgangspunt van de PNR-Overeenkomst 2007 is wederkerigheid. Punt 5 van de PNR-Overeenkomst 2007 en paragraaf IX van de DHS-brief bepalen in dat verband dat DHS in elk geval niet verwacht dat de EU een lager niveau van gegevensbescherming in een Europees systeem voor de uitwisseling van passagiersgegevens vaststelt. DHS draagt er dan zorg voor dat Amerikaanse luchtvaartmaatschappijen worden gestimuleerd zich te conformeren aan een EU-systeem.
Zou de EU een wezenlijk strenger regime toepassen, dan heeft DHS een opschortingsrecht en zal de Europese Commissie met DHS moeten overleggen over een oplossing.
De Werkgroep vreest in zijn advies dat dit mechanisme er toe kan leiden dat afbreuk wordt gedaan aan het traditioneel hoge beschermingsniveau voor passagiersgegevens. Ondergetekenden achten dit speculatief. De Europese Commissie heeft, na het totstandkomen van de PNR-Overeenkomst 2007, het voorstel voor een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden ingediend (COM (2007) 654 def i.). Dit voorstel houdt in dat luchtvaartmaatschappijen die vluchten naar de Euro-
pese Unie uitvoeren verplicht worden de gegevens van de passagiers op deze vluchten door te geven aan een Passenger Information Unit (PIU) van de lidstaat van bestemming. De PIU houdt deze gegevens onder zich, analyseert ze op risico’s, en geeft deze zo nodig door aan de bevoegde autoriteiten in eigen land, of, desgevraagd, aan de PIU’s van andere lidstaten. Dit voorstel bevat tevens de nodige regels ten behoeve van de bescherming van de persoonlijke levenssfeer.
Dit alles betekent dat de Europese Unie te zijner tijd dezelfde, althans sterk vergelijkbare verplichtingen gaat opleggen aan luchtvaartmaatschappijen die vluchten naar de Europese Unie gaan uitvoeren. Daartoe behoren ook Amerikaanse luchtvaartmaatschappijen. Nederland is principieel voorstander van deze gedachte. Daarbij spelen overwegingen van reciprociteit een rol. De voornaamste reden om een dergelijk systeem in te voeren blijft echter de noodzaak tot bestrijding van terrorisme en grensoverschrijdende crminaliteit. Hoewel de discussie over de grondslagen én de uitwerking van de bescherming van persoonsgegevens in het komende kaderbesluit nog één van de vele onderwerpen is waarover nog intensief wordt gesproken in Europees verband, is er geen reden om aan te nemen dat de rechten op bescherming van persoonsgegevens van passagiers die de Europese Unie als bestemming hebben minder vergaand zouden zijn gewaarborgd dan in de Verenigde Staten het geval is.
6.8 Evaluatie
Een stevige evaluatiebepaling was een expliciete wens van de Europese Unie en in het bijzonder van de Nederlandse regering. Ook de interimovereenkomst 2006 kende een bepaling met betrekking tot de gezamenlijke evaluatie van de interim-overeenkomst 2006, maar de looptijd van de interim-overeenkomst was te kort voor de uitvoering hiervan. Het voorzitterschap en de Commissie hebben reeds aangekondigd bij de totstandkoming van de PNR-Overeenkomst 2007 dat de Commissie in het najaar van 2007 voorstellen zal presenteren die adequate monitoring van de implementatie van de PNR-Overeenkomst 2007 mogelijk moeten maken. Zodoende is in paragraaf X van de DHS-brief een evaluatiebepaling opgenomen.
De Europees Commissaris voor Justitie Vrijheid en Veiligheid is, samen met de Amerikaanse Secretary of Homeland Security verantwoordelijk voor het inrichten van deze evaluatie.
De Commissaris heeft tijdens een plenaire zitting van het Europees Parlement op 9 juli 2007 overigens aangegeven dat met het opzetten van de evaluatie reeds een aanvang is gemaakt en dat in de evaluatie in ieder geval die punten zullen moeten worden meegenomen, welke bij de lidstaten tot de meeste zorg aanleiding geven. In het voorgaande is al aangegeven ten aanzien van welke punten Nederland meent dat een nadere concretisering in de evaluatie en uitwerking nodig is. Samenvattend betreft het:
-
•nadere concretisering van twee aanvullende doelomschrijvingen;
-
•nadere concretisering van de noodsituatie bij de verwerking van bijzondere persoonsgegevens;
-
•nadere concretisering in welke uitzonderlijke gevallen en onder welke strikte voorwaarden niet-operationele («slapende») gegevens toegankelijk zijn;
-
•in welke gevallen sprake is van «noodsituaties» bij de doorgifte aan derde landen;
-
•op welke wijze de informatievoorziening aan het publiek over passagiersgegevens vorm zal worden verbeterd, en,
-
•een duidelijke opsomming van de bepalingen van de precisering van de Amerikaanse privacywetgeving waarop EU-burgers een beroep kunnen doen.
Nederland verwacht van de Europese Commissie bovendien dat ook nadere invulling wordt gegeven aan de procedurele aspecten van de evaluatiebepaling. Te denken valt aan:
-
•meerdere toetsmomenten, bijvoorbeeld in de vorm van een mid-term review;
-
•betrokkenheid van Europese of nationale privacytoezichthouders.
6.9 Looptijd en opzegging
De PNR-Overeenkomst 2007 heeft een looptijd van zeven jaar, gerekend vanaf de datum van ondertekening (punt 9 van de PNR-Overeenkomst 2007). De Europese Unie streefde ernaar, conform de hierboven uiteengezette tweesporenbenadering, om door middel van de PNR-Overeenkomst 2007 een lange periode van rechtszekerheid voor passagiers en luchtvaartmaatschappijen te bewerkstelligen. De doelstelling van een looptijd van zeven jaar voor de PNR-Overeenkomst 2007 was om deze reden dan ook expliciet vastgelegd in het EU-onderhandelingsmandaat (Kamerstukken II 2006/07, 30 861, nr. 4).
Punt 8 van de PNR-Overeenkomst 2007 geeft beide partijen, dus ook de Europese Unie, het recht de PNR-Overeenkomst 2007 op te zeggen indien de desbetreffende partij vaststelt dat de ander inbreuk maakt op de PNR-Overeenkomst 2007. De Unie heeft dan ook het recht de vaststelling te herroepen dat de PNR-Overeenkomst 2007 een passend niveau van gegevensbescherming biedt.
-
7.De verhouding van de PNR-Overeenkomst 2007 tot het recht op bescherming van persoonsgegevens
Het doorgeven van passagiersgegevens door luchtvaartmaatschappijen vanuit Nederland naar de Verenigde Staten roept de vraag op hoe de PNR-Overeenkomst 2007 zich verhoudt tot het recht op bescherming van persoonsgegevens. Dit recht vormt een onderdeel van het meer omvattende recht op eerbiediging van het privéleven, neergelegd in artikel 8, eerste lid, van het Verdrag tot bescherming van de Rechten van de Mens en de fundamentele vrijheden (EVRM) en het recht op eerbiediging van de persoonlijke levenssfeer van artikel 10, eerste lid, van de Grondwet. In het onderstaande wordt achtereenvolgens in gegaan op de verhouding van de PNR-Overeenkomst 2007 tot artikel 8 van het EVRM, tot artikel 10, eerste lid, van de Grondwet, tot het Dataprotectieverdrag van de Raad van Europa, tot de richtlijn en tenslotte tot de Wet bescherming persoonsgegevens.
7.1 Artikel 8 EVRM
Artikel 8, eerste lid, EVRM beschermt het recht op respectvoor het privéleven. Dit recht is evenwel niet absoluut. Ingevolge het tweede lid van artikel 8 EVRM is een inmenging in de uitoefening van dit recht slechts gerechtvaardigd, wanneer de inmenging bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.
De eis dat de inmenging «bij de wet is voorzien» houdt in dat sprake is van een wettelijke basis, en dat die basis voor de burger voldoende toegankelijk en voorzienbaar is. De wettelijke regeling dient bovendien afdoende waarborgen te bevatten teneinde willekeur en misbruik te vermijden. Een inmenging is noodzakelijk, wanneer sprake is van een dringende maatschappelijke behoefte (pressing social need) daartoe. Voorts dient te zijn voldaan aan de voorwaarde van proportionaliteit (er
dient een redelijke verhouding te bestaan tussen de ernst van de inbreuk en de zwaarte van het belang dat met de inbreuk wordt gediend). Toetsing aan deze eisen levert het volgende beeld op. De omstandigheid dat passagiersgegevens door een luchtvaartmaatschappij aan de Amerikaanse autoriteiten worden overgedragen kan, wanneer dit buiten toestemming van de betrokkene plaatsvindt, worden aangemerkt als een inmenging op het recht op respect voor het privéleven. Een dergelijke inmenging moet bij de wet zijn voorzien. Het is daartoe niet noodzakelijk dat deze in Nederland in een formeel-wettelijke regeling is neergelegd, al wordt aan die eis wel voldaan wanneer het onderhavige wetsvoorstel tot wet zal zijn verheven. Wat betreft de eis van toegankelijkheid geldt dat de PNR-Overeenkomst 2007 is bekendgemaakt in de daarvoor aangewezen bekendmakingsbladen. Ook het onderhavige wetsvoorstel en de daarop betrekking hebbende stukken worden behoorlijk bekendgemaakt. Aan de eis van toegankelijkheid is dan ook voldaan. Wat betreft de eis van voorzienbaarheid, geldt dat de PNR-Overeenkomst 2007 de betrokkene een voldoende duidelijk beeld geeft van de soorten gegevens die worden doorgegeven en de omstandigheden waaronder deze worden verwerkt. De PNR-Overeenkomst 2007 bevat weliswaar een aantal open formuleringen, echter ten aanzien van het voorzienbaarheids-vereiste dient te worden bedacht dat het Europees Hof voor de Rechten van de Mens (EHRM) heeft erkend dat het vrijwel ondoenlijk is voor ieder concreet geval de norm zo precies te formuleren dat deze geheel is toegesneden op het desbetreffende geval. Daarom is het onvermijdelijk dat het nationale recht een zekere discretionaire bevoegdheid overlaat aan de rechter of de uitvoerende macht (bijvoorbeeld EHRM, 25 maart 1983, Silver e.a. tegen het Verenigd Koninkrijk, Serie A-61). De PNR-Overeen-komst 2007 bevat bovendien de in paragraaf 6 van deze memorie uitgebreid behandelde waarborgen. Aan de eis dat die inmenging bij de wet is voorzien is daarmee voldaan.
Wat betreft het doel van de inmenging, geldt dat de PNR-Overeenkomst 2007 noodzakelijk is in het belang van de nationale veiligheid, het voorkomen van strafbare feiten en de bescherming van de rechten en vrijheden van anderen.
De noodzaak om op te treden tegen de dreiging van de zijde van terroristische en criminele groeperingen kan worden beschouwd als een pressing social need. De uitwisseling van informatie is een essentieel onderdeel van de bestrijding van terrorisme en grensoverschrijdende criminaliteit en het gebruik van passagiersgegevens is in dit verband een belangrijk instrument. Bij de eis dat de inmenging noodzakelijk moet zijn in een democratische samenleving geldt voorts een eigen beoordelingsruimte voor de lidstaten. Volgens vaste rechtspraak van het EHRM (bijvoorbeeld EHRM 28 oktober 1994, Murray tegen het Verenigd Koninkrijk, appl. no. 14310, NJ 1995, 509) komt aan staten ingeval van maatregelen die betrekking hebben op de nationale veiligheid een grotere beoordelingsmarge toe bij de beoordeling of sprake is van een redelijke verhouding tussen de ernst van de inbreuk op het in artikel 8 gegarandeerde recht en de zwaarte van het belang dat met de inbreuk wordt gediend. In dit verband is tevens van belang dat het EVRM een living instrumentis, dat door het EHRM naar present day conditionswordt uitgelegd.
Daarnaast dient bedacht te worden dat ook (preventieve) maatregelen in de strijd tegen het terrorisme een zekere mensenrechtelijke status genieten. Het EHRM heeft in zijn jurisprudentie aanvaard dat staten op basis van artikel 2 van het EVRM verplicht zijn alle redelijke (preventieve) maatregelen te nemen teneinde het leven van hun ingezetenen tegen levensbedreigende situaties te beschermen (zie EHRM 28 oktober 1998, Osman t. Verenigd Koninkrijk, Reports 1998, 3124). Een soortgelijke overweging is te vinden in de op 11 juli 2002 door het Comité van Ministers van de Raad van Europa aanvaarde Guidelines on human rights and the fight against terrorism.
Het bieden van veiligheid is een kerntaak van de overheid. Verschillende maatregelen die het belang van de veiligheid dienen maken echter een inbreuk op het recht op bescherming van de persoonlijke levenssfeer. Voor de bestrijding van vormen van criminaliteit, als terrorisme, waarbij geen enkel respect wordt getoond voor de integriteit van de persoon en het menselijk lichaam, is het juist omwille van het recht op bescherming van de persoonlijke levenssfeer noodzakelijk dat aan het recht op privacy niet onverkort kan worden vastgehouden. Gelet op de aldus omschreven vérstrekkende doeleinden, die de overheid verplicht is na te streven, zijn de maatregelen vervat in de PNR-Overeenkomst 2007 (in essentie: de overdracht van gegevens onder gelijktijdige vaststelling van een aantal waarborgen voor de bescherming van de persoonlijke levenssfeer) voldoende proportioneel.
Ondergetekenden zijn daarmee van oordeel dat de PNR-Overeenkomst 2007 voldoet aan de eisen, voortvloeiend uit artikel 8 EVRM.
7.2 Artikel 10, eerste lid, van de Grondwet
Veel van hetgeen in paragraaf 7.1 gesteld is ten aanzien van de verhouding van de PNR-Overeenkomst 2007 tot artikel 8 EVRM is toepasbaar op de verhouding van de PNR-Overeenkomst 2007 tot artikel 10, eerste lid, van de Grondwet. Voor zover de omstandigheid dat passagiersgegevens door een luchtvaartmaatschappij aan de Amerikaanse autoriteiten worden overgedragen zonodig buiten toestemming van de betrokkene plaatsvindt, moet die verstrekking worden aangemerkt als een inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer. Ingevolge artikel 10, eerste lid, van de Grondwet is een beperking van dat recht slechts mogelijk is bij of krachtens de wet.
Op grond van artikel 8, onder f, van de Wet bescherming persoonsgegevens mogen persoonsgegevens slechts worden verwerkt indien de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
Voor de verstrekking van passagiersgegevens aan de Amerikaanse autoriteiten geldt dat de twee zwaarwegende belangen, van, respectievelijk, een groep van verantwoordelijken en een derde in het geding zijn. De desbetreffende luchtvaartmaatschappijen hebben een evident zwaarwegend belang bij de doorgifte van passagiersgegevens aan de Verenigde Staten. Leveren zij deze niet, dan zijn zij in principe blootgesteld aan sanctie-maatregelen van Amerikaanse zijde. Daarnaast is er een zwaarwegend belang van de Verenigde Staten, en uiteindelijk ook de Europese Unie, om in het kader van de bestrijding van het terrorisme passagiersgegevens te ontvangen en te analyseren. Daartegenover staan de fundamentele rechten en vrijheden van de betrokkenen, waaronder in de eerste plaats het recht op bescherming van de persoonlijke levenssfeer. Ook hier geldt dat maatregelen die worden genomen ter bescherming tegen het terrorisme niet uitsluitend kunnen worden aangemerkt als inbreuken op fundamentele rechten, maar die rechten, en dan met name het recht op leven en het recht op veiligheid, ook beschermen. Dat dit gepaard gaat met een zekere beperking van het recht op bescherming van de persoonlijke levenssfeer is onder de geldende omstandigheden onvermijdelijk. De afweging die artikel 8, onder f, van de Wet bescherming persoonsgegevens vergt, levert onder deze omstandigheden op dat de belangen van de desbetreffende verantwoordelijken en derden het zwaarst wegen. Daarmee is voldaan aan de eisen die voortvloeien uit artikel 10, eerste lid, van de Grondwet.
7.3 Dataprotectieverdrag
Artikel 6 van het op 28 januari 1981 te Straatsburg totstandgekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7) (hierna: Data-protectieverdrag) bevat een regeling met betrekking tot de verwerking van persoonsgegevens waaruit een godsdienstige of andere levensbeschouwing blijkt, alsmede persoonsgegevens welke betrekking hebben op de gezondheid. Artikel 9, tweede lid, van het Dataprotectieverdrag staat een uitzondering op het verbod deze gegevens te verwerken toe indien de wet van de verdragsluitende partij daarin voorziet en het een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van, onder meer, de veiligheid van de staat, de openbare veiligheid, de bestrijding van strafbare feiten, de bescherming van de betrokkene en van de rechten en vrijheden van anderen.
Uit vorenbedoelde verdragsbepalingen vloeit voort dat de wetgeving in Nederland die toestaat dat persoonsgegevens betreffende de godsdienst of levensbeschouwing kunnen worden verwerkt, behoort te voldoen aan de eisen van artikel 9, tweede lid, van het Dataprotectieverdrag. Een en ander is geregeld in artikel 23 van de Wet bescherming persoonsgegevens. Deze bepaling maakt het mogelijk dergelijke gegevens te verwerken indien betrokkene daarvoor toestemming heeft gegeven, of wanneer dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald, of het Cbp daarvoor ontheffing heeft verleend.
Ingevolge artikel 2, eerste lid, van het op 8 november 2001 te Straatsburg totstandgekomen Aanvullend Protocol bij het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens inzake toezichthoudende autoriteiten en het grensoverschrijdende verkeer van gegevens (Trb. 2003, 122) bepaalt elke Partij dat de doorgifte van persoonsgegevens naar een ontvanger die valt onder de rechtsmacht van een staat of organisatie die geen Partij is bij het Verdrag uitsluitend kan plaatsvinden wanneer die staat of organisatie een passend niveau van bescherming waarborgt voor de beoogde gegevensoverdracht. Ingevolge het tweede lid van genoemd artikel kan elke Partij de overdracht van persoonsgegevens toestaan in afwijking van het eerste lid indien: a. het nationale recht daarin voorziet vanwege de bijzondere belangen van de betrokkene, of rechtmatige prevalerende belangen, in het bijzonder belangrijke algemene belangen, of b. indien de houder die verantwoordelijk is voor de overdracht voorziet in waarborgen die met name kunnen voortvloeien uit contractuele bepalingen en deze voldoende worden geacht door de bevoegde autoriteiten overeenkomstig het nationale recht. Voor Nederland is dit Protocol in werking getreden op 1 januari 2005. Uit de toelichtende nota, ingediend door de regering ter gelegenheid van de goedkeuring van het Protocol (Kamerstukken I/II 2003/04, 29 580, nr. 2) blijkt dat in Nederland door de wetgever uitvoering is gegeven aan het Protocol door middel van vaststelling van de artikelen 76 en 77 van de Wet bescherming persoonsgegevens. Het Dataprotectieverdrag en het Protocol richten zich tot staten. Beide documenten bevatten geen bepalingen die verbindend zijn voor eenieder. Zij verplichten wel tot het vaststellen van de noodzakelijke met het verdragsrecht overeenkomende bepalingen van nationaal recht. Een toetsing van de PNR-Overeenkomst 2007 aan de normen van het Verdrag dient dus plaats te vinden door middel van een toetsing aan de artikelen 23, 76 en 77 van de Wet bescherming persoonsgegevens. Voor die toets wordt verwezen naar paragraaf 7.5.
In paragraaf 4.2 is reeds ingegaan op de uitspraak van het Hof van Justitie van de Europese Gemeenschappen over de rechtsgrondslag van de overeenkomst van 2004. Het Hof overwoog dat artikel 95 van het EG-verdrag, gelezen in samenhang met artikel 25 van de richtlijn geen grondslag kon vormen voor de overeenkomst van 2004. De PNR-Overeenkomst 2007 is dan ook gebaseerd op de artikelen 24 en 38 van het Verdrag betreffende de oprichting van de Europese Unie. Hieruit volgt dat de richtlijn rechtstreekse toepassing mist op hetgeen in de PNR-Overeenkomst 2007 is geregeld. Dit neemt echter niet weg dat aan de normen van de richtlijn nog wel een zekere reflexwerking kan worden toegekend, bijvoorbeeld bij de interpretatie van een begrip als «passend niveau van bescherming». Een argument daarvoor kan worden ontleend aan overweging 6 van, alsmede aan de aan besluit nr. 2007/551 i/GBVB/JBZ van de Raad van de Europese Unie gehechte verklaring, waarin te lezen valt dat de PNR-Overeenkomst 2007 geen afwijking of wijziging van de wetgeving van de EU of haar lidstaten inhoudt. Een redelijke uitleg van die overweging en verklaring is dat de PNR-Overeenkomst 2007 geen afbreuk doet aan hetgeen in de eerste pijler tot stand is gebracht in de vorm van de richtlijn en de daarbij behorende implementatiewetgeving, en dat de overeenkomst daarnaast staat en niet in de plaats treedt van de richtlijn.
7.5 De verhouding van de PNR-Overeenkomst 2007 tot de Wet bescherming persoonsgegevens
De Wet bescherming persoonsgegevens (Wbp) bevat een algemene regeling met betrekking tot verwerking van persoonsgegevens. Doorgifte van passagiersgegevens door luchtvaartmaatschappijen aan de Amerikaanse autoriteiten valt aan te merken als een vorm van verwerking van persoonsgegevens waarop de wet het oog heeft. Beoordeeld zal dus moeten worden of, en indien dit zo is, in hoeverre deze wettelijke bepalingen nog betekenis hebben naast de PNR-Overeenkomst 2007. Om die vragen te beantwoorden zal allereerst moeten worden ingegaan op het rechtskarakter van de PNR-Overeenkomst 2007. Uit meergenoemd arrest van het Hof van Justitie van de Europese Gemeenschappen kan naar het oordeel van ondergetekenden in elk geval de duidelijke conclusie worden getrokken dat de gehele materie van de overdracht van passagiersgegevens geen zaak is van Gemeenschapsrecht (eerste pijler), maar van Unierecht (in dit geval: derde pijler). Dit heeft tot gevolg gehad dat de Europese Unie zijn toevlucht heeft gezocht tot de artikelen 24 en 38 van het Verdrag betreffende de oprichting van de Europese Unie. Artikel 24, vijfde lid, van dit verdrag legt, wat de bevoegdheid van de Unie tot het sluiten van verdragen betreft, het zwaartepunt in de besluitvorming uiteindelijk bij de lidstaten. Dit gegeven brengt met zich dat de PNR-Overeenkomst 2007 niet kan worden aangemerkt als een verdrag dat onderdeel vormt van de communautaire rechtsorde, die immers als geheel boven die van de lidstaten voorrang heeft. Dat heeft tot gevolg dat de verhouding tussen de PNR-Overeenkomst 2007 en de Wbp mede wordt beheerst door artikel 94 van de Grondwet. Ingevolge deze bepaling vinden binnen het Koninkrijk geldende wettelijke voorschriften geen toepassing, indien deze toepassing niet verenigbaar is met eenieder verbindende bepalingen van verdragen en besluiten van volkenrechtelijke organisaties.
De PNR-Overeenkomst 2007 schept of verleent blijkens de slot-overwegingen boven de ondertekening geen rechten of voordelen voor enige andere particuliere of openbare persoon of entiteit dan de verdragsluitende partijen. Wat de Europese Unie betreft, deze dient ingevolge onderdeel 1 van de PNR-Overeenkomst 2007 er voor zorg te dragen dat de luchtvaartmaatschappijen die internationale passagiersvluchten van of
naar de Verenigde Staten uitvoeren die gegevens beschikbaar stellen. De Europese Unie heeft voor de nakoming van deze verplichting niet gekozen om andere instrumenten dan de PNR-Overeenkomst in te zetten. Het komt er dan op neer dat de Unie via de bevoegde wetgevers van de lidstaten moet handelen om die verplichting na te komen. Nu daarmee de Nederlandse wetgever in beeld komt, leidt dit tot de conclusie dat de PNR-Overeenkomst 2007 niet kan worden aangemerkt als een verdrag dat eenieder verbindende bepalingen bevat.
Wat de opdracht aan de Nederlandse wetgever betreft, menen ondergetekenden dat er op zichzelf genomen geen noodzaak is om hetzij in de Wbp, hetzij in een andere wettelijke regeling uitdrukkelijk te regelen dat luchtvaartmaatschappijen ter uitvoering van de PNR-Overeenkomst 2007 verplicht zijn passagiersgegevens te leveren aan de Amerikaanse autoriteiten. De artikelen 8 en 23, eerste lid, van de Wbp vormen reeds een afdoende grondslag voor de rechtvaardiging van de gegevensverstrekking. Op de betekenis van artikel 8, onder f, van de Wbp is in paragraaf 7.2 reeds ingegaan. Op de betekenis van artikel 23 van de Wbp is in paragraaf 7.3 reeds ingegaan. Voor zover er bij de verwerking van passagiersgegevens verwerking van bijzondere persoonsgegevens plaatsvindt, wordt het verwerkingsverbod van artikel 16 Wbp in vrijwel alle gevallen doorbroken door de uitdrukkelijke toestemming van de betrokkene daartoe (artikelen 13, eerste lid, onder a, en 23, onder a, Wbp). De in paragraaf 6.4.4 beschreven transparantiemaatregelen zijn hiervoor van bijzondere betekenis, aangezien deze de betrokkene in staat stellen zich bewust te worden van de draagwijdte van zijn toestemming. Voor het overige kan de luchtvaartmaatschappij zich beroepen op artikel 23, eerste lid, onder e, Wbp, aangezien de luchtvaartmaatschappij de gegevens in een zwaarwegend algemeen belang ter beschikking stelt, er in de PNR-Overeenkomst 2007 voldoende passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit overigens bij de wet is bepaald. De wettelijke grondslag daartoe ontbreekt thans evenwel, zodat daarin afzonderlijk wordt voorzien. Aparte aandacht verdient verder artikel 76 van de Wet bescherming persoonsgegevens. Ingevolge artikel 76, eerste lid, van de Wet bescherming persoonsgegevens worden persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na hun doorgifte te worden verwerkt, slechts naar een land buiten de Europese Unie doorgegeven indien, onverminderd de naleving van de wet, dat land een passend beschermingsniveau waarborgt. Op grond van het tweede lid van deze bepaling wordt het passend karakter van het beschermingsniveau beoordeeld gelet op de omstandigheden die op de doorgifte van gegevens of op een categorie van gegevensdoorgiften van invloed zijn. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde of de doeleinden en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële regels die in het betrokken derde land gelden, alsmede de regels van het beroepsleven en de veiligheidsmaatregelen die in die landen worden nageleefd.
Deze bepaling richt zich, blijkens de parlementaire geschiedenis, primair tot de verantwoordelijke (Kamerstukken II 1997/98, 25 892, nr. 3, blz. 193). Die zal dus moeten vaststellen of er sprake is van een passend beschermingsniveau.
Echter, artikel 78, tweede lid, onder b, van de Wbp opent de mogelijkheid om bij regeling van de Minister van Justitie te bepalen dat een land buiten de Unie geacht wordt een passend beschermingsniveau te waarborgen, indien zulks voortvloeit uit een besluit van de Commissie van de Europese Gemeenschappen of de Raad van de Europese Unie. Gelet op de omstandigheid dat de Raad van de Europese Unie in het besluit nr. 2007/551 i/ GBVB/JBZ een dergelijk beslissing materieel heeft genomen, ligt toepassing van artikel 78, tweede lid, onder b, van de Wbp in de rede. Weliswaar
is bij de totstandkoming van de Wbp niet voorzien dat dit artikelonderdeel ook toepassing kon vinden buiten het regime van richtlijn, maar er is geen reden om aan te nemen dat een dergelijke toepassing niet mogelijk is. De vaststelling van het passend beschermingsniveau conform de PNR-Overeenkomst 2007 derogeert overigens aan de vaststelling conform het Dataprotectieverdrag. Dit is gerechtvaardigd gelet op de specifieke doeleinden van de PNR-Overeenkomst 2007, de daarbij betrokken partijen en de betrokken gegevens.
-
8.Koninkrijkspositie
De PNR-Overeenkomst 2007 heeft betrekking op luchtvaartmaatschappijen die zich op het grondgebied van de Europese Unie bevinden en internationale passagiersvluchten van of naar de Verenigde Staten uitvoeren. Om die reden zal, wat het Koninkrijk der Nederlanden betreft, de PNR-Overeenkomst 2007 uitsluitend voor Nederland gelden.
De minister van Justitie, E. M. H. Hirsch Ballin
De minister van Buitenlandse Zaken, M. J .M. Verhagen