29.12.2010   

NL

Publicatieblad van de Europese Unie

C 355/16

1.

Op 20 juli 2010 heeft de Commissie een mededeling goedgekeurd, getiteld „Overzicht van het informatiebeheer op het gebied van vrijheid, veiligheid en recht” (hierna aangeduid als: „de mededeling”) (3). De mededeling werd de Europese Toezichthouder voor Gegevensbescherming (hierna: „EDPS”) toegestuurd voor advies.

2.

De EDPS is ingenomen met het feit dat hij door de Commissie is geraadpleegd. Reeds voor de goedkeuring van de mededeling werd de EDPS in de gelegenheid gesteld informele opmerkingen te maken. Tal van deze opmerkingen zijn opgenomen in de definitieve versie van dit advies.

3.

De EDPS is verheugd dat de Commissie zich in haar mededeling ten doel stelt om „voor het eerst een volledig overzicht (te geven) van alle EU-maatregelen op het gebied van de verzameling, de opslag en de grensoverschrijdende uitwisseling van persoonsgegevens met het oog op rechtshandhaving en migratiebeheer die al zijn ingevoerd, die nu worden ingevoerd of waarover wordt gesproken” (4). Het document is ook bedoeld om burgers inzicht te bieden in welke gegevens er over hen worden verzameld, opgeslagen of uitgewisseld, voor welk doel dat gebeurt en door wie. Volgens de Commissie kan de mededeling tevens als referentiekader dienen voor betrokkenen die zich willen mengen in de discussie over de toekomstige koers van het EU-beleid op dit gebied. Op die manier moet de mededeling een bijdrage leveren aan een beleidsdialoog tussen goed geïnformeerde belanghebbenden.

4.

Concreet wordt met de mededeling beoogd een beschrijving te geven van het belangrijkste doel van de desbetreffende instrumenten, de structuur, de soorten persoonsgegevens die worden verwerkt, „de lijst van autoriteiten die toegang hebben tot de gegevens” (5) en de bepalingen die de gegevensbescherming en — bewaring regelen. Daarnaast bevat bijlage I een beperkt aantal voorbeelden dat laat zien hoe deze instrumenten in de praktijk werken.

5.

Voorts worden in het document de algemene beginselen („materiële beginselen” en „procesgerichte beginselen”) geschetst die de Commissie voornemens is te hanteren bij de toekomstige ontwikkeling van instrumenten voor het verzamelen, opslaan of uitwisselen van gegevens. Onder de rubriek „materiële beginselen” noemt de Commissie beginselen als de waarborging van de grondrechten, in het bijzonder het recht op privacy- en gegevensbescherming, noodzakelijkheid, subsidiariteit en gericht risicobeheer. Tot de „procesgerichte beginselen” behoren kosteneffectiviteit, bottom-up beleidsontwikkeling, een duidelijke verdeling van verantwoordelijkheden alsmede de invoeging van evaluatie- en vervalbepalingen.

6.

Volgens de Commissie zullen deze beginselen worden gehanteerd bij de evaluatie van de bestaande instrumenten. Door een dergelijke, op beginselen gebaseerde benadering te volgen moet het volgens de Commissie mogelijk zijn om de coherentie en effectiviteit van huidige en toekomstige instrumenten te verbeteren, onder volledige eerbiediging van de grondrechten van de burgers.

7.

De EDPS meent dat de mededeling een belangrijk document is dat een uitvoerig overzicht biedt van de bestaande en (eventuele) toekomstige instrumenten voor informatieuitwisseling op het gebied van vrijheid, veiligheid en recht. Het bevat een uitwerking van de punten 4.2.2 (Beheersen van de informatiestroom) en 5.1 (Geïntegreerd beheer van de buitengrenzen) van het Programma van Stockholm (6). Dit document zal een belangrijke rol spelen in de toekomstige ontwikkeling van dat gebied. Om die reden acht de EDPS het zinvol om opmerkingen te maken over de verschillende elementen van de mededeling, ondanks het feit dat de tekst van de mededeling zelf ongewijzigd zal blijven.

8.

De EDPS zal een aantal aanvullende beginselen uiteenzetten waarmee volgens hem rekening dient te worden gehouden bij de verdere ontwikkeling van het gebied van vrijheid, veiligheid en recht. In dit advies wordt een aantal beginselen toegelicht die reeds in het advies van de EDPS van 10 juli 2009 over de mededeling betreffende een ruimte van vrijheid, veiligheid en recht ten dienste van de burger (7) en in een reeks andere adviezen en opmerkingen werden opgevoerd. Tevens worden in dit advies standpunten uitgewerkt die de EDPS reeds bij eerdere gelegenheden heeft geformuleerd. In dit verband zij ook gewezen op het verslag over de toekomst van privacy, zoals goedgekeurd door de Groep van artikel 29 en de Groep politie en justitie op 1 december 2009. In dit verslag, dat een gezamenlijke bijdrage van die werkgroepen vormt tot het door de Europese Commissie gestarte raadplegingsproces inzake het rechtskader voor het grondrecht op de bescherming van persoonsgegevens en dat door de EDPS wordt onderschreven, worden belangrijke wenken voor de toekomst van de gegevensbescherming gegeven, die eveneens van toepassing zijn op de informatieuitwisseling op het gebied van politiële en justitiële samenwerking in strafzaken.

9.

De EDPS is verheugd over de mededeling, die een reactie vormt op het verzoek van de Europese Raad (8) om op EU-niveau instrumenten voor informatiebeheer te ontwikkelen in het kader van een EU-strategie voor het beheer van rechtshandhavingsinformatie en om na te denken over een Europees model voor informatieuitwisseling.

10.

Voorts stelt de EDPS vast dat de mededeling ook kan worden gelezen als reactie op het reeds genoemde programma van Stockholm, waarin wordt gepleit voor meer consistentie en een betere consolidering bij de ontwikkeling van de gegevensuitwisseling op het gebied van interne veiligheid in de EU. Meer specifiek wordt de Europese Commissie onder punt 4.2.2 van het programma van Stockholm verzocht na te gaan of er een Europees model voor informatieuitwisseling nodig is dat gebaseerd is op de evaluatie van de huidige instrumenten (met name het kader van Prüm en het zogeheten Zweedse kaderbesluit). Deze evaluaties moeten uitwijzen of die instrumenten volgens de opzet functioneren en voldoen aan de doelen van de informatiebeheersstrategie.

11.

In dit verband zij erop gewezen dat volgens het programma van Stockholm een stevige gegevensbeschermingsregeling de belangrijkste voorwaarde vormt voor een EU-strategie voor informatiebeheer. De sterke nadruk die op gegevensbescherming wordt gelegd, is volledig in lijn met het Verdrag van Lissabon dat, zoals reeds eerder opgemerkt, een algemene bepaling inzake gegevensbescherming bevat die voorziet in een langs gerechtelijke weg afdwingbaar recht op gegevensbescherming voor iedereen — ook voor onderdanen van derde landen — en die de Raad en het Europees Parlement ertoe verplicht een alomvattend kader voor gegevensbescherming vast te stellen.

12.

De EDPS is ook ingenomen met het feit dat de informatiebeheersstrategie voorschrijft dat nieuwe wetgevingsmaatregelen die de opslag en uitwisseling van persoonsgegevens toestaan, alleen mogen worden voorgesteld als de noodzaak daarvan concreet is aangetoond. De EDPS heeft in verschillende adviezen over wetgevingsvoorstellen op het gebied van vrijheid, veiligheid en recht voor een dergelijke benadering gepleit, bijvoorbeeld in de adviezen betreffende het Schengeninformatiesysteem van de tweede generatie (9), het verlenen van toegang aan rechtshandhavingsinstanties tot Eurodac (10), herschikking van de Eurodac- en de Dublin-verordening (11), de mededeling van de Commissie over het programma van Stockholm (12) en over PNR-gegevens (13).

13.

De verplichting om alle bestaande instrumenten inzake informatieuitwisseling te evalueren alvorens nieuwe voor te stellen, is essentieel, vooral in het licht van het feit dat het huidige wetgevingskader een onoverzichtelijke lappendeken van instrumenten en systemen vormt waarvan sommige pas onlangs zijn ingevoerd, zodat nog niet kan worden beoordeeld hoe effectief zij zijn, terwijl andere momenteel worden ingevoerd of nog in de pijplijn zitten.

14.

Daarom constateert de EDPS met tevredenheid dat de mededeling die evaluatie duidelijk koppelt aan andere stappen die de Commissie naar aanleiding van het programma van Stockholm heeft genomen om met een inventaris te komen en een evaluatie te maken van de instrumenten op dit gebied.

15.

In dit verband is de EDPS in het bijzonder ingenomen met het „information mapping”-project waartoe de Commissie in januari 2010 het initiatief heeft genomen en dat wordt uitgevoerd in nauwe samenwerking met het projectteam information mapping, dat is samengesteld uit vertegenwoordígers van de lidstaten van de EU en de EVA-staten, Europol, Eurojust, Frontex en de EDPS (14). Zoals zij in haar mededeling stelt, is de Commissie voornemens de resultaten van dat project nog in 2010 aan de Raad en het Europees Parlement voor te leggen. Als volgende stap is zij van plan om te komen met een mededeling over een Europees model voor informatieuitwisseling.

16.

Een duidelijke koppeling tussen de mededeling en het „information mapping”-project is volgens de EDPS toe te juichen, aangezien deze duidelijk met elkaar verband houden. Natuurlijk is het nog te vroeg om te kunnen beoordelen wat de resultaten van deze initiatieven en, meer algemeen, van de discussies over het Europees model voor informatieuitwisseling zullen zijn (tot dusver beschouwt de Commissie het „information mapping”-project slechts als „inventarisatie”). De EDPS zal deze werkzaamheden op de voet blijven volgen. In dit stadium wil hij echter alvast de aandacht vestigen op de noodzaak om voor synergie te zorgen en te voorkomen dat de conclusies van alle initiatieven die de Commissie in het kader van de discussies over het Europees model voor informatieuitwisseling heeft genomen, in verschillende richtingen wijzen.

17.

Bovendien wil de EDPS wijzen op de lopende herziening van het wetgevingskader voor gegevensbescherming en met name op het voornemen van de Commissie om met een alomvattend kader voor gegevensbescherming te komen, dat zich eveneens uitstrekt tot politiële en justitiële samenwerking in strafzaken.

18.

In dit verband constateert de EDPS dat de mededeling — onder het kopje „Waarborging van de grondrechten, in het bijzonder het recht op privacy- en gegevensbescherming” — verwijst naar artikel 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU), dat een rechtsgrondslag biedt voor de ontwikkeling van een dergelijke alomvattende gegevensbeschermingsregeling. Hij constateert in deze context ook dat in de mededeling wordt vermeld dat daarin geen analyse wordt gemaakt van de gegevensbeschermingsbepalingen van de instrumenten die worden besproken, omdat de Commissie momenteel op basis van het voornoemde artikel 16 al werkt aan een nieuw algemeen kader voor de bescherming van persoonsgegevens in de EU. Hij hoopt dat in dat kader een goed overzicht zal worden gegeven van de bestaande en mogelijk uiteenlopende gegevensbeschermingsregelingen en dat de Commissie haar verdere besluitvorming op dat overzicht zal baseren.

19.

Niet in de laatste plaats is de EDPS weliswaar ingenomen met de doelstellingen en de grote lijnen van de mededeling, maar vestigt hij tevens de aandacht op het feit dat dit document slechts als een eerste stap in het evaluatieproces dient te worden beschouwd en moet worden gevolgd door verdere concrete maatregelen die moeten uitmonden in een alomvattend, geïntegreerd en goed gestructureerd EU-beleid op het gebied van informatieuitwisseling en -beheer.

20.

In de tekst van de mededeling noemt de Commissie het beginsel van doelbinding een kernelement van de meeste instrumenten waarop deze mededeling betrekking heeft.

21.

De EDPS is verheugd over de nadruk die in de mededeling op het beginsel van doelbinding wordt gelegd. Volgens dit beginsel moet het doeleinde waarvoor persoonsgegevens worden vergaard, uiterlijk op het tijdstip waarop zij worden verzameld duidelijk worden gespecificeerd en mogen gegevens niet worden verwerkt voor doeleinden die onverenigbaar zijn met dat oorspronkelijk aangegeven doeleinde. Elke afwijking van het beginsel van doelbinding mag alleen in uitzonderlijke gevallen worden toegestaan en moet onderhevig zijn aan strenge voorwaarden en de nodige waarborgen van juridische, technische en andere aard.

22.

De EDPS betreurt evenwel dat dit fundamentele beginsel van de gegevensbescherming in de mededeling wordt beschreven als kernelement van de meeste (15) instrumenten waarop de mededeling betrekking heeft. Op bladzijde 25 van de mededeling wordt met betrekking tot SIS, SIS II en VIS gezegd: „Met uitzondering van deze gecentraliseerde informatiesystemen, lijkt doelbeperking een kernelement te zijn bij het uitwerken van EU-maatregelen op het gebied van informatiebeheer.”

23.

Deze formulering kan zodanig worden geïnterpreteerd dat dit beginsel niet in alle gevallen en niet voor alle systemen en instrumenten die betrekking hebben op informatieuitwisseling in de EU een fundamenteel punt van overweging is geweest. In dit verband constateert de EDPS dat uitzonderingen op en beperkingen van dit beginsel mogelijk zijn en noodzakelijk kunnen blijken, zoals wordt erkend in artikel 13 van Richtlijn 95/46/EG en artikel 3, lid 2, van Kaderbesluit 2008/977/JBZ (16). Toch moet er absoluut voor worden gezorgd dat elk nieuw instrument dat betrekking heeft op informatieuitwisseling in de EU, alleen wordt voorgesteld en goedgekeurd als naar behoren rekening is gehouden met het beginsel van doelbinding en dat mogelijke uitzonderingen op of beperkingen van dit beginsel alleen per geval en na zorgvuldige afweging worden vastgesteld. Deze overwegingen gelden ook voor SIS, SIS II en VIS.

24.

Elke andere handelwijze zou in strijd zijn met artikel 8 van het Handvest van de grondrechten van de Europese Unie, met de EU-wetgeving inzake gegevensbescherming (zoals Richtlijn 95/46/EG, Verordening (EG) nr. 45/2001 of Kaderbesluit 2008/977/JBZ) en met de rechtspraak van het Europees Hof voor de rechten van de mens. Niet-naleving van het beginsel van doelbinding kan ook tot een zogeheten functieverschuiving („function creep”) van die systemen leiden (17).

25.

In de mededeling wordt (op bladzijde 28) verwezen naar de voorwaarden die het Europees Hof voor de rechten van de mens in zijn jurisprudentie heeft gesteld met betrekking tot de „evenredigheidstest” en wordt verklaard dat de Commissie „bij alle toekomstige beleidsvoorstellen moet […] nagaan wat het verwachte effect is van het initiatief op het recht op privacy- en gegevensbescherming en aangeven waarom dit effect noodzakelijk is en waarom de voorgestelde oplossing evenredig is met het legitieme doel de interne veiligheid in de Europese Unie te handhaven, criminaliteit te voorkomen of de migratie te beheersen”.

26.

De EDPS is ingenomen met de hierboven aangehaalde verklaringen, aangezien hij bij herhaling heeft gewezen op het feit dat de eerbiediging van de beginselen van evenredigheid en noodzakelijkheid een beslissende rol moeten spelen in de besluitvorming over bestaande en nieuwe systemen waarmee persoonsgegevens worden verzameld en uitgewisseld. Wat de toekomst betreft, is de eerbiediging van die beginselen ook essentieel voor het huidige bezinningsproces over de vraag hoe de EU-strategie voor informatiebeheer en het Europees model voor informatieuitwisseling eruit moeten gaan zien.

27.

Tegen deze achtergrond is de EDPS verheugd dat de Commissie, in tegenstelling tot de door haar gebruikte formulering over het beginsel van doelbinding (zie de paragrafen 20 t/m 22 van dit advies), zich er met betrekking tot noodzakelijkheid toe verbindt alle toekomstige beleidsvoorstellen te evalueren wat betreft de effecten ervan voor het recht van de burger op persoonlijke levenssfeer en bescherming van persoonsgegevens.

28.

Dit gezegd zijnde, vestigt de EDPS de aandacht op het feit dat al deze voorwaarden met betrekking tot evenredigheid en noodzakelijkheid zijn ontleend aan de bestaande EU-wetgeving (met name het Handvest van de grondrechten, dat inmiddels deel uitmaakt van het primaire recht van de EU) en de gevestigde rechtspraak van het Europees Hof voor de rechten van de mens. Met andere woorden: de mededeling voegt hier geen nieuwe elementen aan toe. De EDPS is evenwel van oordeel dat de mededeling zich niet eenvoudig tot een herhaling van deze voorwaarden had mogen beperken, maar concrete maatregelen en mechanismen in het vooruitzicht had moeten stellen die waarborgen dat de beginselen van noodzakelijkheid en evenredigheid worden gerespecteerd en in acht worden genomen in alle voorstellen die van invloed zijn op de rechten van de burger. De beoordeling van het effect op de persoonlijke levenssfeer, die hieronder in de paragrafen 38 t/m 41 wordt besproken, zou hiervoor een geschikt instrument zijn. Een dergelijke beoordeling zou zich bovendien niet alleen moeten uitstrekken tot nieuwe voorstellen, maar ook tot de bestaande systemen en mechanismen.

29.

Daarnaast zou de EDPS bij deze gelegenheid willen benadrukken dat in de EU-strategie voor informatiebeheer op het punt van evenredigheid en noodzakelijkheid moet worden gezorgd voor de juiste balans tussen gegevensbescherming enerzijds en rechtshandhaving anderzijds. Een dergelijke balans betekent niet dat het gebruik van informatie die nodig is om misdrijven op te lossen, om redenen van gegevensbescherming onmogelijk wordt. Alle informatie die voor dit doeleinde noodzakelijk is, kan overeenkomstig de gegevensbeschermingsregels worden gebruikt (18).

30.

In het programma van Stockholm wordt verzocht om een objectieve en alomvattende evaluatie van alle instrumenten en systemen die betrekking hebben op informatieuitwisseling in de Europese Unie. Vanzelfsprekend staat de EDPS volledig achter deze benadering.

31.

Evenwel lijkt de mededeling in dit opzicht niet optimaal uitgebalanceerd. Het lijkt erop, althans waar het cijfers en statistieken betreft, dat daarin prioriteit wordt gegeven aan instrumenten die in de loop der jaren succesvol zijn gebleken en als „succesverhaal” worden beschouwd (bijvoorbeeld het aantal treffers in SIS en Eurodac). De EDPS twijfelt niet aan het succes van deze systemen als zodanig. Bij wijze van voorbeeld wil hij er echter op wijzen dat uit de activiteitenverslagen van de gemeenschappelijke controleautoriteit voor het SIS (19) blijkt dat in een significant aantal gevallen signaleringen in het SIS niet actueel waren, onjuist gespelde namen bevatten of anderszins foutief waren en als gevolg daarvan negatieve consequenties hadden (of hadden kunnen hebben) voor de betrokken personen. Informatie hierover ontbreekt in de mededeling.

32.

De EDPS adviseert de Commissie de in de mededeling gekozen benadering te heroverwegen. De EDPS stelt voor om in het kader van toekomstige werkzaamheden op het gebied van informatiebeheer ook tekortkomingen en zwakke punten van desbetreffende systemen aan te wijzen — en bijvoorbeeld het aantal personen aan te geven dat ten onrechte werd gearresteerd of anderszins hinder heeft ondervonden van een foute treffer in het systeem — om op die manier voor een behoorlijk evenwicht te zorgen.

33.

Zo stelt de EDPS bijvoorbeeld voor dat de gegevens over treffers in het SIS/Sirene (bijlage 1) worden aangevuld met een beschrijving van de inspanningen die de gemeenschappelijke controleautoriteit zich getroost om de betrouwbaarheid en juistheid van signaleringen te waarborgen.

34.

Als een van de „procesgerichte beginselen” die op de bladzijden 29 t/m 31 worden opgesomd, noemt de Commissie het beginsel van een „duidelijke verdeling van verantwoordelijkheden”, met name wat betreft de opzet van de beheerstructuur vanaf het beginstadium. In dit verband worden in de mededeling de problemen rond het SIS II-project en de toekomstige verantwoordelijkheden van het IT-agentschap genoemd.

35.

Bij deze gelegenheid wil de EDPS het belang benadrukken van het beginsel van „verantwoordingsplicht”, dat ook op het gebied van politiële en justitiële samenwerking in strafzaken dient te worden toegepast en een belangrijke rol behoort te spelen bij de uitwerking van het nieuwe, beter ontwikkelde EU-beleid inzake informatieuitwisseling en informatiebeheer. In de context van de toekomstige ontwikkeling van het Europese gegevensbeschermingskader is dit beginsel momenteel onderwerp van discussie als instrument om de voor de gegevensverwerking verantwoordelijken ertoe te bewegen het risico van niet-naleving van de regels te verminderen door de nodige mechanismen in te stellen voor een doeltreffende gegevensbescherming. Verantwoordingsplicht houdt in dat de voor de gegevensverwerking verantwoordelijken interne mechanismen en controlesystemen invoeren die de naleving van de voorschriften garanderen en die — bijvoorbeeld in de vorm van controleverslagen — bewijzen van naleving leveren aan externe belanghebbenden, met name toezichthoudende instanties (20). Ook in zijn adviezen over het VIS en SIS II van 2005 heeft EDPS de noodzaak van dergelijke maatregelen benadrukt.

36.

Op bladzijde 28 van de mededeling (onder de rubriek materiële beginselen: „Waarborging van de grondrechten, in het bijzonder het recht op privacy- en gegevensbescherming”) noemt de Commissie het concept „ingebouwde privacy”: „Nieuwe instrumenten waarin gebruik wordt gemaakt van informatietechnologie moeten worden ontwikkeld met „ingebouwde privacy” („privacy by design”)”.

37.

De EDPS is ingenomen met de verwijzing naar dit concept (21), dat momenteel zowel voor de particuliere als voor de overheidssector in het algemeen wordt ontwikkeld en ook een belangrijke rol moet gaan spelen op het gebied van politie en justitie (22).

38.

De EDPS is ervan overtuigd dat deze mededeling een goede gelegenheid biedt om stil te staan bij de vraag wat werkelijk onder een „beoordeling van de gevolgen voor de persoonlijke levenssfeer en de gegevensbeveiliging” (PIA) moet worden verstaan.

39.

De EDPS constateert dat dit aspect noch in de mededeling beschreven algemene richtsnoeren noch in de richtsnoeren voor effectbeoordeling (23) van de Commissie nader wordt uitgewerkt of tot een beleidsbeginsel wordt verheven.

40.

Derhalve beveelt de EDPS aan om voor toekomstige instrumenten een meer specifieke en grondige beoordeling van de gevolgen voor de persoonlijke levenssfeer en de gegevensbeveiliging uit te voeren, ofwel in de vorm van een aparte beoordeling of als onderdeel van de algemene effectbeoordeling inzake de grondrechten. Er moeten specifieke indicatoren en kenmerken worden geformuleerd om ervoor te zorgen dat elk voorstel dat een effect heeft op de bescherming van de persoonlijke levenssfeer en persoonsgegevens aan een diepgaande beschouwing wordt onderworpen. De EDPS stelt tevens voor aandacht aan deze kwestie te besteden in het kader van de lopende werkzaamheden met betrekking tot het alomvattende kader voor gegevensbescherming.

41.

Daarnaast zou het in dit verband van nut kunnen zijn om te verwijzen naar artikel 4 van de aanbeveling inzake RFID-toepassingen (24), waarin de Commissie de lidstaten aanspoort ervoor te zorgen dat de industrie, samen met de relevante belanghebbenden uit het maatschappelijke middenveld, een kader ontwikkelt voor effectbeoordeling op het gebied van persoonlijke levenssfeer en beveiliging. In de resolutie van Madrid, die in november 2009 werd aangenomen door de International Conference of Privacy and Data Protection Commissioners, werd er eveneens toe opgeroepen PIA's uit te voeren voorafgaand aan de invoering van nieuwe informatiesystemen en –technologieën voor de verwerking van persoonsgegevens en voorafgaand aan substantiële wijzigingen in bestaande verwerkingsprocessen.

42.

De EDPS stelt vast dat de mededeling niet specifiek ingaat op de belangrijke kwestie van de rechten van de betrokkenen, die een essentieel element van de gegevensbescherming vormen. Het is van cruciaal belang ervoor te zorgen dat bij alle systemen en instrumenten die betrekking hebben op informatieuitwisseling, de burgers steeds dezelfde rechten genieten wat betreft de manier waarop hun persoonsgegevens worden verwerkt. Weliswaar zijn voor vele systemen die in de mededeling worden genoemd, specifieke regels vastgesteld inzake de rechten van de betrokkenen, maar de verschillen tussen de systemen en instrumenten zijn op dit punt groot en lijken ongegrond.

43.

Derhalve verzoekt de EDPS de Commissie in de nabije toekomst meer aandacht te besteden aan de harmonisatie van de rechten van de betrokkenen in de EU.

44.

Weliswaar wordt het gebruik van biometrische gegevens door de Commissie verschillende malen genoemd (25), maar zij gaat niet nader in op het actuele fenomeen van een toenemend gebruik van biometrische gegevens in het kader van informatieuitwisseling in de EU, met name in grootschalige IT-systemen van de EU en andere instrumenten voor grensbeheer. Uit de mededeling kan noch worden opgemaakt hoe de Commissie in de toekomst voornemens is dit vraagstuk te behandelen, noch of zij aan een omvattend beleid ten aanzien van dit gebruik werkt. Dit valt te betreuren, aangezien het uit het oogpunt van gegevensbescherming om een uiterst belangrijke en gevoelige aangelegenheid gaat.

45.

In dit verband zou de EDPS erop willen wijzen dat hij bij tal van gelegenheden, in uiteenlopende fora en in verschillende adviezen (26) de risico’s heeft benadrukt die verbonden kunnen zijn aan de grote gevolgen van het gebruik van biometrische gegevens op de rechten van de burgers. Bij die gelegenheden heeft hij tevens voorgesteld om strenge waarborgen in te voeren voor het gebruik van biometrische gegevens in bepaalde instrumenten en systemen. Bovendien heeft de EDPS de aandacht gevestigd op een probleem met betrekking tot onnauwkeurigheden die inherent zijn aan het verzamelen en vergelijken van biometrische gegevens.

46.

Om deze redenen verzoekt de EDPS de Commissie bij deze gelegenheid om inzake het gebruik van biometrische gegevens op het gebied van vrijheid, veiligheid en recht een duidelijk en strikt beleid te ontwikkelen dat is gebaseerd op een grondige evaluatie en beoordeling per geval van de noodzaak om dergelijke gegevens te gebruiken en dat de fundamentele beginselen van gegevensbescherming zoals evenredigheid, noodzakelijkheid en doelbinding volledig in acht neemt.

47.

Bij een eerdere gelegenheid (27) heeft de EDPS reeds een aantal punten van zorg geformuleerd met betrekking tot het concept van interoperabiliteit. Onder meer kan de interoperabiliteit van systemen prikkels bieden om nieuwe doeleinden voor te stellen voor de toepassing van grootschalige IT-systemen die verder gaan dan het oorspronkelijk beoogde doeleinde en/of voor het gebruik van biometrische gegevens als primaire sleutel op dit gebied. Voor verschillende soorten interoperabiliteit zijn telkens specifieke waarborgen en voorwaarden vereist. De EDPS heeft in dit verband tevens benadrukt dat de gegevensbeschermingsbeginselen, en met name het beginsel van doelbinding, volledig in acht moeten worden genomen wanneer systemen interoperabel worden gemaakt.

48.

Tegen deze achtergrond constateert de EDPS dat de mededeling niet specifiek ingaat op de interoperabiliteit van systemen voor gegevensverwerking. De EDPS verzoekt de Commissie derhalve een beleid te ontwikkelen met betrekking tot dit essentiële aspect van informatieuitwisseling in de EU, waarmee rekening dient te worden gehouden in de evaluatie.

49.

De mededeling bevat een apart hoofdstuk over wetgevingsvoorstellen die in de toekomst door de Commissie moeten worden ingediend. Het gaat hierbij onder meer om een voorstel betreffende een programma voor geregistreerde reizigers en een voorstel voor een inreis/uitreis-systeem. De EDPS zou enkele opmerkingen willen maken over deze voorstellen waarover de Commissie, afgaande op de mededeling, reeds een beslissing lijkt te hebben genomen.

50.

Zoals onder paragraaf 3 van dit advies al werd uiteengezet, is de mededeling erop gericht „een volledig overzicht [te geven] van alle EU-maatregelen op het gebied van de verzameling, de opslag en de grensoverschrijdende uitwisseling van persoonsgegevens met het oog op rechtshandhaving en migratiebeheer”.

51.

De EDPS vraagt zich af wat het uiteindelijke doeleinde van het programma voor geregistreerde reizigers in dat verband zal zijn en op welke wijze het desbetreffende voorstel waarop de Commissie zich momenteel beraadt, gericht is op rechtshandhaving en migratiebeheer. Op bladzijde 23 van de mededeling verklaart de Commissie het volgende: „Dit programma zou bepaalde groepen frequente bezoekers uit derde landen de mogelijkheid bieden om […] via vereenvoudigde grenscontroles aan automatische poorten de EU binnen te komen”. De instrumenten lijken dus ten doel te hebben de inreis voor frequente bezoekers te vergemakkelijken. Deze instrumenten vertonen daarom geen (rechtstreeks of duidelijk) verband met rechtshandhaving of migratiebeheer.

52.

Met betrekking tot het toekomstige inreis/uitreis-systeem van de EU maakt de mededeling (op bladzijde 22) gewag van het probleem van personen die de toegestane verblijfsduur overschrijden, waarbij wordt vermeld dat deze „de grootste groep onregelmatige migranten in de EU vormen”. Dit laatste argument wordt aangegeven als reden waarom de Commissie heeft besloten een inreis/uitreis-systeem in te voeren voor onderdanen van derde landen die voor een kort verblijf van maximaal drie maanden naar de EU komen.

53.

Daarnaast vermeldt de Commissie dat „met een dergelijk systeem tijd en plaats van inreis en de toegestane verblijfsduur (zouden) worden geregistreerd en automatisch een signaal naar de bevoegde instanties (zou) worden gestuurd waarmee wordt aangegeven welke personen de toegestane verblijfsduur hebben overschreden. Het systeem zou met hetzelfde biometrische matchingsysteem en dezelfde apparatuur werken als SIS II en VIS”.

54.

De EDPS acht het van essentieel belang om de doelgroep van personen die de toegestane verblijfsduur overschrijden, door middel van een verwijzing naar een bestaande juridische definitie te specificeren of met behulp van betrouwbare cijfers en statistieken te verduidelijken. Dit is des te belangrijker in het licht van het feit dat alle berekeningen met betrekking tot het aantal personen dat de toegestane verblijfsduur in de EU overschrijdt, tot dusver uitsluitend op schattingen zijn gebaseerd. Gezien het feit dat het de EU ontbreekt aan een duidelijk en omvattend beleid ten aanzien van personen die de toegestane verblijfsduur overschrijden, dient tevens te worden verduidelijkt welke maatregelen jegens dergelijke personen zouden worden genomen wanneer zij door het systeem zijn geïdentificeerd.

55.

Voorts wekken de formuleringen in de mededeling de indruk dat de Commissie reeds heeft besloten het systeem in te voeren, terwijl in de mededeling aan de andere kant wordt gesteld dat de Commissie momenteel een effectbeoordeling verricht. De EDPS benadrukt dat de beslissing om een dergelijk complex systeem dat de persoonlijke levenssfeer kan aantasten, alleen mag worden genomen op basis van een specifieke effectbeoordeling waarin concrete bewijzen worden geleverd en gegevens worden verstrekt die inzichtelijk maken waarom een dergelijk systeem noodzakelijk is en waarom geen alternatieve oplossingen op basis van bestaande systemen denkbaar zijn.

56.

Tot slot zou dit toekomstige systeem, zoals blijkt uit de mededeling, zijn gekoppeld aan het biometrische matchingsysteem en de apparatuur van SIS II en VIS. Hierbij wordt evenwel niet vermeld dat noch SIS II noch het VIS inmiddels operationeel is en dat de precieze datum waarop die systemen in werking zullen worden gesteld nog niet bekend is. Met andere woorden: het inreis/uitreis-systeem zou sterk afhankelijk zijn van biometrische en andere systemen die nog niet operationeel zijn, zodat hun prestaties en functionaliteiten nog helemaal niet aan een passende beoordeling konden worden onderworpen.

57.

In het hoofdstuk over initiatieven die door de Commissie op grond van het verzoek in het programma van Stockholm moeten worden bestudeerd — en waarover de Commissie dus nog geen definitief besluit heeft genomen — worden in de mededeling 3 initiatieven genoemd: een programma voor het traceren van terrorismefinanciering (als tegenhanger van het Terrorist Finance Tracking Program (TFTP) van de VS), een Europees systeem voor reisvergunningen (ESTA) en een Europees Indexsysteem van politiegegevens (EPRIS).

58.

De EDPS zal de ontwikkelingen met betrekking tot deze initiatieven op de voet volgen en hierover zo nodig opmerkingen maken en suggesties doen.

59.

De EDPS is zeer ingenomen met de mededeling, die een volledig overzicht van de reeds ingevoerde en geplande EU-systemen voor informatieuitwisseling biedt. De EDPS heeft in tal van adviezen en opmerkingen reeds bepleit dat een evaluatie van alle bestaande instrumenten voor informatieuitwisseling wordt uitgevoerd voordat nieuwe worden voorgesteld.

60.

De EDPS is tevens verheugd dat in de mededeling gewag wordt gemaakt van de lopende werkzaamheden ten behoeve van het alomvattende kader voor gegevensbescherming op basis van artikel VWEU, waarmee ook rekening dient te worden gehouden bij het werk aan het overzicht van het informatiebeheer van de EU.

61.

De EDPS beschouwt deze mededeling als een eerste stap in het evaluatieproces. Hierop moet een echte beoordeling volgen die uitmondt in een alomvattend, geïntegreerd en goed gestructureerd EU-beleid op het gebied van informatieuitwisseling en -beheer. In dit verband juicht de EDPS toe dat een dergelijke evaluatie wordt gekoppeld aan andere initiatieven die de Commissie naar aanleiding van het programma van Stockholm heeft genomen, met name het „information mapping”-project, dat door de Commissie in nauwe samenwerking met het projectteam information mapping wordt uitgevoerd.

62.

De EDPS stelt voor om in het kader van toekomstige werkzaamheden op het gebied van informatiebeheer ook tekortkomingen en zwakke punten van desbetreffende systemen aan te wijzen — en bijvoorbeeld het aantal personen aan te geven dat ten onrechte werd gearresteerd of anderszins hinder heeft ondervonden van een foute treffer in het systeem.

63.

Het beginsel van doelbinding moet voor alle instrumenten die betrekking hebben op informatieuitwisseling in de EU worden beschouwd als centraal punt van overweging, terwijl nieuwe instrumenten alleen kunnen worden voorgesteld indien het doelbindingsbeginsel bij de uitwerking ervan naar behoren in aanmerking is genomen en is nageleefd. Dit geldt ook tijdens de tenuitvoerlegging.

64.

De EDPS spoort de Commissie tevens aan om er via de ontwikkeling van concrete maatregelen en mechanismen voor te zorgen dat de beginselen van noodzakelijkheid en evenredigheid in alle nieuwe voorstellen die van invloed zijn op de rechten van de burger worden geëerbiedigd en in de praktijk worden gebracht. Ook is het noodzakelijk om de reeds bestaande systemen in dit opzicht te evalueren.

65.

De EDPS is er bovendien van overtuigd dat deze mededeling een uitstekende gelegenheid biedt om duidelijker te specificeren wat werkelijk moet worden verstaan onder een „beoordeling van de gevolgen voor de persoonlijke levenssfeer en de gegevensbeveiliging” en om hierover een debat op gang te brengen.

66.

Tevens verzoekt hij de Commissie een coherenter en consequenter beleid betreffende de voorwaarden voor het gebruik van biometrische gegevens en een beleid inzake de interoperabiliteit van systemen voor gegevensverwerking te ontwikkelen en op EU-niveau voor een grotere harmonisatie van de rechten van de betrokkenen te zorgen.

67.

Voorts is de EDPS ingenomen met de verwijzing naar het concept „privacy by design”, dat momenteel zowel voor de particuliere sector als voor de overheidssector in het algemeen wordt ontwikkeld en dat dan ook een belangrijke rol moet gaan spelen op het gebied van politie en justitie.

68.

Niet in de laatste plaats vestigt de EDPS de aandacht op zijn opmerkingen en de door hem geuite punten van zorg met betrekking tot het hoofdstuk getiteld „Wetgevingsvoorstellen die door de Commissie moeten worden ingediend” voor wat betreft het inreis/uitreis-systeem en het programma voor geregistreerde reizigers.