1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/14

1.

Op 11 oktober 2010 heeft de Europese Commissie haar goedkeuring gehecht aan een gewijzigd voorstel voor een verordening van het Europees Parlement en de Raad betreffende de instelling van „Eurodac” voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van Verordening (EG) nr. (…/…) (tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend) („het voorstel”) (3). Het door de Commissie goedgekeurde voorstel is dezelfde dag nog naar de Europese Toezichthouder voor gegevensbescherming (EDPS) gezonden voor advies overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001. De EDPS is verheugd dat hij door de Commissie wordt geraadpleegd en hij beveelt aan dat van deze raadpleging melding wordt gemaakt in de overwegingen bij het voorstel.

2.

Eurodac is ingesteld bij Verordening (EG) nr. 2725/2000 betreffende de instelling van „Eurodac” voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van de Overeenkomst van Dublin (4). In december 2008 heeft de Commissie een herschikkingsvoorstel tot wijziging van de Eurodac-verordening aangenomen (5) (hierna „het voorstel van december 2008” genoemd). De EDPS heeft commentaar op dat voorstel geleverd in een advies van februari 2009 (6).

3.

Het voorstel van december 2008 moest leiden tot een efficiëntere toepassing van de Dublin-verordening en tot een adequate aanpak van gegevensbeschermingsproblemen. Het zorgde er ook voor dat het IT-beheerskader werd afgestemd op dat van de SIS II- en de VIS-verordening door te bepalen dat de taken inzake het operationele beheer van Eurodac zouden worden overgenomen door het toekomstige agentschap voor het operationele beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (7) (hierna „het IT-agentschap” genoemd) (8).

4.

In september 2009 heeft de Commissie een gewijzigd voorstel goedgekeurd waarin de rechtshandhavingsinstanties van de lidstaten en Europol toegang tot de centrale gegevensbank van Eurodac werd verleend met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten.

5.

Met dat voorstel werd in het bijzonder een overbruggingsclausule ingevoerd om toegang voor rechtshandhavingsdoeleinden mogelijk te maken; voorts werden de nodige begeleidende bepalingen opgenomen en werd het voorstel van december 2008 gewijzigd. Het voorstel werd tegelijk ingediend met het voorstel voor een besluit van de Raad betreffende verzoeken van rechtshandhavingsinstanties van de lidstaten en Europol om vergelijking met Eurodac-gegevens ten behoeve van rechtshandhaving (9) (hierna „het besluit van de Raad” genoemd), waarin de nadere regels inzake deze vorm van toegang zijn opgenomen. In december 2009 heeft de EDPS advies uitgebracht over dit voorstel (10).

6.

Met de inwerkingtreding van het Verdrag van Lissabon en de afschaffing van het pijlersysteem is het voorstel voor een besluit van de Raad ongeldig geworden; het moest formeel worden ingetrokken en worden vervangen door een nieuw voorstel om rekening te houden met het nieuwe kader van het VWEU.

7.

In de toelichting bij het voorstel wordt uiteengezet dat, om de onderhandelingen over het asielpakket (11) te bespoedigen en gemakkelijker tot overeenstemming te kunnen komen over de Eurodac-verordening, de Commissie het verstandiger acht om de bepalingen over de toegang voor rechtshandhavingsdoeleinden te schrappen uit de Eurodac-verordening.

8.

De Commissie verwacht dat door het schrappen van dit (enigszins controversiële) deel van het voorstel de nieuwe Eurodac-verordening sneller kan worden aangenomen en dat dit ook een gunstig effect zal hebben op de tijdige oprichting van het agentschap voor het operationele beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, aangezien dat agentschap ook het beheer van Eurodac op zich zou moeten nemen.

9.

Hoewel het voorliggende voorstel twee nieuwe technische bepalingen bevat, is het in de eerste plaats bedoeld om het vorige voorstel (van september 2009) te wijzigen door er de toegangsmogelijkheden voor rechtshandhavingsdoeleinden uit te schrappen. Daarom werd het niet nodig geacht om voor dit voorstel een nieuwe effectbeoordeling te verrichten.

10.

Zoals hierboven vermeld, heeft de EDPS reeds verscheidene adviezen ter zake uitgebracht. Dit advies heeft tot doel aanbevelingen te doen om het voorstel te verbeteren. Deze aanbevelingen zijn gebaseerd op nieuwe ontwikkelingen of op eerder gedane, maar nog niet overgenomen aanbevelingen, wanneer de EDPS meent dat zijn argumenten niet voldoende in acht zijn genomen of dat deze aanbevelingen worden ondersteund door nieuwe argumenten.

11.

Dit advies spitst zich toe op de volgende punten:

12.

Het verheugt de EDPS dat de mogelijkheid om rechtshandhavingsinstanties toegang tot Eurodac te verlenen uit het voorliggende voorstel is geschrapt. De EDPS betwist niet dat overheden gepaste instrumenten nodig hebben om de veiligheid van hun burgers te waarborgen, maar had toch sterke twijfels over de wettigheid van dit voorstel en wel op basis van de volgende overwegingen.

13.

Maatregelen om terroristische misdrijven en andere ernstige strafbare feiten kunnen een rechtmatige reden zijn om de verwerking van persoonsgegevens toe te staan — ook al is dat in strijd met de doeleinden waarvoor de gegevens oorspronkelijk zijn verzameld — op voorwaarde dat de noodzaak voor deze inbreuk op de privacy wordt ondersteund door duidelijke en onweerlegbare elementen en dat de evenredigheid van de verwerking wordt aangetoond. Dat is des te meer nodig omdat de voorstellen betrekking hebben op een kwetsbare groep van mensen die gevlucht zijn uit vrees voor vervolging en dus meer bescherming behoeven. Er moet rekening worden gehouden met hun precaire situatie bij het beoordelen van de noodzaak en evenredigheid van de voorgestelde maatregel. De EDPS heeft meer bepaald benadrukt dat de noodzaak zou moeten blijken uit voldoende bewijs dat er een verband is tussen asielzoekers en terrorisme en/of andere ernstige strafbare feiten. Dat bewijs was niet geleverd in de voorstellen.

14.

Meer in het algemeen heeft de EDPS er in verschillende adviezen en commentaren voor gepleit om alle bestaande instrumenten voor de uitwisseling van informatie te beoordelen alvorens nieuwe instrumenten voor te stellen. Met bijzondere nadruk deed hij dit in de recente adviezen over het „overzicht van het informatiebeheer op het gebied van vrijheid, veiligheid en recht” (12) en over „het terrorismebestrijdingsbeleid van de EU: belangrijkste resultaten en nieuwe uitdagingen” (13).

15.

Het is immers van essentieel belang dat zowel de doeltreffendheid van bestaande maatregelen als het effect op de privacy van geplande nieuwe maatregelen wordt beoordeeld. Dit zou bepalend moeten zijn voor het optreden van de Europese Unie op dit gebied, in overeenstemming met de door het programma van Stockholm voorgestelde aanpak. In dit geval zou bijvoorbeeld bijzondere aandacht moeten worden besteed aan de uitwisseling van gegevens overeenkomstig het Verdrag van Prüm. Dat behelst ook de uitwisseling van vingerafdrukken en er zou moeten worden aangetoond dat het systeem ernstige gebreken vertoont die de toegang tot een gegevensbank als Eurodac rechtvaardigen.

16.

Ten slotte beveelt de EDPS in deze adviezen, zoals in vele eerdere adviezen, aan om bijzondere aandacht te schenken aan die voorstellen die leiden tot het verzamelen van persoonsgegevens van brede categorieën van burgers en niet alleen van verdachten. Specifieke consideratie en verantwoording is ook vereist voor die gevallen waarbij persoonsgegevens kunnen worden verwerkt voor andere doeleinden dan deze waarvoor ze oorspronkelijk zijn verzameld, bijvoorbeeld in Eurodac.

17.

Concluderend kan worden gezegd dat de EDPS verheugd is over het schrappen van dit element uit het voorliggende voorstel.

18.

Het verzamelen en verder verwerken van vingerafdrukken vormt uiteraard een belangrijk element van het Eurodac-systeem. Er dient te worden benadrukt dat de verwerking van biometrische gegevens als vingerafdrukken specifieke problemen meebrengt en risico's inhoudt die moeten worden ondervangen. In de context van het voorstel wil de EDPS met name wijzen op het probleem van personen van wie, om welke reden ook, geen bruikbare vingerafdrukken kunnen worden genomen („failure to enrol”).

19.

Deze situatie kan zich voordoen bij mensen wier vingertoppen of handen tijdelijk of blijvend beschadigd zijn. Dat kan te wijten zijn aan verschillende factoren, zoals ziekte, invaliditeit, verwondingen en brandwonden. In sommige gevallen kan het ook verband houden met de etniciteit of het beroep van de betrokkenen. Zo blijkt een niet onbelangrijk aantal landarbeiders en bouwvakkers vingerafdrukken te hebben die soms dermate beschadigd zijn, dat ze onleesbaar zijn. Het gebeurt ook — hoe vaak precies is moeilijk uit te maken — dat vluchtelingen zichzelf verminken om te voorkomen dat hun vingerafdrukken worden genomen.

20.

Het EDPS erkent dat het moeilijk kan zijn om te bepalen welke onderdanen van derde landen hun vingerafdrukken opzettelijk hebben beschadigd om het identificatieproces te dwarsbomen en welke werkelijk onleesbare vingerafdrukken hebben.

21.

Het is evenwel van het grootste belang dat gewaarborgd wordt dat onbruikbare vingerafdrukken niet automatisch leiden tot het ontzeggen van rechten aan asielzoekers. Het zou bijvoorbeeld onaanvaardbaar zijn dat onbruikbare vingerafdrukken systematisch worden beschouwd als een poging tot bedrog, met als gevolg dat een asielaanvraag niet wordt onderzocht of een asielzoeker geen hulp meer krijgt. Dat zou immers betekenen dat het hebben van leesbare vingerafdrukken een van de criteria is om de status van asielzoeker te kunnen krijgen. Het doel van Eurodac is de toepassing van de Overeenkomst van Dublin te vergemakkelijken, en niet een extra criterium („bruikbare vingerafdrukken hebben”) in te voeren voor het verlenen van de status van asielzoeker. Dat zou indruisen tegen het doelbindingsbeginsel en op zijn minst tegen de geest van het recht op asiel.

22.

Ten slotte benadrukt de EDPS ook dat het voorstel consistent dient te zijn met de andere relevante richtlijnen ter zake. Met name de erkenningsrichtlijn bepaalt dat elke aanvraag op haar eigen waarde moet worden beoordeeld en vermeldt onbruikbare vingerafdrukken zeker niet als een criterium voor het onderzoeken van de asielaanvraag (14).

23.

In artikel 6.1 en artikel 6.2 van het voorliggende voorstel wordt reeds gedeeltelijk verwezen naar de onbruikbaarheid van vingerafdrukken (15)

24.

In deze bepalingen gaat het echter alleen over een tijdelijke onmogelijkheid om vingerafdrukken te nemen, terwijl die onmogelijkheid in een aanzienlijk aantal gevallen blijvend zal zijn. Artikel 1 van de verordening tot wijziging van de gemeenschappelijke visuminstructies (16) vermeldt zulke gevallen en bepaalt het volgende: (…) De lidstaten zorgen ervoor dat er passende procedures zijn ter waarborging van de waardigheid van de aanvrager in het geval dat er moeilijkheden zijn bij het opnemen van gegevens. Als het nemen van vingerafdrukken fysiek onmogelijk is, dan mag dit geen invloed hebben op de verlening of weigering van een visum.

25.

De EDPS beveelt aan om, naar het voorbeeld van deze bepalingen, rekening te houden met deze gevallen in de context van Eurodac en aan artikel 6 een bepaling toe te voegen die als volgt zou kunnen luiden: „De tijdelijke of blijvende onmogelijkheid om bruikbare vingerafdrukken te nemen mag geen ongunstig effect hebben op de rechtspositie van de betrokken persoon. Het kan in geen geval een voldoende reden zijn om een asielaanvraag af te wijzen of te weigeren deze te onderzoeken.”

26.

De EDPS merkt op dat de goede werking van Eurodac staat of valt met een effectieve uitvoering van het recht op informatie. Bovenal moet ervoor worden gezorgd dat de informatie op zodanige wijze wordt verstrekt dat de asielzoeker volledig inzicht krijgt in zijn situatie en de omvang van zijn rechten, alsmede in de procedurele stappen die hij kan zetten naar aanleiding van de in zijn zaak reeds genomen administratieve beslissingen. De EDPS herinnert er ook aan dat het recht op toegang een hoeksteen vormt van de gegevensbescherming, zoals met name wordt vermeld in artikel 8 van het Europese Handvest van de grondrechten.

27.

Het EDPS heeft dit reeds onderstreept in een eerder advies over Eurodac. Aangezien de voorgestelde wijziging niet is aanvaard, wil de EDPS met nadruk wijzen op het belang van deze kwestie.

28.

Artikel 24 van het voorstel luidt als volgt:

Onder deze verordening vallende personen worden door de lidstaat van oorsprong schriftelijk en, in voorkomend geval, mondeling in een taal die zij begrijpen of waarvan redelijkerwijs kan worden geacht dat zij die begrijpen ingelicht over:

(…)

29.

De EDPS stelt voor de rechten van de betrokkenen duidelijker te verwoorden door artikel 24 anders te formuleren. De verwoording van het voorstel is onduidelijk en kan zo worden geïnterpreteerd dat „het recht informatie te krijgen over de procedures om die rechten te doen gelden” losstaat van „het recht van toegang” en/of „het recht te verzoeken onjuiste gegevens recht te zetten”. Bovendien moeten de lidstaten, volgens de huidige formulering van de bovengenoemde bepaling, onder de verordening vallende personen niet inlichten over de inhoud van de rechten, maar over „het bestaan” ervan. Aangezien dit laatste alleen een kwestie van stijl lijkt, stelt de EDPS voor om artikel 24 als volgt te wijzigen: Onder deze verordening vallende personen worden door de lidstaat van oorsprong (…) ingelicht over: (…) (g) het recht van toegang tot de hen betreffende gegevens en het recht te verzoeken om hen betreffende onjuiste gegevens recht te zetten of hen betreffende onrechtmatig verwerkte gegevens te verwijderen.

30.

In artikel 4, lid 1, van het voorstel is het volgende bepaald: Na een overgangsperiode wordt een beheersautoriteit, die uit de algemene begroting van de Europese Unie wordt gefinancierd, belast met het operationele beheer van Eurodac. De beheersautoriteit zorgt er in samenwerking met de lidstaten voor dat te allen tijde de beste voorhanden zijnde technologie wordt gebruikt voor het centraal systeem, onder voorbehoud van een kosten-batenanalyse. Hoewel de EDPS de eis in artikel 4, lid 1, toejuicht, zou hij willen opmerken dat de uitdrukking „de beste voorhanden zijnde technologie” in bovenstaande bepaling beter vervangen kan worden door „de beste beschikbare technieken”, waarmee zowel gedoeld wordt op de toegepaste technologie als op de manier waarop de installatie is ontworpen en gebouwd en waarop zij wordt onderhouden en geëxploiteerd.

31.

Dit is belangrijk omdat „de beste beschikbare technieken” een breder concept is en verschillende aspecten omvat die bijdragen tot de toepassing van het beginsel „ingebouwde privacy”, dat een essentieel uitgangspunt vormt voor de herziening van het EU-rechtskader voor gegevensbescherming. Hiermee wordt onderstreept dat gegevensbescherming kan worden toegepast via verschillende middelen, die niet alle technologisch van aard hoeven te zijn. Het is inderdaad belangrijk dat niet alleen de technologie wordt onderzocht, maar ook de wijze waarop de technologie wordt gebruikt als een instrument om het doel van de gegevensverwerking te bereiken. Bedrijfsprocessen moeten gericht zijn op het bereiken van dit doel, dat omgezet wordt in procedures en organisatiestructuren.

32.

Zoals hij al in eerdere adviezen (17) heeft gedaan, zou de EDPS in dit verband, en meer in het algemeen, de aanbeveling willen doen dat de Commissie samen met belanghebbenden uit het bedrijfsleven „beste beschikbare technieken” vaststelt en bevordert volgens dezelfde procedure als door de Commissie is goedgekeurd op milieugebied (18). Onder „beste beschikbare technieken” (BBT's) wordt verstaan het meest doeltreffende en geavanceerde ontwikkelingsstadium van de technologie en exploitatiemethoden, waarbij de praktische bruikbaarheid van speciale technieken is aangetoond om een bepaalde detectiedrempel vast te stellen in overeenstemming met het EU-rechtskader inzake privacy en gegevensbescherming. Deze BBT's moeten de met deze gegevensverwerking gepaard gaande veiligheidsrisico's voorkomen of, wanneer dit niet kan, tot een aanvaardbaar niveau herleiden en de gevolgen ervan voor de privacy zoveel mogelijk beperken.

33.

Dit proces zou ook referentiedocumenten over „beste beschikbare technieken” moeten opleveren die heel nuttige richtsnoeren voor het beheer van andere grootschalige Europese IT-systemen kunnen verschaffen. Het zal ook de harmonisering van zulke maatregelen in de Europese Unie bevorderen. Ten slotte maar niet in het minst zal de vaststelling van privacy- en veiligheidsvriendelijke BBT's de toezichthoudende rol van de gegevensbeschermingsautoriteiten vergemakkelijken door technische referenties te verstrekken die voldoen aan de voorschriften inzake gegevensbescherming en goedgekeurd zijn door de voor de gegevensverwerking verantwoordelijken.

34.

De EDPS merkt op dat in het voorstel niet wordt ingegaan op de uitbesteding van een deel van de taken van de Commissie (19) aan een andere organisatie of entiteit (zoals een particuliere onderneming). Toch is het heel gebruikelijk dat de Commissie het beheer en de ontwikkeling van zowel systemen als communicatie-infrastructuren uitbesteedt. Hoewel uitbesteding op zich niet indruist tegen de eisen inzake gegevensbescherming, behoren er wel stevige garanties te worden ingebouwd opdat Verordening (EG) nr. 45/2001, en daarmee het toezicht op de gegevensbescherming door de EDPS, steeds onverkort wordt toegepast bij het uitbesteden van activiteiten. Daarnaast dienen op een meer technisch niveau aanvullende garanties te worden goedgekeurd.

35.

In dat verband stelt de EDPS voor om bij de herziening van de Eurodac-verordening daarin mutatis mutandis soortgelijke wettelijke garanties op te nemen als in de rechtsinstrumenten betreffende het SIS II, waarin bepaald is dat ook wanneer de Commissie een deel van haar taken aan een andere instantie of organisatie uitbesteedt, zij ervoor zorgt dat de EDPS het recht en de mogelijkheid heeft zijn taken volledig uit te voeren, met inbegrip van de mogelijkheid om verificaties ter plaatse te verrichten, en de bevoegdheden uit te oefenen die hem zijn toebedeeld op grond van artikel 47 van Verordening (EG) nr. 45/2001.

36.

De EDPS is verheugd dat hij door de Commissie wordt geraadpleegd en hij beveelt aan dat van deze raadpleging melding wordt gemaakt in de overwegingen bij het voorstel.

37.

Het verheugt de EDPS dat de mogelijkheid om rechtshandhavingsinstanties toegang tot Eurodac te verlenen uit het voorliggende voorstel is geschrapt.

38.

Het verzamelen en verder verwerken van vingerafdrukken vormt een belangrijk element van het Eurodac-systeem. De EDPS benadrukt dat de verwerking van biometrische gegevens als vingerafdrukken specifieke problemen meebrengt en risico's inhoudt die moeten worden ondervangen. Inzonderheid wijst de EDPS op het probleem van de personen van wie, om welke reden ook, geen bruikbare vingerafdrukken kunnen worden genomen („failure to enrol”). Onbruikbare vingerafdrukken mogen niet automatisch leiden tot het ontzeggen van rechten aan asielzoekers.

39.

De EDPS beveelt aan om aan artikel 6 van het voorstel een bepaling toe te voegen die als volgt zou kunnen luiden: „De tijdelijke of blijvende onmogelijkheid om bruikbare vingerafdrukken te nemen mag geen ongunstig effect hebben op de rechtspositie van de betrokken persoon.. Het kan in geen geval een voldoende reden zijn om een asielaanvraag af te wijzen of te weigeren deze te onderzoeken.”

40.

De EDPS merkt op dat de goede werking van Eurodac staat of valt met een effectieve uitvoering van het recht op informatie. Er moet voor worden gezorgd dat de informatie op zodanige wijze wordt verstrekt dat de asielzoeker volledig inzicht krijgt in zijn situatie en de omvang van zijn rechten, alsmede in de procedurele stappen die hij kan zetten naar aanleiding van de in zijn zaak reeds genomen administratieve beslissingen. De EDPS stelt voor de rechten van de asielzoekers duidelijker te verwoorden door artikel 24 anders te formuleren.

41.

De EDPS beveelt aan om de uitdrukking „de beste voorhanden zijnde technologie” in artikel 4, lid 1, van het voorstel te wijzigen in „de beste beschikbare technieken”. Met „beste beschikbare technieken” wordt zowel gedoeld op de toegepaste technologie als op de manier waarop de installatie is ontworpen en gebouwd en waarop zij wordt onderhouden en geëxploiteerd.

42.

Met betrekking tot de uitbesteding van een deel van de taken van de Commissie aan een andere organisatie of entiteit (zoals een particuliere onderneming) beveelt de EDPS aan om garanties in te bouwen opdat Verordening (EG) nr. 45/2001, en daarmee het toezicht op de gegevensbescherming door de EDPS, steeds onverkort wordt toegepast bij het uitbesteden van activiteiten. Daarnaast dienen op een meer technisch niveau aanvullende garanties te worden goedgekeurd.