17.11.2009   

DA

Den Europæiske Unions Tidende

C 276/8

1.

Den 10. juni 2009 vedtog Kommissionen sin meddelelse til Europa-Parlamentet og Rådet om et område med frihed, sikkerhed og retfærdighed i borgernes tjeneste (1). I overensstemmelse med artikel 41 i forordning (EF) nr. 45/2001 forelægger EDPS hermed sin udtalelse.

2.

Kommissionen havde inden vedtagelsen af meddelelsen ved skrivelse af 19. maj 2009 uformelt hørt EDPS derom. EDPS svarede på denne høring den 20. maj 2009 ved at fremsende uformelle bemærkninger med det formål yderligere at forbedre meddelelsesteksten. Endvidere har EDPS aktivt bidraget til skrivelsen af 14. januar 2009 fra Gruppen vedrørende Politi og Retsvæsen om det flerårige program for området med frihed, sikkerhed og retfærdighed (2).

3.

I meddelelsen (punkt 1) fremhæves det, at »EU bør have et nyt flerårigt program, der ved at bygge på de fremskridt, der er sket, og drage lære af de nuværende svagheder går fremtiden i møde med en række ambitiøse mål. Dette nye program bør foretage en prioritering for de næste fem år«. Dette flerårige program (allerede kendt som »Stockholmprogrammet«) vil være opfølgningen af Tammerfors- og Haagprogrammerne, der politisk udgjorde en vigtig tilskyndelse til området med frihed, sikkerhed og retfærdighed.

4.

Det er meningen, at meddelelsen skal danne grundlag for dette nye flerårige program. EDPS noterer sig i denne forbindelse, at selv om de flerårige programmer ikke i sig selv er bindende instrumenter, har de en betydelig indvirkning på den politik, som institutionerne vil udvikle på det pågældende område, da mange af de konkrete lovgivningsmæssige og ikke-lovgivningsmæssige tiltag vil være en følge af programmet.

5.

Meddelelsen skal ses i dette perspektiv. Den udgør næste skridt i en debat, der mere eller mindre begyndte med to rapporter, der blev forelagt i juni 2008 af den såkaldte »Fremtidsgruppe« nedsat af formandskabet for Rådet for at udforme idéer: »Frihed, sikkerhed, privatlivets fred — europæiske indre anliggender i en åben verden« (3) og »Foreslåede løsninger for det fremtidige EU-program for retlige anliggender« (4).

6.

Den foreliggende udtalelse er ikke kun en reaktion på meddelelsen, men den er også et bidrag fra EDPS til den mere generelle debat om fremtiden for området med frihed, sikkerhed og retfærdighed, der skal udmøntes i et nyt strategisk arbejdsprogram (Stockholmprogrammet) som bebudet af det svenske formandskab for EU (5). Denne udtalelse vil også behandle nogle af følgerne af Lissabon-traktatens eventuelle ikrafttræden.

7.

Efter en præcisering af udtalelsens væsentligste perspektiver i del III gives der en generel vurdering af meddelelsen i del IV.

8.

I del V behandles spørgsmålet om, hvordan man kan tilgodese behovet for fortsat beskyttelse af privatlivets fred og personoplysninger i en kontekst af stigende udveksling af personoplysninger. Der sættes fokus på meddelelsens punkt 2.3 vedrørende beskyttelse af personoplysninger og af privatlivets fred og mere generelt på behovet for supplerende tiltag, eventuelt i form af retsakter, for at forbedre rammen for databeskyttelse.

9.

I del VI drøftes behovene og mulighederne for lagring af, adgang til og udveksling af oplysninger som instrumenter til retshåndhævelse eller, som det hedder i meddelelsen, til »et Europa, der beskytter«. Punkt 4 i meddelelsen indeholder en række mål vedrørende informa-tion og teknologiske værktøjer, især punkt 4.1.2 (Udnyttelse af informationen), 4.1.3 (Mobilisering af de nødvendige teknologiske værktøjer) og 4.2.3.2 (Informationssystemerne). Udviklingen af en europæisk informationsmodel (i punkt 4.1.2) kan ses som det mest udfordrende forslag i denne forbindelse. EDPS's udtalelse analyserer dette forslag grundigt.

10.

Del VII berører kort et bestemt emne inden for områderne frihed, sikkerhed og retfærdighed, der er relevante for databeskyttelse, nemlig adgang til retlig prøvelse og e-justice.

11.

I denne udtalelse er behovet for beskyttelse af de grundlæggende rettigheder hovedvinklen i analysen af meddelelsen og mere generelt fremtiden for området med frihed, sikkerhed og retfærdighed, som udformet i et nyt flerårigt program. Den vil endvidere basere sig på bidragene fra EDPS til udviklingen af EU's politik på dette område, hovedsagelig i dennes høringsrolle. EDPS har indtil videre vedtaget mere end 30 udtalelser og bemærkninger om initiativer, der stammer fra Haagprogrammet, og som alle kan findes på den tilsynsførendes websted.

12.

EDPS vil i sin vurdering af meddelelsen især tage hensyn til følgende fire perspektiver, som er relevante for fremtiden for området med frihed, sikkerhed og retfærdighed. Alle disse perspektiver spiller også en central rolle i meddelelsen.

13.

Det første perspektiv er den eksponentielle vækst i digital information om borgerne som følge af informations- og kommunikationsteknologier, der er under stadig udvikling (6). Samfundet bevæger sig i retning af, hvad der ofte kaldes »et overvågningssamfund«, hvor enhver transaktion og næsten enhver af borgernes bevægelser kan forventes at blive registreret digitalt. De såkaldte »tingenes internet« og »intelligente omgivelser« er allerede under hastig udvikling via anvendelsen af RFID-brikker. Menneskekroppens digitaliserede karakteristika (biometriske identifikatorer) anvendes i stadig større grad. Dette fører til en til stadighed mere forbundet verden, hvor de offentlige sikkerhedsorganisationer kan få adgang til umådeligt store mængder potentielt nyttige oplysninger, der direkte kan påvirke de pågældende personers liv.

14.

Det andet perspektiv er internationalisering. På den ene side er dataudveksling i den digitale tidsalder ikke begrænset af Den Europæiske Unions eksterne grænser, mens der på den anden side er et stadigt stigende behov for internationalt samarbejde inden for alle EU's aktiviteter på området med frihed, sikkerhed og retfærdighed: bekæmpelse af terrorisme, politisamarbejde og retligt samarbejde, civilret og grænsekontrol er blot nogle eksempler.

15.

Det tredje perspektiv er anvendelse af data til retshåndhævelsesformål: den seneste tids trusler mod samfundet, uanset om de har været terrorismerelaterede eller ej, har ført til (krav om), at de retshåndhævende myndigheder får flere muligheder for at indsamle, lagre og udveksle personoplysninger. I mange tilfælde er private aktivt involveret, som det blandt andet fremgår af direktivet om lagring af data (7) og de forskellige instrumenter vedrørende PNR (8).

16.

Det fjerde perspektiv er fri bevægelighed. Den gradvise udvikling af et område med frihed, sikkerhed og retfærdighed gør det nødvendigt, at interne grænser og eventuelle hindringer for den frie bevægelighed inden for området i endnu højere grad. Nye instrumenter på dette område bør under alle omstændigheder ikke genindføre hindringer. Fri bevægelighed omfatter i den aktuelle kontekst dels fri bevægelighed for personer og dels fri bevægelighed for (person)oplysninger.

17.

Disse fire perspektiver viser, at den kontekst, hvori oplysninger anvendes, er under hastig forandring. I en sådan kontekst kan der ikke være tvivl om betydningen af en stærk mekanisme til beskyttelse af borgernes grundlæggende rettigheder og især beskyttelse af privatlivets fred og databeskyttelse. Af disse grunde vælger EDPS behovet for beskyttelse som hovedvinklen for sin analyse som nævnt i punkt 11.

18.

Det er formålet med meddelelsen og Stockholmprogrammet at præcisere EU's hensigter for de kommende fem år, eventuelt med virkninger på endnu længere sigt. EDPS noterer sig, at meddelelsen er udfærdiget på en såkaldt »Lissabonneutral« måde. EDPS forstår fuldt ud, hvorfor Kommissionen har anvendt denne tilgang, men beklager, at meddelelsen ikke fuldt ud kan udnytte de yderligere fordele, som Lissabontraktaten tilbyder. Der vil i denne udtalelse blive lagt mere vægt på mulighederne i forbindelse med Lissabontraktaten.

19.

Meddelelsen bygger på resultaterne af EU's tiltag inden for området med frihed, sikkerhed og retfærdighed i de seneste år. Disse resultater kan karakteriseres som hændelsesstyrede med vægt på foranstaltninger, der udvider retshåndhævelsesmyndighedernes beføjelser, og som er indgribende over for borgerne. Det er i særdeleshed tilfældet for de områder, hvor personoplysninger i vid udstrækning anvendes og udveksles, og som derfor er af afgørende betydning for databeskyttelse. Resultaterne er hændelsesstyrede, eftersom eksterne hændelser, såsom 11. september og bombeattentaterne i Madrid og London, gav en vigtig tilskyndelse til lovgivningsmæssige aktiviteter. For eksempel kan overførslen af oplysninger om passagerer til USA betragtes som en følge af 11. september (9), mens bombeattentaterne i London førte til direktiv 2006/24/EF om lagring af data (10). Der blev lagt vægt på mere indgribende foranstaltninger, da EU-lovgiveren fokuserede på foranstaltninger, der letter anvendelsen og udvekslingen af data, mens drøftelserne om foranstaltninger, der tager sigte på at sikre beskyttelsen af personoplysninger, var mindre presserende. Den væsentligste beskyttende foranstaltning, der blev vedtaget efter tre års drøftelser i Rådet, er Rådets rammeafgørelse 2008/977/RIA om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (11). Resultatet var Rådets rammeafgørelse, der ikke er fuldt tilfredsstillende (jf. punkt 29-30).

20.

Erfaringerne i de seneste år viser, at der er behov for at overveje følgerne for de retshåndhævende myndigheder og for de europæiske borgere, inden der vedtages nye instrumenter. Disse overvejelser bør tage behørigt hensyn til omkostningerne for privatlivets fred og effektiviteten af retshåndhævelsen, for det første når der foreslås og drøftes nye instrumenter, men også efter at disse instrumenter er gennemført, ved hjælp af regelmæssige evalueringer. Sådanne overvejelser er også af afgørende betydning, inden et nyt flerårigt program skal fastlægge de vigtigste initiativer for den nærmeste fremtid.

21.

EDPS glæder sig over, at det i meddelelsen anerkendes, at beskyttelse af grundlæggende rettigheder, og navnlig beskyttelse af personoplysninger, er et af de centrale spørgsmål i forbindelse med fremtiden for området med frihed, sikkerhed og retfærdighed. I punkt 2 i meddelelsen karakteriseres EU som et unikt område for beskyttelse af grundlæggende rettigheder baseret på fælles værdier. Det er også positivt, at tiltrædelsen af den europæiske menneskerettighedskonvention nævnes som en prioriteret retningslinje — endda den første prioriterede retningslinje i meddelelsen. Tiltrædelse er et vigtigt skridt fremad for at sikre et harmonisk og sammenhængende system for beskyttelse af de grundlæggende rettigheder. Sidst, men ikke mindst, har databeskyttelse fået en fremtrædende plads i meddelelsen.

22.

Dette fokus i meddelelsen viser, at man klart har til hensigt at sikre beskyttelsen af borgernes rettigheder og — herved — anlægger en mere afbalanceret tilgang. Regeringerne har brug for passende instrumenter til at garantere borgernes sikkerhed, men inden for vort europæiske samfund skal de fuldt ud respektere borgernes grundlæggende rettigheder. At handle i borgernes tjeneste (12) kræver en Europæisk Union, der værner om denne balance.

23.

EDPS er af den opfattelse, at meddelelsen tager meget hensyn til behovet for denne balance, herunder behovet for at beskytte personoplysninger. Det erkendes, at der skal lægges vægt på andre aspekter. Dette er vigtigt, eftersom politikkerne på området med frihed, sikkerhed og retfærdighed ikke bør fremme en gradvis bevægelse hen imod et overvågningssamfund. EDPS forventer, at Rådet anlægger den samme tilgang i Stockholmprogrammet, også ved at anerkende retningslinjerne i punkt 25 nedenfor.

24.

Dette er så meget desto mere vigtigt, som området med frihed, sikkerhed og retfærdighed er et område, der »præger borgernes levevilkår, navnlig det private rum for så vidt angår deres eget ansvar og personlige og sociale sikkerhed, der er beskyttet af de grundlæggende rettigheder«, hvilket for nylig blev fremhævet af den tyske forfatningsret i dom af 30. juni 2009 vedrørende Lissabontraktaten (13).

25.

EDPS understreger følgende i forbindelse med et sådant område:

26.

EDPS tilslutter sig den strategiske tilgang med hensyn til at give databeskyttelse en fremtrædende plads i meddelelsen. Mange initiativer inden for området med frihed, sikkerhed og retfærdighed hviler på anvendelsen af personoplysninger, og god databeskyttelse er afgørende for deres vellykkede gennemførelse. Respekt for privatlivets fred og databeskyttelse er ikke kun en retlig forpligtelse, der i stigende grad anerkendes på EU-plan, men det er også et spørgsmål, der er af afgørende betydning for de europæiske borgere, som det fremgår af resultaterne fra Eurobarometer (15). Endvidere er det også afgørende at begrænse adgangen til personoplysninger for at sikre de retshåndhævende myndigheders tillid.

27.

I punkt 2.3 i meddelelsen hedder det, at der bør indføres en omfattende databeskyttelsesordning på samtlige EU's kompetenceområder (16). EDPS støtter fuldt ud dette mål uafhængigt af Lissabontraktatens ikrafttræden. Han noterer sig også, at en sådan ordning ikke nødvendigvis indebærer én retlig ramme, der gælder for al databehandling. I henhold til de nuværende traktater er mulighederne for at vedtage én omfattende retlig ramme, der gælder for al databehandling, begrænset på grund af søjlestrukturen og på grund af, at — i det mindste under første søjle — beskyttelse af oplysninger, der behandles af europæiske institutioner, finder sted på et særskilt retsgrundlag (EF-traktatens artikel 286). EDPS påpeger imidlertid, at der kan gennemføres nogle forbedringer ved fuldt ud at udnytte de muligheder, som de nuværende traktater indeholder, og som allerede er fremhævet af Kommissionen i meddelelsen om »Gennemførelsen af Haag-programmet: vejen frem« (17). Efter Lissabontraktatens ikrafttræden vil EU-traktatens artikel 16 indeholde det nødvendige retsgrundlag for én omfattende retlig ramme, der gælder for al databehandling.

28.

EDPS noterer sig, at det — under alle omstændigheder — er afgørende at sikre konsekvens inden for den retlige ramme for databeskyttelse, hvor det er nødvendigt gennem harmonisering og konsolidering af de forskellige retsakter, der finder anvendelse på området med frihed, sikkerhed og retfærdighed.

29.

Der blev for nylig taget et første skridt gennem vedtagelsen af Rådets rammeafgørelse 2008/977/RIA (18). Denne retsakt kan imidlertid ikke betragtes som en omfattende ramme, dybest set fordi dens bestemmelser ikke er almengyldige. De gælder ikke for interne situationer, hvor personoplysninger stammer fra den medlemsstat, der anvender dem. En sådan begrænsning vil nødvendigvis mindske den merværdi, der er forbundet med Rådets rammeafgørelse, medmindre samtlige medlemsstater beslutter at medtage interne situationer i den nationale gennemførelseslovgivning, hvilket ikke er sandsynligt.

30.

En anden grund til, at EDPS finder, at Rådets rammeafgørelse 2008/977/RIA i det lange løb ikke indeholder en tilfredsstillende databeskyttelsesramme for så vidt angår området med frihed, sikkerhed og retfærdighed, er, at flere væsentlige bestemmelser ikke er i overensstemmelse med direktiv 95/46/EF. I henhold til de nuværende traktater kan der tages et yderligere skridt ved at udvide anvendelsesområdet og tilpasse Rådets rammeafgørelse til direktiv 95/46/EF.

31.

Der kunne sættes yderligere skub i virkeliggørelsen af en omfattende databeskyttelsesordning ved at skabe en klar vision på lang sigt. Denne vision kunne indeholde en global og sammenhængende tilgang til definering af indsamling og udveksling af oplysninger — samt anvendelse af eksisterende databaser — sammen med databeskyttelsesgarantier. Visionen bør forhindre overflødig overlapning af instrumenter (og dermed af behandlingen af personoplysninger). Den bør også fremme EU-politikkernes sammenhæng på dette område samt tilliden til, hvordan de offentlige myndigheder håndterer oplysninger om borgerne. EDPS anbefaler, at Rådet fremhæver behovet for en klar vision på lang sigt i Stockholmprogrammet.

32.

EDPS anbefaler ligeledes, at de foranstaltninger, der allerede er vedtaget på dette område, og deres konkrete gennemførelse og effektivitet skal evalueres og ses i det rette perspektiv. Denne evaluering bør tage behørigt hensyn til omkostningerne for privatlivets fred og effektiviteten af retshåndhævelsen. Hvis disse evalueringer skulle vise, at visse foranstaltninger ikke giver de forventede resultater eller ikke står i rimeligt forhold til de mål, der forfølges, bør følgende skridt tages op til overvejelse:

EDPS anbefaler, at der i Stockholmprogrammet henvises til et system for evaluering af eksisterende foranstaltninger.

33.

Sidst men ikke mindst bør der lægges særlig vægt på en bedre gennemførelse af eksisterende garantier i overensstemmelse med Kommissionens meddelelse om opfølgning på arbejdsprogrammet for en bedre gennemførelse af databeskyttelsesdirektivet (19) og de forslag, som EDPS fremsatte i sin udtalelse om den pågældende meddelelse (20). Desværre har Kommissionen under tredje søjle ikke mulighed for at indlede overtrædelsesprocedurer.

34.

Lissabontraktaten åbner mulighed for en egentlig omfattende databeskyttelsesramme. I henhold til artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde skal Rådet og Europa-Parlamentet fastsætte regler for databeskyttelse i forbindelse med behandling af personoplysninger foretaget af Unionens institutioner, organer, kontorer og agenturer samt af medlemsstaterne under udøvelse af aktiviteter, der er omfattet af EU-retten, og af private parter.

35.

EDPS forstår den vægt, der i meddelelsen lægges på en omfattende databeskyttelsesordning som Kommissionens ambition i forbindelse med at foreslå en retlig ramme, der gælder for alle behandlingsaktiviteter. Han tilslutter sig fuldt ud denne ambition, der styrker systemets sammenhæng, sikrer retssikkerheden og herved forbedrer beskyttelsen. Dette ville især i fremtiden forhindre vanskelighederne med at finde frem til en skillelinje mellem søjlerne, når oplysninger, der er indsamlet i den private sektor i kommercielt øjemed, senere hen anvendes til retshåndhævelsesformål. Denne skillelinje mellem søjlerne afspejler ikke fuldstændigt virkeligheden, hvilket fremgår af de vigtige domme, som Domstolen har afsagt i forbindelse med PNR (21) og lagring af data (22).

36.

EDPS foreslår at fremhæve denne begrundelse for en omfattende databeskyttelsesordning i Stockholmprogrammet. Dette viser, at en sådan ordning ikke blot drejer sig om en præference, men om en nødvendighed, der finder sin begrundelse i den skiftende praksis for så vidt angår anvendelse af oplysninger. Han anbefaler, at det i Stockholmprogrammet som en prioritet anføres, at der er behov for en ny retlig ramme, blandt andet ved at erstatte Rådets rammeafgørelse 2008/977/RIA.

37.

EDPS understreger, at begrebet omfattende databeskyttelsesordning baseret på en generel retlig ramme, ikke udelukker vedtagelsen af supplerende regler for databeskyttelse for politiet og retsvæsenet. Disse supplerende regler vil kunne tage hensyn til retshåndhævelsens specifikke behov, som omhandlet i erklæring 21, der er knyttet som bilag til Lissabontraktaten (23).

38.

I meddelelsen noteres det, at den teknologiske udvikling medfører forandringer i kommunikationen mellem individer og offentlige og private organisationer. På den baggrund er det ifølge Kommissionen nødvendigt at gentage en række grundlæggende databeskyttelsesprincipper.

39.

EDPS ser med tilfredshed på disse hensigter i meddelelsen. En evaluering af effektiviteten af disse principper på baggrund af de teknologiske forandringer er særdeles nyttig. Det er først og fremmest vigtigt at notere, at en gentagelse og bekræftelse af databeskyttelsesprincipper ikke altid skal hænge direkte sammen med den teknologiske udvikling. Der vil også kunne være behov herfor i lyset af andre perspektiver, nævnt i del III ovenfor, nemlig internationalisering, stigende anvendelse af data til retshåndhævelse og fri bevægelighed.

40.

Endvidere er EDPS af den opfattelse, at denne evaluering kan medtages i den offentlige høring, som Kommissionen bebudede på konferencen »Personal data — more use, more protection?«, der fandt sted den 19.-20. maj 2009. Denne offentlige høring vil kunne udgøre et værdifuldt bidrag (24). EDPS foreslår, at Rådet i teksten til Stockholmprogrammet og Kommissionen i sine offentlige erklæringer vedrørende høringen fremhæver forbindelsen mellem de hensigter, der er omhandlet i punkt 2.3 i meddelelsen, og den offentlige høring vedrørende fremtiden for databeskyttelse.

41.

Til illustration af hvad en sådan evaluering vil kunne omfatte, anføres følgende punkter:

42.

Denne evaluering bør endvidere fokusere på mulighederne for at forbedre effektiviteten af databeskyttelsesprincippernes anvendelse. I den forbindelse kunne det være nyttigt at koncentrere sig om de instrumenter, der kan styrke de registeransvarliges ansvar. Disse instrumenter skal give mulighed for fuld ansvarliggørelse af de registeransvarlige for så vidt angår datahåndtering. »Data governance« er et nyttigt begreb i denne forbindelse. Dette omfatter alle retlige, tekniske og organisatoriske midler, som organisationer anvender for at sikre fuldt ansvar for den måde, som oplysningerne håndteres på, såsom planlægning og kontrol, anvendelse af forsvarlig teknologi, passende uddannelse af personale, kontrol af overensstemmelse, osv.

43.

EDPS glæder sig over, at punkt 2.3 i meddelelsen omhandler certificering af teknologi, der er »privatlivsvenlig«. Derudover kunne der henvises til »indbygget databeskyttelse« (»privacy by design«) og behovet for at indkredse »bedste tilgængelige teknikker«, der er i overensstemmelse med EU's databeskyttelsesramme.

44.

EDPS mener, at »indbygget databeskyttelse« og teknologier, der tilgodeser hensynet til privatlivet, kunne være nyttige redskaber til en bedre beskyttelse samt en mere effektiv anvendelse af oplysninger. EDPS foreslår to veje fremad — der ikke udelukker hinanden:

EDPS foreslår, at disse mulige veje fremad nævnes i Stockholmprogrammet.

45.

Et andet emne, der er nævnt i meddelelsen, er udviklingen af og arbejdet hen mod interna-tionale standarder for databeskyttelse. For øjeblikket finder der mange aktiviteter sted med henblik på at indføre gennemførlige standarder for global anvendelse, for eksempel i forbindelse med den internationale konference for databeskyttelsesmyndigheder og -ansvarlige. I den nærmeste fremtid kunne dette føre til en international aftale. EDPS foreslår, at Stockholmprogrammet støtter disse aktiviteter.

46.

I meddelelsen omhandles også indgåelse af bilaterale aftaler, der er baseret på de fremskridt, der er allerede er gjort sammen med USA. EDPS er enig i, at der er behov for en klar retlig ramme for videregivelse af data til tredjelande, og hilser derfor det fælles arbejde velkommen, som EU's og USA's myndigheder har udført i Kontaktgruppen på Højt Plan om et eventuelt transatlantisk databeskyttelsesinstrument, men ønsker samtidig mere klarhed og opmærksomhed om bestemte spørgsmål (27). På den baggrund er det også interessant at notere sig idéerne i rapporten om indre anliggender til et Euro-atlantisk samarbejdsområde vedrørende frihed, sikkerhed og retfærdighed, som EU i henhold til rapporten skal tage stilling til senest i 2014. Et sådant område vil ikke være muligt uden passende databeskyttelsesgarantier.

47.

Ifølge EDPS bør de europæiske standarder for databeskyttelse, der er baseret på Europarådets konvention nr. 108 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (28), og Domstolens og Menneskerettighedsdomstolens retspraksis, bestemme beskyttelsesniveauet i en generel aftale med USA om databeskyttelse og dataudveksling. En sådan generel aftale kunne danne grundlaget for særlige ordninger for udveksling af personoplysninger. Dette er endnu vigtigere i lyset af, at det i henhold til punkt 4.2.1 i meddelelsen er hensigten, at Den Europæiske Union, hvor det er nødvendigt, bør indgå aftaler om politisamarbejde.

48.

EDPS forstår fuldt ud, at der er behov for at styrke det internationale samarbejde, i nogle tilfælde også med lande, der ikke beskytter de grundlæggende rettigheder. Det er imidlertid (29) af afgørende betydning, at der tages hensyn til, at dette internationale samarbejde sandsynligvis vil medføre en stor stigning i indsamling og international videregivelse af oplysninger. Det er derfor afgørende, at principperne om retfærdig og lovlig behandling — såvel som principperne om behørig behandling i almindelighed — kommer til at gælde for indsamling og videregivelse af personoplysninger på tværs af EU's ydre grænser, og at personoplysninger kun overføres til tredjelande eller internationale organer eller organisationer, hvis de berørte tredjeparter garanterer et passende beskyttelsesniveau eller giver andre passende garantier.

49.

Afslutningsvis anbefaler EDPS, at man i Stockholmprogrammet fremhæver betydningen af generelle aftaler med USA og andre tredjelande om databeskyttelse og dataudveksling på grundlag af det beskyttelsesniveau, der er garanteret inden for EU's område. Set ud fra et bredere perspektiv peger EDPS på betydningen af, at respekten for de grundlæggende rettigheder aktivt fremmes, og især for databeskyttelse, i forbindelse med tredjelande og med internationale organisationer (30). Endvidere kunne man i Stockholmprogrammet omtale det generelle begreb om, at udveksling af personoplysninger med tredjelande fordrer et tilstrækkeligt beskyttelsesniveau eller andre passende garantier i de pågældende tredjelande.

50.

Bedre udveksling af oplysninger er et væsentligt mål for Den Europæiske Union på området med frihed, sikkerhed og retfærdighed. I punkt 4.1.2 i meddelelsen understreges det, at sikkerheden i Den Europæiske Union hviler på stærke mekanismer for informationsudveksling mellem de nationale myndigheder og de europæiske aktører. Denne betoning af informationsudveksling er logisk i betragtning af, at der ikke findes en europæisk politistyrke, et europæisk strafferetligt system og en europæisk grænsekontrol. Foranstaltninger vedrørende oplysninger er derfor væsentlige bidrag fra Den Europæiske Union, der giver medlemsstaternes myndigheder mulighed for at tackle grænseoverskridende kriminalitet på en effektiv måde og for effektivt at beskytte de ydre grænser. De bidrager imidlertid ikke kun til borgernes sikkerhed men også til deres frihed — fri bevægelighed for personer blev nævnt tidligere som et perspektiv i denne udtalelse — og til retfærdighed.

51.

Det er netop af disse grunde, at tilgængelighedsprincippet blev indført i Haagprogrammet. Det indebærer, at oplysninger, der er nødvendige for at bekæmpe kriminalitet, uden hindringer bør kunne passere de indre grænser i EU. Nye erfaringer viser, at det var vanskeligt at gennemføre dette princip i lovgivningsforanstaltninger. Kommissionens forslag til Rådets rammeafgørelse om udveksling af oplysninger efter tilgængelighedsprincippet af 12. oktober 2005 (31) blev ikke accepteret i Rådet. Medlemsstaterne var ikke rede til fuldt ud at acceptere konsekvenserne af tilgængelighedsprincippet. Der blev i stedet vedtaget mere begrænsede instrumenter (32) såsom Rådets afgørelse 2008/615/RIA af 23. juni 2008 om intensivering af det grænseoverskridende samarbejde, navnlig om bekæmpelse af terrorisme og grænseoverskridende kriminalitet (»Prümaftalen«) (33).

52.

Tilgængelighedsprincippet var et centralt aspekt af Haagprogrammet, men Kommissionen synes nu at have en mere beskeden tilgang. Den påtænker at stimulere udvekslingen af oplysninger mellem medlemsstaternes myndigheder yderligere ved at indføre den europæiske informationsmodel. Det svenske EU-formandskabs går i samme retning (34). Den vil forelægge et forslag til en strategi for informationsudveksling. Rådet har allerede indledt arbejdet med dette ambitiøse projekt vedrørende en EU-informationsstyringsstrategi, der er tæt knyttet til den europæiske informationsmodel. EDPS noterer sig denne udvikling med stor interesse og fremhæver den vægt, der bør lægges på databeskyttelseselementerne i disse projekter.

53.

Det skal som udgangspunkt fremhæves, at fremtiden for området med frihed, sikkerhed og retfærdighed ikke bør være »teknologidrevet« i den forstand, at de næsten ubegrænsede muligheder, som de nye teknologier tilbyder, altid bør kontrolleres på baggrund af de relevante databeskyttelsesprincipper og kun anvendes, hvis de overholder disse principper.

54.

EDPS noterer sig, at informationsmodellen præsenteres i meddelelsen ikke kun som en teknisk model: en styrket strategisk analysekapacitet og en bedre indsamling og behandling af operationelle oplysninger. Det anerkendes også, at politikrelaterede aspekter — såsom kriterier for indsamling, videregivelse og behandling af oplysninger — bør tages i betragtning, samtidig med at databeskyttelsesprincipperne overholdes.

55.

Informationsteknologi og retlige betingelser er — og vil fortsat være — af afgørende betydning. EDPS ser med tilfredshed på meddelelsen, der tager udgangspunkt i den antagelse, at tekniske betragtninger ikke kan ligge til grund for en europæisk informationsmodel. Det er afgørende, at oplysningerne udelukkende indsamles, videregives og behandles på grundlag af konkrete behov for sikkerhed og under hensyntagen til databeskyttelsesprincipperne. EDPS tilslutter sig også helt behovet for at fastlægge en opfølgningsmekanisme for vurdering af, hvordan informationsudvekslingen fungerer. Han foreslår, at Rådet uddyber disse elementer i Stockholmprogrammet.

56.

I den forbindelse understreger EDPS, at databeskyttelse, der tager sigte på at beskytte borgerne, ikke bør ses som en hæmsko for effektiv datahåndtering. Den tilvejebringer vigtige redskaber til forbedring af lagring af, adgang til og udveksling af oplysninger. Den registreredes ret til at blive orienteret om, hvilke oplysninger vedrørende den registrerede selv der behandles, og til at foretage berigtigelse af ukorrekte oplysninger kan også styrke rigtigheden af oplysninger i datahåndteringssystemerne.

57.

Databeskyttelseslovgivningen har i det væsentlige følgende konsekvenser: hvis der er brug for data til et specifikt og legitimt formål, kan de anvendes; hvis der ikke er brug for dem til et veldefineret formål, bør personoplysninger ikke anvendes. I det første tilfælde kan der være brug for supplerende foranstaltninger til at sørge for passende garantier.

58.

EDPS forholder sig imidlertid kritisk til meddelelsens omtale af »kortlægning af fremtidige behov« som en del af informationsmodellen. Han fremhæver, at også i fremtiden bør princippet om formålsbegrænsning være en rettesnor, når der udvikles informationssystemer (35). En af de væsentligste garantier, som databeskyttelsessystemet yder borgerne, er følgende: den pågældende skal på forhånd være bekendt med, til hvilket formål oplysninger vedrørende den pågældende indsamles, og at de udelukkende vil blive brugt til det formål, også i fremtiden. Denne garanti er endog nedfældet i artikel 8 i EU's charter om grundlæggende rettigheder. Princippet om formålsbegrænsning giver mulighed for undtagelser hvilket især er relevant på området med frihed, sikkerhed og retfærdighed men disse undtagelser bør ikke bestemme udviklingen af et system.

59.

Valg af den rette arkitektur for udveksling af oplysninger er udgangspunktet for det hele. I meddelelsen (punkt 4.1.3) anerkendes betydningen af en egentlig informationsarkitektur, men desværre kun i forbindelse med samkøring.

60.

EDPS understreger et andet aspekt: inden for den europæiske informationsmodel bør databeskyttelseskravene være en integreret del af al systemudvikling og bør ikke blot betragtes som en nødvendig betingelse for et systems lovlighed (36). Man bør anvende begreberne »indbygget databeskyttelse«, og der er behov for at indkredse »bedste tilgængelige teknikker« (37) som omhandlet i punkt 43 ovenfor. Den europæiske informationsmodel bør være baseret på disse begreber. Dette betyder mere konkret, at informationssystemer, der er udformet med henblik på den offentlige sikkerhed, altid bør være udviklet i overensstemmelse med principperne for »indbygget databeskyttelse«. EDPS anbefaler, at Rådet medtager disse elementer i Stockholmprogrammet.

61.

EDPS understreger, at samkøring ikke er et rent teknisk spørgsmål, men at det også har konsekvenser for beskyttelse af borgerne, navnlig databeskyttelse. Set fra et databeskyttelsesperspektiv indebærer samkøring af systemer, hvis det udføres godt, klare fordele med hensyn til at undgå dobbelt lagring. Det er imidlertid også indlysende, at det, at adgang til eller udveksling af data gøres teknisk muligt, i mange tilfælde bliver et kraftigt incitament til rent faktisk at konsultere eller udveksle disse data. Med andre ord indebærer samkøring særlige risici ved sammenkobling mellem databaser med forskellige formål (38). Det kan påvirke databasernes strenge formålsbegrænsninger.

62.

Kort sagt er den kendsgerning, at det er teknisk muligt at udveksle digital information mellem databaser, der kan samkøres, eller at flette disse databaser ikke en begrundelse for en undtagelse fra princippet om formålsbegrænsning. Samkøring bør i konkrete tilfælde være baseret på klare og omhyggelige politiske valg. EDPS foreslår, at dette begreb præciseres i Stockholmprogrammet.

63.

Meddelelsen omhandler ikke udtrykkeligt en af de vigtigste tendenser i de seneste år, nemlig anvendelse af data, der er indsamlet i den private sektor i kommercielt øjemed, til retshåndhævelsesformål. Denne tendens vedrører ikke kun trafikdata i forbindelse med elektronisk kommunikation og passageroplysninger for personer, der flyver til (visse) tredjelande (39), men fokuserer også på den finansielle sektor. Et eksempel er Europa-Parlamentets og Rådets direktiv 2005/60/EF af 26. oktober 2005 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvaskning af penge og finansiering af terrorisme (40). Et andet velkendt og meget omtalt eksempel vedrører behandling af personoplysninger i Society for Worldwide Interbank Financial Telecommunication (SWIFT) (41) for så vidt angår data, der er nødvendige for det amerikanske finansministeriums program til sporing af finansiering af terrorisme.

64.

EDPS mener, at disse tendenser kræver særlig opmærksomhed i Stockholmprogrammet. De kan betragtes som undtagelser fra princippet om formålsbegrænsning og griber ofte meget ind i privatlivets fred, eftersom anvendelsen af disse data kan afsløre meget om enkeltpersoners adfærd. I hvert tilfælde, hvor der foreslås sådanne foranstaltninger, skal der være meget stærke beviser for, at en sådan indgribende foranstaltning er nødvendig. Hvis der forelægges sådanne beviser, skal det sikres, at personernes rettigheder beskyttes fuldt ud.

65.

Ifølge EDPS bør der kun være mulighed for at anvende personoplysninger, der er indsamlet i kommercielt øjemed, til retshåndhævelsesformål på strenge betingelser, som f.eks.:

66.

I løbet af de seneste år er antallet af informationssystemer baseret på EU-lovgivning vokset i betydelig grad inden for området med frihed, sikkerhed og retfærdighed. Sommetider træffes der afgørelser for at indføre et system, der medfører central lagring af data på europæisk plan, til andre tider omhandler lovgivningen kun udveksling af oplysninger mellem nationale databaser. Schengeninformationssystemet er formodentligt det bedste eksempel på et system med central lagring. Rådets afgørelse 2008/615/RIA (Prümaftalen) (44) er set fra et databeskyttelsesperspektiv det væsentligste eksempel på et system uden central lagring, da det forudser en omfattende udveksling af biometriske data mellem medlemsstaternes myndigheder.

67.

Meddelelsen belyser, at denne tendens med at indføre nye systemer vil fortsætte. Et første eksempel, der er taget fra punkt 4.2.2, er et informationssystem, der udvider det europæiske informationssystem vedrørende strafferegistre (ECRIS) til at omfatte tredjelandsstatsborgere. Kommissionen har allerede bestilt en undersøgelse vedrørende det europæiske register over dømte statsborgere fra tredjelande (European Index for Convicted Third Country Nationals — EICTCN), hvilket eventuelt vil føre til en central database. Et andet eksempel er udvekslingen af oplysninger om personer i forbindelse med insolvensregistre i andre medlemsstater inden for rammerne af e-justice (punkt 3.4.1 i meddelelsen) uden central lagring.

68.

Et decentralt system vil have visse fordele set fra et databeskyttelsesperspektiv. Herved undgås det, at medlemsstatens myndighed og det centrale system foretager dobbelt lagring, ansvaret for dataene er klart, eftersom medlemsstatens myndighed er den registeransvarlige, og retsvæsenets og databeskyttelsesmyndighedernes kontrol kan finde sted på medlemsstatsplan. Men dette system har også svagheder, når data udveksles med andre jurisdiktioner, for eksempel når det skal sikres, at oplysninger ajourføres både i oprindelseslandet og i bestemmelseslandet, og med hensyn til at sikre effektiv kontrol på begge sider. Det er endnu vanskeligere at sikre ansvaret for det tekniske system for udvekslingen. Disse svagheder kan klares ved at vælge et centralt system, hvor de europæiske organer har et ansvar i det mindste for dele af systemet (som f.eks. den tekniske infrastruktur).

69.

I den forbindelse ville det være nyttigt at opstille vægtige kriterier for valget mellem centrale og decentrale systemer, idet der sikres klare og omhyggelige politiske valg i de konkrete tilfælde. Disse kriterier kan bidrage til systemernes funktion samt til beskyttelsen af borgernes data. EDPS foreslår at anføre, at det er hensigten at opstille sådanne kriterier i Stockholmprogrammet.

70.

I punkt 4.2.3.2 i meddelelsen drøftes i korte træk fremtiden for storstilede informationssystemer med særlig vægt på Schengeninformationssystemet (SIS) og visuminformationssystemet (VIS).

71.

Punkt 4.2.3.2 omhandler også indførelsen af et system for elektronisk registrering af indrejse til og udrejse fra EU-medlemsstaternes område samt programmer for registrerede rejsende. Kommissionen har allerede på et tidligere tidspunkt omtalt dette system som led i »grænsepakken« på foranledning af næstformand Franco Frattini (45). I sine indledende bemærkninger (46) var EDPS forholdsvis kritisk over for dette forslag, da behovet for et sådant indgribende system oven i de eksisterende storstilede systemer ikke var tilstrækkeligt påvist. EDPS har ikke noteret, at der er yderligere dokumentation for behovet for et sådant system, og foreslår derfor Rådet, at det ikke nævner denne idé i Stockholmprogrammet.

72.

I den forbindelse ønsker EDPS at henvise til sine udtalelser om forskellige initiativer vedrørende EU's informationsudveksling (47), hvori han fremsatte en lang række forslag og bemærkninger om den indvirkning på databeskyttelse, som anvendelsen af store databaser på EU-plan har. Blandt andre spørgsmål lagde han særlig vægt på behovet for stærke og skræddersyede garantier, der bør være indført, samt konsekvensanalysers proportionalitet og nødvendighed, inden der foreslås eller iværksættes foranstaltninger på dette område. EDPS er altid gået ind for en balance, der sikrer beskyttelse af rettigheder og data, mellem på den ene side sikkerhedskrav og på den anden side beskyttelse af de personers privatliv, som er omfattet af systemerne. Han indtog samme holdning, da han var tilsynsførende for de centrale del af systemerne.

73.

Endvidere benytter EDPS denne lejlighed til at fremhæve behovet for en konsekvent tilgang til EU's informationsudveksling som helhed for så vidt angår konsekvens vedrørende retlige og tekniske aspekter samt tilsynsaspekter mellem de systemer, der allerede er indført, og dem, der er under udvikling. Nu til dags er der mere end nogensinde et klart behov for en modig og omfattende vision om, hvordan EU's informationsudveksling og fremtiden for storstilede informationssystemer bør se ud. Det vil kun være muligt at tage et elektronisk system for indrejse til og udrejse fra medlemsstaternes område op til overvejelse på grundlag af en sådan vision.

74.

EDPS foreslår, at der i Stockholmprogrammet henvises til, at det er hensigten at udvikle en sådan vision, der også bør afspejle Lissabontraktatens eventuelle ikrafttræden og dens indvirkning på de systemer, der er baseret på retsgrundlag under første og tredje søjle.

75.

Endelig omhandler meddelelsen oprettelsen af et nyt agentur, der ifølge meddelelsen også bør være kompetent med hensyn til det elektroniske system for indrejse og udrejse. I mellemtiden har Kommissionen vedtaget et forslag om oprettelsen af et sådant agentur (48). EDPS støtter i princippet dette forslag, da det kan medvirke til, at disse systemer, herunder databeskyttelse, fungerer mere effektivt. Han vil forelægge en udtalelse om dette forslag, når tiden er inde.

76.

Europols rolle omtales flere steder i meddelelsen, hvilket understreger, at Europol skal spille en central rolle i forbindelse med koordinering, informationsudveksling og uddannelse af fagfolk, og at dette er et prioriteret område. Ligeledes henvises der i punkt 4.2.2 i meddelelsen til ændringerne for nylig af de retlige rammer for samarbejdet mellem Eurojust og Europol, og det oplyses, at Eurojust bør styrkes yderligere, navnlig for så vidt angår efterforskning af grænseoverskridende organiseret kriminalitet. EDPS støtter fuldt disse mål under forudsætning af, at databeskyttelsesgarantier respekteres på passende måde.

77.

I den forbindelse ser EDPS med tilfredshed på det nye udkast til aftale, som man for nylig nåede frem til mellem Europol og Eurojust (49), og som tager sigte på at forbedre og styrke det gensidige samarbejde mellem de to organer og sørge for effektiv informationsudveksling mellem dem. Dette er et arbejde, hvor effektiv og velfungerende databeskyttelse spiller en afgørende rolle.

78.

EDPS noterer, at meddelelsen ikke behandler spørgsmålet om den stigende anvendelse af biometriske data i Den Europæiske Unions forskellige retsakter vedrørende anvendelse af informationsudveksling, herunder instrumenter, der indfører storstilede informationssystemer. Dette er beklageligt i betragtning af, at det er et emne, der er meget vigtigt og følsomt set i lyset af databeskyttelse og beskyttelse af privatlivets fred.

79.

Selv om EDPS erkender de generelle fordele ved at anvende biometriske data, har han til stadighed understreget de omfattende virkninger af at anvende disse data på personers rettigheder og foreslået, at der indarbejdes strenge beskyttelsesforanstaltninger i forbindelse med anvendelsen af biometriske data i hvert enkelt system. Den Europæiske Menneskerettighedsdomstols dom for nylig i sagen S. og Marper mod Det Forenede Kongerige  (50) giver nyttige oplysninger i denne forbindelse, navnlig vedrørende begrundelsen og grænserne for anvendelsen af biometriske data. Især anvendelsen af dna-oplysninger kan afsløre følsomme oplysninger om enkeltpersoner, idet det også tages i betragtning, at de tekniske muligheder for at udtrække oplysninger fra dna stadig udvides. I tilfælde af storstilet anvendelse af biometriske data i informationssystemer er der også et problem på grund af, at der i sagens natur er unøjagtigheder i forbindelse med indsamling og sammenligning af biometriske data. Af disse grund bør EU-lovgiveren være tilbageholdende med at anvende disse data.

80.

Et andet tilbagevendende spørgsmål i de seneste år har været anvendelsen af fingeraftryk fra børn og ældre på grund af de biometriske systemers iboende mangler for så vidt angår disse aldersgrupper. EDPS har anmodet om en tilbundsgående undersøgelse for at bestemme systemernes nøjagtighed ordentligt (51). Han har foreslået en aldersgrænse på 14 år for børn, medmindre andet fremgår af denne undersøgelse. EDPS anbefaler, at dette spørgsmål nævnes i Stockholmprogrammet.

81.

Når dette er sagt, forslår EDPS, at det ville være nyttigt at opstille vægtige kriterier for anvendelsen af biometriske data. Disse kriterier bør sikre, at dataene kun anvendes, når det er nødvendigt, passende og står i rimeligt forhold til formålet, og når lovgiveren har godtgjort, at der er tale om udtrykkeligt angivne og legitime formål. For at være mere præcis bør biometriske data og især dna-oplysninger ikke anvendes, hvis den samme virkning kan opnås ved at anvende andre mindre følsomme oplysninger.

82.

Teknologi vil også blive brugt som et redskab til bedre retligt samarbejde. I punkt 3.4.1 i meddelelsen anføres det, at e-justice gør det lettere for borgerne at indbringe sager for domstolene. Det består af en portal med information og videokonferencer som led i den juridiske procedure. Det giver endvidere mulighed for at iværksætte juridiske procedurer online, og i forbindelse hermed påtænkes det at sammenkoble nationale registre, som f.eks. insolvensregistre. EDPS noterer sig, at meddelelsen ikke omhandler nye initiativer vedrørende e-justice, men konsoliderer de tiltag, der allerede er iværksat. EDPS er involveret i nogle af disse tiltag som en opfølgning af den udtalelse, han afgav den 19. december 2008 om Kommissionens meddelelse »På vej mod en EU-strategi for e-justice« (52).

83.

E-justice er et ambitiøst projekt, der kræver fuld støtte. Det kan på effektiv vis forbedre retsvæsenet i Europa og den retlige beskyttelse af borgerne. Det er et væsentligt skridt hen imod et europæisk område med retfærdighed. På baggrund af denne positive vurdering kan der fremsættes nogle bemærkninger:

84.

EDPS tilslutter sig den vægt, der i meddelelsen lægges på beskyttelse af grundlæggende rettigheder, og navnlig beskyttelse af personoplysninger, som et af de centrale spørgsmål i forbindelse med fremtiden for området med frihed, sikkerhed og retfærdighed. Efter EDPS's opfattelse fremmer meddelelsen med rette en balance mellem behovene for passende instrumenter til at garantere borgerne sikkerhed og beskyttelsen af deres grundlæggende rettigheder. Det erkendes, at der bør lægges mere vægt på beskyttelsen af personoplysninger.

85.

EDPS støtter fuldt ud punkt 2.3 i meddelelsen, hvori der opfordres til, at der indføres en omfattende databeskyttelsesordning på samtlige EU's kompetenceområder uafhængigt af Lissabontraktatens ikrafttræden. Han anbefaler i denne forbindelse:

86.

EDPS udtrykker tilfredshed med, at Kommissionen har til hensigt at bekræfte databeskyttelsesprincipperne, der skal knyttes til den offentlige høring bebudet af Kommissionen på konferencen »Personal data — more use, more protection?«, der fandt sted den 19.-20. maj 2009. Med hensyn til substansen fremhæver EDPS betydningen af princippet om formålsbegrænsning som en hjørnesten i databeskyttelseslovgivningen og af at fokusere på mulighederne for at forbedre effektiviteten af databeskyttelsesprincippernes anvendelse ved hjælp af instrumenter, der kan styrke de registeransvarliges ansvar.

87.

»Indbygget databeskyttelse« og teknologier, der tilgodeser hensynet til privatlivet, kunne fremmes ved

88.

Med hensyn til de eksterne aspekter af databeskyttelse anbefaler EDPS:

89.

EDPS noterer sig med stor interesse udviklingen hen imod en EU-informationsstyringsstrategi og en europæisk informationsmodel og fremhæver, at der i disse projekter bør lægges vægt på databeskyttelseselementer, der skal uddybes i Stockholmprogrammet. Arkitekturen for udveksling af oplysninger bør bygge på »indbygget databeskyttelse« og »bedste tilgængelige teknikker«.

90.

Den kendsgerning, at det er teknisk muligt at udveksle digital information mellem databaser, der kan samkøres, eller at flette disse databaser er ikke en begrundelse for en undtagelse fra princippet om formålsbegrænsning. Samkøring bør i konkrete tilfælde være baseret på klare og omhyggelige politiske valg. EDPS foreslår, at dette begreb præciseres i Stockholmprogrammet.

91.

Anvendelse af personoplysninger, der er indsamlet i kommercielt øjemed, til retshåndhævelsesformål bør ifølge EDPS kun være muligt på strenge betingelser, der er præcisereret i punkt 65 i denne udtalelse.

92.

Andre forslag med hensyn til anvendelsen af personoplysninger omfatter:

93.

EDPS støtter e-justice og har fremsat nogle bemærkninger om, hvordan projektet kan forbedres (jf.punkt 83).