23.9.2009   

NL

Publicatieblad van de Europese Unie

C 229/12

1.

Het initiatief van de Franse Republiek met het oog op de aanneming van een besluit van de Raad inzake het gebruik van informatica op douanegebied, is verschenen in het Publicatieblad van 5 februari 2009 (4). Noch de initiatiefnemer, noch de Raad heeft het advies van de EDPS ingewonnen. De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement heeft echter, naar aanleiding van het advies dat het Europees Parlement zal uitbrengen, de EDPS wel om advies verzocht, op grond van artikel 41 van Verordening (EG) nr. 45/2001. Hoewel de EDPS in soortgelijke (5) gevallen op eigen initiatief advies uitbrengt, moet dit advies tevens worden beschouwd als een antwoord op het verzoek van het Europees Parlement.

2.

Volgens de EDPS dient het onderhavige advies in de preambule van het Raadsbesluit te worden vermeld, zoals dat eerder is gebeurd in regelgeving die op basis van een voorstel van de Commissie wordt aangenomen.

3.

Lidstaten die het initiatief nemen tot wetgeving op grond van titel VI van het EU-Verdrag zijn juridisch niet verplicht het advies van de EDPS in te winnen, maar het geldende recht sluit dit evenmin uit. De EDPS betreurt het dat de Franse Republiek noch de Raad dat in casu heeft gedaan.

4.

De EDPS wijst erop dat, in verband met de behandeling van het voorstel bij de Raad, het commentaar in dit advies de versie van 24 februari 2009 (doc. 5903/2/ REV 2) geldt, die op de website van het Europees Parlement staat (6).

5.

De EDPS vindt dat zowel het initiatief zelf als bepaalde artikelen en mechanismen daaruit nader moeten worden toegelicht en gemotiveerd. Helaas gaat het initiatief niet vergezeld van een Impact Assessment of toelichting — onmisbaar om tot een transparanter en, meer in het algemeen, beter wetgevingsproces te kunnen komen. Met behulp van een toelichting zou een aantal punten in het voorstel, bijvoorbeeld betreffende de vraag of en waarom Europol en Eurojust toegang moeten krijgen tot het DIS, gemakkelijker kunnen worden beoordeeld.

6.

De EDPS heeft rekening gehouden met het advies (09/03) dat de gemeenschappelijke controleautoriteit douane op 24 maart 2009 heeft uitgebracht over het ontwerpbesluit van de Raad inzake het gebruik van informatica op douanegebied.

7.

Het rechtskader van het douane-informatiesysteem („het DIS”) behoort thans zowel tot de eerste als tot de derde pijler. In de derde pijler bestaat het hoofdzakelijk uit de Overeenkomst van 26 juli 1995, opgesteld op grond van artikel K.3 van het Verdrag betreffende de Europese Unie, inzake het gebruik van informatica op douanegebied („de DIS-overeenkomst” (7), en de protocollen van respectievelijk 12 maart 1999 en 8 maart 2003.

8.

Op het gebied van gegevensbescherming is onder meer van toepassing het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens („Verdrag 108 van de Raad van Europa”). Ook Kaderbesluit 2008/977/JBZ zou volgens het voorstel op het DIS van toepassing zijn.

9.

In de eerste pijler berust het systeem op Verordening (EG) nr. 515/97 van de Raad van 13 maart 1997 betreffende de wederzijdse bijstand tussen de administratieve autoriteiten van de lidstaten en de samenwerking tussen deze autoriteiten en de Commissie met het oog op de juiste toepassing van de douane- en landbouwvoorschriften (8).

10.

De DIS-overeenkomst heeft volgens haar artikel 2, lid 2, tot doel „bij te dragen tot het voorkomen, het onderzoeken en het vervolgen van ernstige overtredingen van nationale wetten, door verbetering, via een snelle verspreiding van informatie, van de doeltreffendheid van de samenwerkings- en controleprocedures van de douaneadministraties van de lidstaten”.

11.

Voorts bepaalt de overeenkomst dat het douane-informatiesysteem uit een centrale gegevensbank bestaat en in elke lidstaat door middel van terminals toegankelijk is. Andere belangrijke kenmerken zijn:

12.

Het Franse initiatief, dat gebaseerd is op artikel 30, lid 1, onder a), en artikel 34, lid 2, van het Verdrag betreffende de Europese Unie, en strekt tot vervanging van de DIS-overeenkomst, het protocol van 12 maart 1999 en het protocol van 8 maart 2003, wil deze component in overeenstemming brengen met de regelgeving in de eerste pijler.

13.

Het voorstel reikt echter verder dan vervanging van de DIS-overeenkomst door een Raadsbesluit. Een groot aantal bepalingen van de overeenkomst wordt gewijzigd, en toegang tot het DIS wordt nu ook gegeven aan Europol en Eurojust. Vergelijkbare bepalingen uit de eerder genoemde Verordening (EG) nr. 766/2008, die betrekking hebben op de werking van het DIS — namelijk wat het referentiebestand van onderzoeksdossiers (hoofdstuk VI) betreft — zijn in het voorstel verwerkt.

14.

In het voorstel wordt ook rekening gehouden met nieuwe regelgeving, zoals Kaderbesluit 2008/977/JBZ en Kaderbesluit 2006/960/JBZ van de Raad van 13 december 2006 betreffende de vereenvoudiging van de uitwisseling van informatie en inlichtingen tussen de rechtshandhavingsautoriteiten van de lidstaten van de Europese Unie (10).

15.

Het voorgestelde besluit heeft onder meer ten doel:

16.

Volgens artikel 1 van het voorstel heeft het DIS ten doel „bij te dragen tot het voorkomen, het onderzoeken en het vervolgen van ernstige overtredingen van nationale wetten door deze gegevens sneller toegankelijk te maken en aldus de doeltreffendheid van de samenwerkings- en controleprocedures van de douaneadministraties van de lidstaten te verbeteren”. Dit stemt grotendeels overeen met het bepaalde in artikel 2, lid 2, van de DIS-overeenkomst.

17.

Te dien einde wordt volgens het voorstel het gebruik van DIS-gegevens uitgebreid met raadpleging van het systeem en de mogelijkheid van strategische of operationele analyse. De EDPS neemt er nota van dat de opzet is verruimd, dat er meer categorieën persoonsgegevens kunnen worden verzameld en verwerkt, en dat de lijst van betrokkenen met rechtstreekse toegang tot het DIS wordt uitgebreid.

18.

De EDPS, momenteel de autoriteit die toezicht houdt op het centrale onderdeel van de eerstepijlercomponent van het DIS, stelt bijzonder belang in het initiatief en de inhoudelijke innovaties bij de behandeling in Raadsverband. De EDPS benadrukt dat beide componenten volgens een coherente totaalaanpak op elkaar moeten worden afgestemd.

19.

Aan het voorstel zitten diverse aspecten vast die verband houden met grondrechten, met name het recht op bescherming van persoonsgegevens, het recht op informatie en andere rechten van de betrokkene.

20.

Wat de huidige gegevensbeschermingsregeling in de DIS-overeenkomst betreft, zou een aantal bepalingen moeten worden aangepast en geactualiseerd, omdat zij niet meer aan de eisen en normen voldoen. Immers, dat er wordt gezorgd voor een hoog niveau van persoonsgegevensbescherming en een efficiëntere toepassing daarvan in de praktijk, moet worden beschouwd als een essentiële voorwaarde om de werking van het systeem te kunnen verbeteren.

21.

Hieronder volgen enkele algemene opmerkingen, waarna de voor de persoonsgegevensbescherming relevante aangelegenheden worden behandeld, namelijk:

22.

Hierboven hebben wij gezegd vooral geïnteresseerd te zijn in wat er gaande is met betrekking tot de derdepijlercomponent van het DIS; in het centrale onderdeel van de eerstepijlercomponent heeft de EDPS namelijk al toezichtstaken, en wel op grond van de nieuwe Verordening (EG) nr. 766/2008 van het Europees Parlement en de Raad (11) met het oog op de juiste toepassing van de douane- en landbouwvoorschriften.

23.

In dit verband wijzen wij de wetgever erop dat de EDPS zich al in eerdere adviezen, met name dat van 22 februari 2007, heeft uitgesproken over het toezicht in de eerstepijlercomponent van het DIS (12).

24.

Wij citeren: „Door het opzetten en bijwerken van de verschillende instrumenten voor het verbeteren van de communautaire samenwerking, namelijk het DIS, het FIDE en het Europees gegevensbestand, worden meer in de lidstaten verzamelde en vervolgens met de bestuurlijke autoriteiten van de lidstaten en in sommige landen ook met derde landen uitgewisselde persoonsgegevens gedeeld. Het kan onder meer gaan om gegevens betreffende de vermeende of bewezen betrokkenheid van personen bij inbreuken op de douane- of landbouwwetgeving.(…) Dat belang wordt nog groter indien men rekening houdt met het type verzamelde en gedeelde gegevens, met name gegevens over personen die verdacht worden van medeplichtigheid aan inbreuken, en het globale doel en resultaat van de verwerking van deze gegevens.”.

25.

In tegenstelling tot Verordening (EG) nr. 766/2008, waarbij de eerstepijlercomponent van het DIS slechts op onderdelen werd gewijzigd, zou het onderhavige voorstel strekken tot algehele herziening van de DIS-overeenkomst, waardoor de wetgever de kans krijgt een meer omvattende visie te hanteren, volgens een coherente totaalaanpak.

26.

De EDPS is van mening dat deze aanpak ook toekomstgericht moet zijn. Wat de inhoud van het voorgestelde besluit betreft, zullen nieuwe elementen, zoals Kaderbesluit 2008/977/JBZ en de (mogelijke) inwerkingtreding van het Verdrag van Lissabon, terdege in beschouwing en aanmerking moeten worden genomen.

27.

Wat de inwerkingtreding van het Verdrag van Lissabon betreft, dient de wetgever zich te buigen over de vraag welke gevolgen de afschaffing van de pijlerstructuur zou kunnen hebben op het DIS, dat nu nog op een combinatie van eerste- en derdepijlerregelgeving berust. De EDPS betreurt het dat niet nader wordt ingegaan op deze belangrijke aangelegenheid, die van grote invloed zou kunnen zijn op het rechtskader dat het DIS zal beheersen. Meer in het algemeen rijst de vraag of de wetgever ter wille van de rechtszekerheid de herziening niet beter zou uitstellen totdat het Verdrag van Lissabon in werking is getreden.

28.

Met de algehele vervanging van de DIS-overeenkomst biedt zich een geschikte gelegenheid aan om DIS in overeenstemming te brengen met systemen en mechanismen die na de overeenkomst tot stand zijn gekomen. De EDPS wenst dat de DIS-regelgeving, ook wat het toezichtsmodel betreft, aansluit bij andere wetteksten, vooral die betreffende de oprichting van het Schengeninformatiesysteem II en het Visuminformatiesysteem.

29.

Aangezien de lidstaten in het DIS informatie uitwisselen, valt het toe te juichen dat in het voorstel rekening wordt gehouden met het kaderbesluit over de bescherming van persoonsgegevens. In artikel 20 van het voorstel staat uitdrukkelijk dat Kaderbesluit 2008/977/JBZ geldt voor de bescherming van de gegevensuitwisseling overeenkomstig dit besluit, tenzij in dit besluit anders is bepaald. Voorts zij opgemerkt dat ook op andere plaatsen in het voorstel naar het kaderbesluit wordt verwezen, bijvoorbeeld in artikel 4, lid 5, volgens hetwelk de in artikel 6 van Kaderbesluit 2008/977/JBZ bedoelde gegevens niet worden ingevoerd, in artikel 8, houdende het verbod gegevens uit het DIS douane-informatiesysteem te gebruiken voor een ander dan het in artikel 1, lid 2, omschreven doel, in artikel 22, over de persoonlijkheidsrechten met betrekking tot de in het DIS ingevoerde gegevens, en in artikel 29, over de verantwoordelijkheid en de aansprakelijkheid.

30.

De EDPS is van oordeel dat de begrippen en beginselen uit dit kaderbesluit ook geschikt zijn in het kader van het DIS, en daarom zowel uit rechtszekerheidsoverwegingen als ter wille van de juridische coherentie ook van toepassing zouden moeten zijn.

31.

Wel zou in het DIS-besluit de garantie moeten worden ingebouwd dat, in afwachting van de volledige implementatie — in overeenstemming met de slotbepalingen — van Kaderbesluit 2008/977/JBZ, de gegevensbeschermingsregeling niet kan worden omzeild. Met andere woorden, wij geven er de voorkeur aan dat de noodzakelijke en adequate garanties al voorhanden zijn voordat het nieuwe systeem van gegevensuitwisseling van start gaat.

32.

Een effectieve toepassing van het recht op gegevensbescherming en van het recht op informatie is van cruciaal belang om het douane-informatiesysteem naar behoren te kunnen laten functioneren. De gegevensbescherming moet niet alleen worden gewaarborgd om de personen die onder het DIS vallen daadwerkelijk te beschermen, maar ook om een behoorlijke en efficiëntere werking van het systeem te bevorderen.

33.

Dat die waarborgen sterk en efficiënt moeten zijn, is des te evidenter omdat het DIS een databank is die veeleer op „vermoedens” dan op veroordelingen of andere beslissingen van gerechtelijke of bestuursrechtelijke aard berust. Dit blijkt uit artikel 5 van het voorstel: „Gegevens met betrekking tot de in artikel 3 bedoelde categorieën mogen uitsluitend in het douane-informatiesysteem worden ingevoerd met het oog op melding van waarneming, onopvallende en gerichte controle en strategische of operationele analyse. Ten behoeve van de voorgestelde acties (…) mogen persoonsgegevens (…) uitsluitend in het douane-informatiesysteem worden ingevoerd indien er, in het bijzonder op grond van eerdere illegale handelingen, concrete aanwijzingen bestaan dat de desbetreffende persoon ernstige overtredingen van nationale wetten heeft begaan, bezig is deze te begaan, of nog zal begaan.”. Om die reden moeten in het voorstel evenwichtige, efficiënte en geactualiseerde waarborgen — in de zin van persoonsgegevensbescherming en controlemechanismen — worden ingebouwd.

34.

Wat de bepalingen in het voorstel betreft die specifiek betrekking hebben op de bescherming van persoonsgegevens, neemt de EDPS er nota van dat geprobeerd is meer waarborgen te bieden dan die welke in de DIS-overeenkomst zijn vervat. Er blijven echter ernstige bezwaren bestaan met betrekking tot de gegevensbeschermingsvoorschriften, in het bijzonder wat de toepassing van het doelbindingsbeginsel betreft.

35.

Ook zij hier opgemerkt dat wat in dit advies wordt gezegd over de gegevensbeschermingswaarborgen, niet alleen de bepalingen tot wijziging of uitbreiding van het toepassingsgebied van de DIS-overeenkomst geldt, maar ook de daaruit overgenomen bepalingen. Zoals immers in punt II te lezen staat, voldoen bepaalde regels uit de overeenkomst niet meer aan de huidige eisen op het gebied van gegevensbescherming; dankzij het Franse initiatief kan het gehele systeem nu opnieuw worden bekeken, en kan een adequaat gegevensbeschermingsniveau worden bewerkstelligd, dat gelijkwaardig is aan dat van de eerstepijlercomponent.

36.

De EDPS stelt met voldoening vast dat in het DIS alleen persoonsgegevens uit een beperkte, limitatieve lijst mogen worden ingevoerd. Ook het feit dat de term „persoonsgegevens” een ruimere inhoud krijgt dan in de overeenkomst stemt tot tevredenheid. In artikel 2, lid 2 worden „persoonsgegevens” gedefinieerd als iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon („betrokkene”); als identificeerbaar wordt beschouwd een persoon die rechtstreeks of onrechtstreeks kan worden geïdentificeerd, met name via een identificatienummer of een of meer specifieke gegevens in verband met zijn fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

37.

Een voorbeeld van een bepaling die uit het oogpunt van gegevensbescherming grote bezwaren oplevert, is artikel 8, volgens hetwelk „de lidstaten gegevens die zijn verkregen uit het DIS uitsluitend mogen gebruiken om het in artikel 1, lid 2, omschreven doel te bereiken. Met voorafgaande toestemming van de lidstaat die de gegevens in het systeem heeft ingevoerd en met inachtneming van de door die lidstaat gestelde voorwaarden, mogen zij deze gegevens evenwel ook voor administratieve of andere doeleinden gebruiken. Dit andere gebruik moet in overeenstemming zijn met de wetten, regelingen en procedures van de lidstaat die de gegevens wenst te gebruiken overeenkomstig artikel 3, lid 2, van Kaderbesluit 2008/977/JBZ.”. Deze bepaling betreffende het gebruik van de uit het DIS verkregen gegevens is van essentieel belang voor de opzet van het systeem en verdient daarom bijzondere aandacht.

38.

In artikel 8 van het voorstel wordt verwezen naar artikel 3, lid 2, van Kaderbesluit 2008/977/JBZ, over het „Beginsel van rechtmatigheid, evenredigheid en doelbinding”. Artikel 3 van het kaderbesluit luidt als volgt:

„1.   Persoonsgegevens mogen door de bevoegde autoriteiten alleen worden verzameld voor specifieke, uitdrukkelijke en rechtmatige doeleinden in het kader van hun taken en alleen worden verwerkt voor het doel waarvoor zij zijn verzameld. De verwerking van de gegevens moet rechtmatig, adequaat, ter zake dienend en niet excessief zijn in verhouding tot het doel waarvoor zij worden verzameld.

2.   Verdere verwerking voor een ander doel is toegestaan, mits

39.

Artikel 3, lid 2, van Kaderbesluit 2008/977/JBZ mag dan al voorzien in algemene voorwaarden waaraan de verwerking voor andere doeleinden moet voldoen, in artikel 8 van het voorstel wordt toegestaan dat de gegevens uit het DIS worden gebruikt voor alle mogelijke, niet nader omschreven administratieve en andere doeleinden, hetgeen bezorgdheid wekt omtrent de inachtneming van de gegevensbeschermingseisen, met name het doelbindingsbeginsel. Bovendien is in de eerstepijlercomponent algemeen gebruik niet toegestaan. De EDPS wenst daarom dat bepaald wordt voor welke doeleinden de gegevens mogen worden gebruikt. Dit is van wezenlijk belang voor de gegevensbescherming, omdat het de kern van het datagebruik in grootschalige systemen raakt: „gegevens mogen alleen worden gebruikt voor welbepaalde en duidelijk afgebakende, door het rechtskader beheerste doeleinden”.

40.

Artikel 8, lid 4, van het voorstel regelt de doorgifte van de gegevens aan derde landen en aan internationale organisaties: „Gegevens die zijn verkregen uit het douane-informatiesysteem kunnen, met voorafgaande toestemming van de lidstaat die de gegevens in het systeem heeft ingevoerd en met inachtneming van de eventueel door die staat gestelde voorwaarden, worden overgedragen voor gebruik door (…) niet-lidstaten, en internationale en regionale organisaties die de gegevens wensen te gebruiken. Elke lidstaat neemt speciale maatregelen ter beveiliging van zulke gegevens wanneer deze worden overgedragen aan instanties buiten zijn eigen grondgebied. Bijzonderheden van dergelijke maatregelen dienen te worden doorgegeven aan de in artikel 25 genoemde gemeenschappelijke controleautoriteit.”.

41.

De EDPS wijst erop dat in dit verband artikel 11 van het kaderbesluit persoonsgegevensbescherming van toepassing is. Artikel 8, lid 4, van het voorstel — dat de lidstaten in principe toestaat gegevens uit het DIS over te dragen aan niet-lidstaten, en internationale en regionale organisaties die de gegevens wensen te gebruiken — is echter zeer algemeen geformuleerd, en de geboden waarborgen zijn bij lange na niet voldoende om de gegevens te beschermen. De EDPS wenst dat in deze bepaling een eenvormige regeling wordt vervat, met een adequaat mechanisme om te beoordelen, bijvoorbeeld via het in artikel 26 bedoelde comité, of de waarborgen toereikend zijn.

42.

De EDPS neemt met voldoening kennis van de bepalingen over de wijziging van gegevens (hoofdstuk IV, artikel 13), die een belangrijk aspect van het gegevenskwaliteitsbeginsel vormen. Vooral het feit dat het toepassingsgebied wordt gewijzigd en uitgebreid ten opzichte van de DIS-overeenkomst, en nu ook het verbeteren en verwijderen van gegevens bevat, wordt toegejuicht. Zo bepaalt lid 2 van artikel 13 dat als de gegevensverstrekkende lidstaat of Europol opmerkt of erop wordt gewezen dat de door hem, respectievelijk door Europol, ingevoerde gegevens feitelijk onjuist zijn, of in strijd met het besluit zijn ingevoerd of opgeslagen, de lidstaat of Europol deze gegevens, naar gelang van het geval, wijzigt, aanvult, verbetert of verwijdert, en de andere lidstaten en Europol hiervan in kennis stelt.

43.

In de bepalingen van hoofdstuk V, over het bewaren van gegevens, waarvoor vooral is uitgegaan van de DIS-overeenkomst, zijn onder meer bewaartermijnen voor uit het DIS gekopieerde gegevens vastgesteld.

44.

Hoofdstuk IX (bescherming van persoonsgegevens) is een afspiegeling van een groot aantal bepalingen uit de DIS-overeenkomst. Een belangrijk verschil echter is dat nu het kaderbesluit persoonsgegevensbescherming van toepassing zou zijn op het DIS, en dat volgens artikel 22 van het voorstel „de rechten van personen met betrekking tot de persoonsgegevens in het douane-informatiesysteem, in het bijzonder het recht van toegang, verbetering, verwijdering of afscherming, worden uitgeoefend in overeenstemming met de wetten, regelingen en procedures van de lidstaat tot uitvoering van Kaderbesluit 2008/977/JBZ waarin op deze rechten een beroep wordt gedaan”. Belangrijk acht de EDPS het vooral dat de procedure, waarbij de betrokkenen in iedere lidstaat hun rechten kunnen laten gelden en toegang kunnen verlangen, wordt gehandhaafd. De EDPS zal er nauwlettend op toezien dat aan dit belangrijke recht de hand wordt gehouden.

45.

Ook wat het verbod op het kopiëren van gegevens uit het DIS naar andere, nationale bestanden betreft, wordt het toepassingsgebied uitgebreid. In artikel 14, lid 2, van de overeenkomst luidt het dat „gegevens die door andere lidstaten in het douane-informatiesysteem zijn ingevoerd, hieruit niet naar andere nationale databestanden worden gekopieerd”. Volgens artikel 21, lid 3, van het voorstel kunnen zij wel worden gekopieerd „naar systemen voor risicobeheer die gebruikt worden om nationale douanecontroles te sturen of naar een systeem voor operationele analyse dat gebruikt wordt om acties te coördineren.” De EDPS sluit zich in dit verband aan bij wat de gemeenschappelijke controleautoriteit in advies 09/03 heeft opgemerkt inzake de term „systemen voor risicobeheer” en inzake het feit dat nader bepaald moet worden wanneer en in welke omstandigheden kopiëren overeenkomstig artikel 21, lid 3, zou worden toegestaan.

46.

De bepalingen over beveiliging (hoofdstuk XII), die van essentieel belang zijn om het DIS efficiënt te kunnen laten functioneren, dragen onze goedkeuring weg.

47.

Nieuw zijn de bepalingen over het referentiebestand van onderzoeksdossiers (artikelen 16 tot en met 19), die beantwoorden aan wat in de eerstepijlercomponent is bepaald. De EDPS betwist niet dat er in het DIS behoefte is aan een dergelijk nieuw bestand, maar wijst erop dat het met adequate beschermingsgaranties moet worden omgeven. Dat de in artikel 21, lid 3, genoemde uitzondering niet geldt voor het referentiebestand van onderzoeksdossiers, is dan ook positief te noemen.

48.

Volgens het voorstel krijgen de Europese Politiedienst (Europol) en de Europese eenheid voor justitiële samenwerking (Eurojust) toegang tot het DIS.

49.

Om te beginnen zou duidelijk bepaald moeten worden met welk doel toegang wordt verleend, en bekeken moeten worden of deze uitbreiding noodzakelijk is en in verhouding staat tot het doel. Waarom zij noodzakelijk zou zijn, wordt niet uitgelegd. In het geval van toegang tot databanken met persoonsgegevens, en de desbetreffende functies en verwerking, is het zonder meer nodig vooraf na te gaan of er niet alleen sprake is van nuttigheid, maar ook van een reële, gedocumenteerde noodzaak. De EDPS benadrukt dat er geen motivering wordt gegeven.

50.

Voorts zou in de tekst duidelijk bepaald moeten worden voor welke taken Europol en Eurojust toegang kunnen krijgen tot de gegevens.

51.

Volgens artikel 11: „heeft Europol binnen de grenzen van zijn mandaat en voor de uitvoering van zijn taken het recht om de in het DIS ingevoerde gegevens op te vragen, deze rechtstreeks te raadplegen en gegevens aan het systeem toe te voegen”.

52.

De EDPS is ingenomen met de nieuwe beperkingen, in het bijzonder de volgende:

53.

Telkens als in het voorstel sprake is van de Europolovereenkomst, dient men het Raadsbesluit voor ogen te hebben op grond waarvan Europol op 1 januari 2010 een agentschap wordt.

54.

Artikel 12 van het voorstel handelt over de toegang van Eurojust tot het DIS: „Onverminderd hoofdstuk IX hebben de nationale leden van de Europese eenheid voor justitiële samenwerking (Eurojust) en hun assistenten binnen de grenzen van hun mandaat het recht om overeenkomstig de leden 1, 3, 4 ,5 en 6 de in het douane-informatiesysteem ingevoerde gegevens op te vragen en deze te raadplegen.”. Toelating wordt afhankelijk gesteld van de toestemming — volgens een procedure die te vergelijken is met die welke voor Europol wordt voorgesteld — van de lidstaat die de data heeft ingevoerd. Ook met betrekking tot Eurojust geldt dus dat moet worden aangegeven waarom toegang noodzakelijk is, en dat waar nodig adequate beperkingen moeten worden ingebouwd.

55.

Het schenkt de EDPS voldoening dat alleen de nationale leden, hun plaatsvervangers en hun assistenten tot het DIS worden toegelaten. Hij stelt echter vast dat in artikel 12, lid 1, alleen sprake is van de nationale leden en hun assistenten, terwijl elders in het artikel ook de plaatsvervangers van de nationale leden worden bedoeld. De wetgever moet hier zorgen voor duidelijkheid en coherentie.

56.

Wat het voorgestelde toezicht in de derdepijlercomponent betreft, dringt de EDPS erop aan dat het gehele systeem aan consistent toezicht wordt onderworpen. Het complexe rechtskader van het DIS, dat op twee grondslagen berust, moet in beschouwing worden genomen, en zowel ter wille van de rechtszekerheid als uit praktische overwegingen dient men te vermijden dat in twee verschillende vormen van toezicht wordt voorzien.

57.

Zoals gezegd, treedt de EDPS thans als toezichthouder op met betrekking tot het centrale onderdeel van de eerstepijlercomponent. Dit spoort met artikel 37 van Verordening (EG) nr. 515/97 van de Raad, „De Europese Toezichthouder voor gegevensbescherming ziet erop toe dat het DIS voldoet aan Verordening (EG) nr. 45/2001.”. In het toezichtsmodel uit het Franse voorstel wordt hiermee geen rekening gehouden. Dat model is gebaseerd op de rol van de gemeenschappelijke controleautoriteit van het DIS.

58.

De EDPS heeft waardering voor het werk van de gemeenschappelijke controleautoriteit van het DIS, maar vindt dat een gecoördineerd toezicht geboden is, in lijn met de huidige toezichtstaken van de EDPS in andere grootschalige systemen, en wel om twee redenen. Ten eerste zou een dergelijk model borg staan voor consistentie tussen de eerste- en de derdepijlercomponent van het systeem. Ten tweede zou het coherent zijn met het toezichtsmodel dat in andere grootschalige systemen geldt. De EDPS pleit er daarom voor dat op het DIS als geheel een model wordt toegepast dat te vergelijken is met het model van SIS II („gecoördineerd toezicht”, of „gelaagd model”). Zoals te lezen staat in het advies van de EDPS over de eerstepijlercomponent, „heeft de Europese wetgever in het kader van het SIS II ervoor gekozen het model van toezicht te rationaliseren door hetzelfde gelaagde model te hanteren als datgene dat hiervoor met betrekking tot de eerste pijler- en de derde pijleromgeving van het systeem is beschreven”.

59.

De meest aangewezen oplossing is een meer eenvormige toezichtregeling, namelijk het reeds beproefde drielagenmodel: de nationale gegevensbeschermingsautoriteiten op het nationale niveau, de EDPS op centraal niveau, en onderlinge coördinatie. De vervanging van de DIS-overeenkomst biedt een unieke kans voor de invoering van dit eenvoudiger en consistenter model, dat volledig in de lijn ligt van andere grootschalige systemen (VIS, SIS II, Eurodac).

60.

Tot slot doet het coördinatiemodel ook meer recht aan de veranderingen die het gevolg zullen zijn van de inwerkingtreding van het Verdrag van Lissabon en de afschaffing van de pijlerstructuur van de EU.

61.

Over de vraag of het coördinatiemodel impliceert dat de eerstepijlercomponent van het DIS, namelijk Verordening (EG) nr. 766/2008, wordt gewijzigd, wil de EDPS zich niet uitlaten, maar hij wijst erop dat de wetgever ook de juridische coherentie voor ogen moet houden.

62.

Artikel 7, lid 2, bepaalt dat elke lidstaat aan de andere lidstaten en aan het in artikel 26 bedoelde comité meedeelt welke autoriteiten met recht van toegang tot het DIS hij heeft aangewezen, en — per autoriteit — op welke gegevens en doeleinden dat recht betrekking heeft.

63.

De EDPS wijst erop dat volgens het voorstel de informatie welke autoriteiten toegang hebben tot het DIS uitsluitend wordt uitgewisseld tussen de lidstaten, die het in artikel 26 bedoelde comité op de hoogte moeten brengen; er wordt echter niet voorgesteld dat die lijst openbaar wordt gemaakt. Dit is te betreuren, omdat openbaarmaking de transparantie ten goede zou komen, en een praktisch middel is om het systeem te onderwerpen aan een effectieve controle, bijvoorbeeld door de bevoegde gegevensbeschermingsautoriteiten.

64.

De EDPS steunt het voorstel voor een besluit van de Raad inzake het gebruik van informatica op douanegebied. Hij benadrukt dat het wetgevingsproces bij de Raad nog gaande is, en hij zich dus niet op basis van de eindtekst over het voorstel kan uitspreken.

65.

Hij betreurt het dat het voorstel niet vergezeld gaat van een toelichting, waarin de nodige uitleg en informatie zou kunnen worden gegeven bij de doelstellingen en specifieke kenmerken van sommige bepalingen.

66.

In het voorstel zou meer aandacht moeten worden besteed aan het feit dat specifieke gegevensbeschermingswaarborgen nodig zijn. In bepaalde opzichten, met name wat de toepassing van het doelbindingsbeginsel bij het gebruik van in het DIS ingevoerde gegevens betreft, zou de implementatie van deze waarborgen beter moeten worden geregeld. Dit is volgens de EDPS een essentiële voorwaarde om het douane-informatiesysteem beter te kunnen laten functioneren.

67.

Het toezicht zou volgens een coördinatiemodel moeten worden georganiseerd. Momenteel oefent de EDPS toezicht uit in de eerstepijlercomponent van het systeem. De coherentie en de consistentie zijn er het beste mee gediend wanneer het coördinatiemodel ook in de derdepijlercomponent wordt toegepast. Waar nodig en passend zou dit model ook zorgen voor samenhang met andere regelgeving betreffende de oprichting en/of het gebruik van andere grootschalige it-systemen.

68.

De EDPS wenst dat beter wordt toegelicht waarom en in welke mate Eurojust en Europol toegangsrecht moet worden verleend. Hij onderstreept dat het voorstel wat dat betreft te wensen overlaat.

69.

Artikel 8, lid 4, over de gegevensoverdracht aan niet-lidstaten of internationale organisaties, zou moeten worden aangescherpt. Dit houdt in dat volgens een eenvormige regeling moet worden beoordeeld of de overdracht voldoet aan de normen.

70.

De EDPS wenst dat in het voorstel een bepaling over openbaarmaking van de lijst van autoriteiten met recht van toegang tot het DIS wordt opgenomen, om het systeem transparanter te maken en er gemakkelijker toezicht op te kunnen uitoefenen.