18.2.2012   

NL

Publicatieblad van de Europese Unie

C 48/2

1.

Op 29 augustus 2011 heeft de Commissie haar goedkeuring gehecht aan een voorstel voor een verordening van het Europees Parlement en de Raad betreffende de administratieve samenwerking via het Informatiesysteem interne markt (hierna: „het voorstel” of „de voorgestelde verordening”) (3). Het voorstel werd op dezelfde dag naar de EDPS verstuurd voor advies

2.

Voor de goedkeuring van het voorstel werd de EDPS in de gelegenheid gesteld informele opmerkingen te maken, terwijl hij daarvoor reeds de mogelijkheid had om dit te doen met betrekking tot de mededeling van de Commissie „Een beter bestuur van de interne markt door meer bestuurlijke samenwerking: Een uitbreidings- en ontwikkelingsstrategie voor het Informatiesysteem interne markt (IMI)” (4), die aan het voorstel voorafging. Tal van deze opmerkingen zijn in het voorstel in aanmerking genomen, zodat de gegevensbeschermingsmaatregelen in het voorstel zijn versterkt.

3.

De EDPS waardeert dat de Commissie hem formeel heeft geraadpleegd en dat een verwijzing naar dit advies is opgenomen in de preambule van het voorstel.

4.

Het Informatiesysteem interne markt (IMI) is een IT-instrument waarmee de bevoegde autoriteiten uit de lidstaten onderling informatie kunnen uitwisselen bij de toepassing van de wetgeving over de interne markt. Het IMI biedt de nationale, regionale en lokale autoriteiten in de lidstaten van de EU de mogelijkheid snel en gemakkelijk met instanties in andere Europese landen te communiceren. Hierbij worden ook relevante persoonsgegevens, waaronder gevoelige gegevens, verwerkt.

5.

Het IMI werd oorspronkelijk opgezet als instrument voor één-op-één-uitwisselingen van gegevens uit hoofde van de Richtlijn beroepskwalificaties (5) en de Dienstenrichtlijn (6). Met behulp van het IMI kunnen de gebruikers vaststellen welke autoriteit in een andere lidstaat bevoegd is en vervolgens met deze autoriteit communiceren via vooraf vertaalde standaardvragen en -antwoorden (7).

6.

Het is echter de bedoeling om van het IMI een flexibel, horizontaal systeem te maken dat op tal van gebieden van de internemarktwetgeving een ondersteunende rol kan spelen. Er wordt beoogd het gebruik van dit instrument geleidelijk aan uit te breiden en het in de toekomst ook op andere terreinen van het EU-recht in te zetten.

7.

Tevens wordt beoogd de functionaliteiten van het IMI uit te breiden. Naast de één-op-één-uitwisseling van informatie zijn nieuwe functionaliteiten gepland of reeds ingevoerd, zoals „kennisgevingsprocedures, waarschuwingsmechanismen, regelingen voor wederzijdse bijstand en probleemoplossing” (8) en „een geheugen met informatie […] als toekomstige referentiebron voor IMI-actoren” (9). Bij vele van deze functionaliteiten, maar niet alle, kan het zijn dat persoonsgegevens worden verwerkt.

8.

Het voorstel is erop gericht te voorzien in een duidelijke rechtsgrondslag en een uitgebreid gegevensbeschermingskader voor het IMI.

9.

In het voorjaar van 2007 verzocht de Europese Commissie de Groep gegevensbescherming van artikel 29 (WP29) om een advies over de implicaties van het IMI op het gebied van gegevensbescherming. De WP29 bracht haar advies op 20 september 2007 uit (10). In dit advies werd de Commissie aanbevolen de gegevensuitwisseling binnen het IMI van een duidelijker rechtsgrond te voorzien en in dit verband specifieke waarborgen voor de gegevensbescherming te bieden. De EDPS nam actief deel aan de werkzaamheden van de subgroep IMI en onderschreef de conclusies uit het advies van de WP29.

10.

Daarna heeft de EDPS de Commissie verder geadviseerd over de vraag hoe stapsgewijs voor een sterker gegevensbeschermingskader voor het IMI kan worden gezorgd (11). In het verdere verloop van deze samenwerking en sinds zijn advies van 22 februari 2008 over de invoering van het IMI (12) heeft de EDPS consequent aangedrongen op de vaststelling van een nieuw wetgevingsinstrument volgens de gewone wetgevingsprocedure, teneinde een sterker gegevensbeschermingskader voor het IMI tot stand te brengen en voor meer rechtszekerheid te zorgen. De Commissie heeft nu een voorstel voor een dergelijk wetgevingsinstrument ingediend (13).

11.

De EDPS staat over het algemeen positief tegenover het IMI. De EDPS steunt de doelstelling van de Commissie om een elektronisch systeem voor gegevensuitwisseling op te zetten en de daarmee verband houdende gegevensbeschermingsaspecten te regelen. Een dergelijk gestroomlijnd systeem maakt niet alleen een efficiëntere samenwerking mogelijk, maar kan ook zorgen voor een consequentere naleving van de toepasselijke wetgeving op het gebied van gegevensbescherming indien een duidelijk kader wordt geschapen dat bepaalt welke informatie met wie en onder welke omstandigheden mag worden uitgewisseld.

12.

De EDPS is tevens verheugd dat de Commissie voor de invoering van het IMI een horizontaal wetgevingsinstrument in de vorm van een verordening van het Europees Parlement en de Raad voorstelt. Hij is ingenomen met het feit dat in het voorstel zeer uitvoerig wordt ingegaan op de belangrijkste gegevensbeschermingskwesties in verband met het IMI. Zijn opmerkingen moeten tegen deze positieve achtergrond worden gelezen.

13.

Niettemin waarschuwt de EDPS dat de invoering van een gecentraliseerd systeem voor verschillende gebieden van bestuurlijke samenwerking ook risico’s inhoudt. Hiertoe behoort bijvoorbeeld het risico dat meer gegevens worden uitgewisseld of gegevens op grotere schaal worden uitgewisseld dan strikt noodzakelijk is voor een efficiënte samenwerking, en dat gegevens, waaronder mogelijk ook achterhaalde en onnauwkeurige gegevens, langer in het systeem opgeslagen blijven dan nodig is. Ook de beveiliging van een in 27 lidstaten toegankelijke databank is een netelige kwestie, omdat het systeem niet veiliger is dan zijn zwakste schakel.

14.

Met betrekking tot het in het voorstel beoogde wettelijk kader voor het IMI wijst de EDPS op twee belangrijke aandachtspunten:

15.

Deze twee kwesties vormen belangrijke referentiepunten en zijn voor een groot deel bepalend voor de benadering die de EDPS in dit advies volgt.

16.

Ten eerste is het IMI een systeem dat in 27 lidstaten wordt gebruikt. Bij de huidige stand van de harmonisatie van de Europese wetgeving is er nog altijd sprake van grote verschillen tussen de administratieve procedures van de lidstaten en tussen de nationale gegevensbeschermingswetten. De opzet van het IMI moet waarborgen dat de gebruikers in elk van de 27 lidstaten hun nationale wetgeving, ook die op het gebied van gegevensbescherming, kunnen naleven wanneer zij via het IMI persoonsgegevens uitwisselen. Tevens moeten betrokkenen wier gegevens via dit instrument worden verwerkt, ervan op aan kunnen dat hun gegevens te allen tijde beschermd zijn, ook wanneer deze via het informatiesysteem worden doorgegeven naar een andere lidstaat. Zorgen voor de nodige samenhang, met inachtneming van alle bestaande verschillen, moet een centraal aandachtspunt zijn bij de opbouw van zowel de technische als de wettelijke infrastructuur van het IMI. De gegevensverwerkingsactiviteiten in het kader van het IMI moeten transparant zijn, en de verantwoordelijkheden voor de besluitvorming over de opzet van het systeem, voor het dagelijkse onderhoud en het dagelijks gebruik ervan en voor het toezicht erop, moeten duidelijk worden afgebakend.

17.

Ten tweede is het IMI, anders dan andere grootschalige IT-systemen, zoals het Schengeninformatiesysteem, het visuminformatiesysteem, het douane-informatiesysteem of Eurodac, die alle zijn toegesneden op samenwerking op een specifiek, duidelijk omlijnd gebied, een horizontaal instrument voor informatieuitwisseling dat kan worden gebruikt om de informatieuitwisseling op tal van beleidsgebieden te vergemakkelijken. Het is de bedoeling dat het IMI zich gaandeweg zal uitstrekken tot steeds meer beleidsgebieden en dat ook de functionaliteiten van het systeem worden uitgebreid en zo in de toekomst betrekking kunnen hebben op vormen van administratieve samenwerking die thans nog niet nader zijn ingevuld. Op grond van deze bijzondere kenmerken van het IMI is het moeilijker de functionaliteiten van het systeem en de vormen van gegevensuitwisseling die in het kader ervan zullen plaatsvinden, duidelijk te omschrijven. Daarom is het ook moeilijker om precies aan te geven welke waarborgen voor de gegevensbescherming vereist zijn.

18.

De EDPS erkent dat er behoefte bestaat aan een flexibel systeem en hij neemt nota van de wens van de Commissie om de verordening toekomstvast te maken. Dit mag er echter niet toe leiden dat de functionaliteiten van het systeem en de waarborgen voor de gegevensbescherming die uiteindelijk worden ingevoerd, minder duidelijkheid of rechtszekerheid bieden. Waar mogelijk moet het voorstel derhalve meer specifieke regels bevatten en mag het zich niet beperken tot een herhaling van de algemene gegevensbeschermingsbeginselen die in Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 zijn neergelegd (14).

19.

De EDPS is verheugd dat het voorstel een duidelijk definitie bevat van het huidige toepassingsgebied van het IMI en dat in bijlage I de toepasselijke wetgevingshandelingen van de Unie zijn opgesomd op basis waarvan informatie kan worden uitgewisseld. Zo is een uitwisseling mogelijk in het kader van administratieve samenwerking op grond van specifieke bepalingen van de Richtlijn beroepskwalificaties, de Dienstenrichtlijn en de Richtlijn betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (15).

20.

Aangezien het de bedoeling is dat het toepassingsgebied van het IMI in de toekomst wordt uitgebreid, zijn in bijlage II de gebieden opgenomen waarop het IMI mogelijk zal worden gebruikt. Elementen uit bijlage II kunnen, na uitvoering van een effectbeoordeling, door middel van een door de Commissie vastgestelde gedelegeerde handeling worden verplaatst naar bijlage I (16).

21.

De EDPS staat positief tegenover deze methode, omdat i) het toepassingsgebied van het IMI er duidelijk door wordt afgebakend, ii) transparantie wordt verzekerd, en iii) het systeem tegelijkertijd flexibel genoeg is voor gevallen waarin het later ook voor nieuwe informatie-uitwisseling wordt gebruikt. Bovendien zal geen informatie via het IMI kunnen worden uitgewisseld zonder dat i) dit toegestaan of voorgeschreven wordt op een adequate, specifieke rechtsgrondslag van de interne markt (17), en ii) die rechtsgrondslag in bijlage I bij de verordening staat vermeld.

22.

Toch bestaat er nog steeds onzekerheid omtrent het toepassingsgebied van het IMI, namelijk wat betreft de beleidsgebieden waartoe het IMI zich kan uitstrekken en wat betreft de functionaliteiten die in het IMI kunnen worden geïntegreerd.

23.

Ten eerste kan niet worden uitgesloten dat het toepassingsgebied van het IMI wordt uitgebreid tot andere dan de in de bijlagen I en II genoemde beleidsgebieden. Dit kan het geval zijn indien niet een gedelegeerde handeling van de Commissie, maar een door het Europees Parlement en de Raad vastgestelde handeling voorziet in het gebruik van het IMI voor bepaalde soorten gegevensuitwisselingen in gevallen die niet door bijlage II zijn gedekt (18).

24.

Ten tweede zijn voor de uitbreiding van het toepassingsgebied tot nieuwe beleidsgebieden weliswaar in sommige gevallen weinig of geen wijzigingen in de bestaande functionaliteiten van het systeem vereist (19), maar voor de uitbreiding tot andere gebieden is het wellicht wel nodig om nieuwe en andere functionaliteiten in te voeren of de bestaande ingrijpend te wijzigen:

25.

Om deze onzekerheden weg te nemen stelt de EDPS een tweeledige aanpak voor. Hij stelt ten eerste voor dat de functionaliteiten die nu reeds te voorzien zijn, worden verduidelijkt en nader worden ingevuld, en ten tweede dat passende procedurele waarborgen worden ingevoerd om ervoor te zorgen dat ook bij de toekomstige ontwikkeling van het IMI zorgvuldig rekening wordt gehouden met de gegevensbescherming.

26.

De EDPS beveelt aan om in de verordening meer specifiek in te gaan op de reeds vaststaande functionaliteiten, bijvoorbeeld in het geval van de in de bijlagen I en II bedoelde informatie-uitwisselingen.

27.

Zo zou kunnen worden voorzien in meer specifieke en duidelijkere maatregelen voor de integratie van Solvit (22) in het IMI (bepalingen inzake „externe partijen” en „probleemoplossing”) en voor lijsten van beroepsbeoefenaren en dienstverleners (bepalingen inzake „geheugens”).

28.

Daarnaast is een verduidelijking nodig met betrekking tot „waarschuwingsmechanismen”, waarvan reeds op basis van de Dienstenrichtlijn gebruik wordt gemaakt en die mogelijk ook voor andere beleidsgebieden zullen worden ingevoerd. Met name dient de functionaliteit van het bedoelde „waarschuwingsmechanisme” in artikel 5 nader te worden omschreven (evenals ander functionaliteiten, zoals één-op-één-uitwisseling van informatie en geheugens). Het recht van toegang tot en de bewaartermijn van waarschuwingen moet eveneens worden verduidelijkt (23).

29.

Indien wordt beoogd de verordening toekomstvast te maken met betrekking tot aanvullende functionaliteiten die op de lange termijn noodzakelijk mochten blijken en daarom de invoering van aanvullende functionaliteiten mogelijk te maken die nog niet in de verordening zijn omschreven, moet hierbij wel worden gezorgd voor adequate procedurele waarborgen om zeker te stellen dat passende maatregelen worden getroffen om de nodige waarborgen voor de gegevensbescherming te implementeren voordat die nieuwe functionaliteiten worden toegepast. Hetzelfde geldt voor de uitbreiding tot nieuwe beleidsgebieden wanneer deze gevolgen heeft voor de gegevensbescherming.

30.

De EDPS adviseert om een duidelijk mechanisme in te stellen dat ervoor zorgt dat voor elke uitbreiding van functionaliteiten of uitbreidingen tot nieuwe beleidsgebieden de implicaties voor de gegevensbescherming zorgvuldig worden geëvalueerd en dat zo nodig extra waarborgen of technische maatregelen worden ingevoerd in de structuur van het IMI. Het gaat met name om de volgende aanbevelingen:

31.

Deze procedurele waarborgen (effectbeoordeling uit een oogpunt van gegevensbescherming en raadpleging) moeten van toepassing zijn op zowel de uitbreiding van het toepassingsgebied van het IMI via een gedelegeerde handeling van de Commissie (verplaatsing van bijlage II naar bijlage I) als op een uitbreiding via een verordening van het Europees Parlement en de Raad die in een element voorziet dat niet is opgenomen in bijlage II.

32.

Ten slotte beveelt de EDPS aan dat in de verordening wordt verduidelijkt of de gedelegeerde handelingen die de Commissie krachtens artikel 23 kan vaststellen, naast de overheveling van elementen van bijlage II naar bijlage I nog betrekking kunnen hebben op andere zaken. Indien mogelijk dient de Commissie in de verordening de bevoegdheid te worden verleend om specifieke uitvoeringshandelingen of gedelegeerde handelingen vast te stellen om aanvullende functionaliteiten van het systeem nader te omschrijven of vraagstukken op het gebied van gegevensbescherming te regelen die zich mogelijk in de toekomst zullen voordoen.

33.

De EDPS is verheugd dat een volledig hoofdstuk (hoofdstuk II) van de verordening is gewijd aan de verduidelijking van de uiteenlopende taken en verantwoordelijkheden van de verschillende partijen die bij het IMI zijn betrokken. De desbetreffende bepalingen kunnen verder worden versterkt zoals hieronder aangegeven.

34.

In artikel 9 worden de verantwoordelijkheden beschreven die voortvloeien uit de rol van de Commissie als controleur. De EDPS beveelt aan om een aanvullende bepaling op te nemen waarin wordt vastgelegd dat de Commissie erop moet toezien dat bij de opzet van het systeem het beginsel van ingebouwde privacy in acht wordt genomen en dat zij een coördinerende rol moet spelen op het gebied van gegevensbescherming.

35.

De EDPS is verheugd dat in de opsomming van de taken van de IMI-coördinatoren in artikel 7 nu ook coördinerende taken die verband houden met de bescherming van persoonsgegevens worden genoemd, waartoe ook behoort dat zij als contactpunt fungeren voor de Commissie. De EDPS adviseert te verduidelijken dat tot deze coördinerende taken ook het onderhouden van contacten met de nationale autoriteiten voor gegevensbescherming behoort.

36.

Artikel 10 voorziet in waarborgen met betrekking tot het recht van toegang tot het IMI. De EDPS is verheugd dat deze bepalingen naar aanleiding van zijn opmerkingen aanzienlijk zijn versterkt.

37.

Gezien het horizontale karakter van het IMI en de beoogde uitbreiding ervan moet ervoor worden gezorgd dat het systeem garandeert dat „Chinese muren” worden toegepast waardoor de informatie die op een bepaald beleidsgebied wordt verwerkt, van de andere gebieden wordt gescheiden: de IMI-gebruikers mogen i) alleen gegevens opvragen voor zover kennis van deze informatie onontbeerlijk is („need-to-know”) en ii) alleen toegang hebben tot gegevens op één beleidsgebied.

38.

Indien het onvermijdelijk is dat een IMI-gebruiker het recht op toegang tot gegevens op meerdere beleidsgebieden wordt verleend (wat mogelijk het geval is bij bepaalde lokale overheidsinstanties) moet ten minste worden gewaarborgd dat het systeem het niet toelaat dat gegevens afkomstig uit verschillende beleidsgebieden worden gecombineerd. Uitzonderingen op deze regel moeten, met volledige inachtneming van het beginsel van doelafbakening, worden vastgelegd in de uitvoeringswetgeving of in een handeling van de Unie.

39.

Deze beginselen zijn weliswaar in grote lijnen opgenomen in de tekst van de verordening, maar zouden verder kunnen worden versterkt en verder kunnen worden uitgewerkt voor concrete toepassing.

40.

Wat betreft de toegangsrechten van de Commissie is de EDPS verheugd dat artikel 9, leden 2 en 4, en artikel 10, lid 6, van het voorstel samen genomen bepalen dat de Commissie geen toegang heeft tot de persoonsgegevens die tussen de lidstaten worden uitgewisseld, behalve wanneer zij betrokken is bij een administratieve samenwerkingsprocedure.

41.

De toegangsrechten van externe partijen en de toegangsrechten tot waarschuwingsmechanismen moeten nader worden omlijnd (24). Met betrekking tot waarschuwingsmechanismen beveelt de EDPS aan om in de verordening te bepalen dat waarschuwingen niet telkens aan alle relevante bevoegde autoriteiten in de lidstaten worden gezonden, maar uitsluitend aan de betrokken autoriteiten op een „need-to-know”-basis. Dit sluit niet uit dat in specifieke gevallen of voor specifieke beleidsgebieden waarschuwingen aan alle lidstaten kunnen worden gezonden indien zij alle betrokkenen zijn. Ook moet per geval worden beoordeeld of de Commissie toegang tot waarschuwingen dient te krijgen.

42.

In artikel 13 wordt de bewaartermijn voor gegevens in het IMI, die thans zes maanden bedraagt (vanaf de afsluiting van de zaak), tot vijf jaar verlengd, waarbij de gegevens na 18 maanden worden afgeschermd. Afgeschermde gegevens kunnen alleen worden opgevraagd volgens een specifieke procedure, die uitsluitend kan worden ingeleid door de betrokkene, of in gevallen waarin de gegevens nodig zijn „om als bewijs te dienen dat er een informatie-uitwisseling via IMI heeft plaatsgevonden”.

43.

Bijgevolg worden gegevens in het IMI gedurende drie verschillende periodes opgeslagen:

44.

Naast deze algemene regels voorziet artikel 13, lid 2, in de mogelijkheid gegevens in een „geheugen met informatie” te bewaren zo lang dat voor dat doel is vereist, mits de betrokkene daartoe toestemming heeft gegeven of indien „dit noodzakelijk is om te voldoen aan een handeling van de Unie”. Bovendien voorziet artikel 14 in een vergelijkbare afschermingsregeling voor het bewaren van persoonsgegevens van IMI-gebruikers gedurende een periode van vijf jaar vanaf de datum dat zij niet langer als IMI-gebruikers actief zijn.

45.

Er zijn geen andere specifieke bepalingen. Vermoedelijk is het daarom de bedoeling dat de algemene regels niet alleen van toepassing zijn op één-op-één-uitwisselingen, maar ook op waarschuwingen, probleemoplossing (zoals in het geval van Solvit (26)) en alle andere functionaliteiten waarbij persoonsgegevens worden verwerkt.

46.

In het licht van artikel 6, lid 1, onder e), van Richtlijn 95/46/EG en artikel 4, lid 1, onder e), van Verordening (EG) nr. 45/2001, waarin is bepaald dat persoonsgegevens niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is, heeft de EDPS een aantal bedenkingen met betrekking tot de bewaartermijnen.

47.

Wat betreft de eerste periode vanaf de invoering van gegevens in het systeem tot aan de sluiting van de zaak, maakt de EDPS zich zorgen over het risico dat sommige zaken nooit of pas na een buitensporig lange periode worden afgesloten. Dit kan ertoe leiden dat sommige persoonsgegevens langer in de gegevensbank blijven opgeslagen dan noodzakelijk is of zelfs voor onbepaalde tijd worden bewaard.

48.

Het is de EDPS bekend dat de Commissie op praktisch niveau vooruitgang heeft geboekt bij het beperken van de opslag van oude gegevens in het IMI en dat er voor één-op-één-uitwisselingen een systeem is ingevoerd om toe te zien op tijdige sluiting van zaken en om op gezette tijden herinneringen te sturen indien zaken niet op tijd worden gesloten. Bovendien is het door een aanpassing van de functionaliteiten van het systeem op basis van het beginsel van ingebouwde privacy nu mogelijk om met een druk op de knop een antwoord te accepteren en een zaak daarmee tegelijkertijd te sluiten. Voorheen waren hiervoor twee aparte stappen nodig, wat een deel van de „slapende” zaken in het systeem kan verklaren.

49.

De EDPS is ingenomen met de inspanningen die in dit verband op praktisch niveau zijn verricht. Hij beveelt echter aan om in de tekst van de verordening zelf waarborgen op te nemen dat zaken in het IMI tijdig worden gesloten en dat „slapende” zaken (zaken waarin sinds geruime tijd geen activiteiten worden geconstateerd) uit de gegevensbank worden gewist.

50.

De EDPS dringt erop aan opnieuw te overwegen of er gegronde redenen zijn om de huidige termijn van zes maanden te verlengen tot 18 maanden na sluiting van een zaak, en zo ja, of deze redenen alleen voor de één-op-één-uitwisseling van gegevens gelden of ook voor andere soorten functionaliteiten. Het IMI bestaat inmiddels sinds enkele jaren; het verdient aanbeveling om van de in dit verband opgedane ervaring te profiteren.

51.

Indien het IMI een instrument voor informatie-uitwisseling blijft (en niet uitgroeit tot een bestandsbeheersysteem, gegevensbank of archiveringssysteem) en vooropgesteld dat de bevoegde autoriteiten middelen aan de hand worden gedaan de door hen ontvangen informatie op te vragen (ofwel elektronisch of op papier, maar in ieder geval zodanig dat zij de opgevraagde informatie als bewijs kunnen gebruiken (27)), lijkt het geenszins nodig om de gegevens na sluiting van een zaak nog in het IMI te bewaren.

52.

Bij de één-op-één-uitwisseling van gegevens kan het op grond van de eventuele noodzaak om vervolgvragen te stellen nadat een antwoord reeds is geaccepteerd en de zaak daarom reeds is afgesloten, wellicht gerechtvaardigd zijn om gegevens gedurende een (tamelijk korte) periode na sluiting van de zaak te bewaren. De huidige termijn van zes maanden lijkt op het eerste gezicht ruim voldoende te zijn voor dit doeleinde.

53.

De EDPS is van oordeel dat de Commissie niet afdoende heeft aangetoond dat een bewaartermijn voor „afgeschermde gegevens” van maximaal vijf jaar noodzakelijk en evenredig is.

54.

In de toelichting (blz. 9) wordt verwezen naar het arrest van het Hof van Justitie in de zaak Rijkeboer  (28). De EDPS adviseert de Commissie om de implicaties van deze zaak voor het bewaren van gegevens in het IMI te overdenken. Naar het oordeel van de EDPS volgt uit het arrest in de zaak Rijkeboer niet dat het IMI zodanig moet worden geconfigureerd dat gegevens vijf jaar lang na sluiting van een zaak worden bewaard.

55.

De EDPS is van mening dat de verwijzing naar het arrest Rijkeboer of naar de rechten van betrokkenen op toegang tot hun persoonsgegevens geen afdoende en adequate rechtvaardiging vormt om gegevens in het IMI nog vijf jaar na sluiting van een zaak te bewaren. Het bewaren van loggegevens (waarbij strikt wordt vastgelegd dat deze geen inhoud of bijv. bijlagen of gevoelige gegevens mogen inhouden) zou een minder indringende oplossing kunnen bieden waarover wellicht dieper dient te worden nagedacht. De EDPS betwijfelt inmiddels zelfs dat deze oplossing noodzakelijk of evenredig geacht kan worden.

56.

Bovendien is het een probleem dat onduidelijkheid bestaat over de vraag wie er voor welke doeleinden toegang heeft tot de „afgeschermde gegevens”. De in artikel 13, lid 3, opgenomen verwijzing naar het gebruik van dergelijke gegevens „als bewijs […] dat er een informatie-uitwisseling via IMI heeft plaatsgevonden” volstaat niet. Indien aan de bepaling inzake het „afschermen” van gegevens wordt vastgehouden, moet in elk geval beter worden vastgelegd wie er onder welke omstandigheden het recht heeft om bewijzen voor de informatieuitwisseling op te vragen. Hebben naast de betrokkenen ook anderen recht op toegang? Zo ja, gaat het dan alleen om de bevoegde autoriteiten en gaat het er dan alleen om te bewijzen dat een bepaalde gegevensuitwisseling met een bepaalde inhoud heeft plaatsgevonden (ingeval een dergelijke uitwisseling wordt bestreden door de bevoegde autoriteiten die het bericht hebben verzonden of ontvangen)? Wordt er gedacht aan andere mogelijke vormen van gebruik met het oog op het bewijzen van een informatie-uitwisseling (29)?

57.

De EDPS beveelt aan een duidelijker onderscheid te maken tussen waarschuwingsmechanismen en geheugens met informatie. Het gebruik van een waarschuwingsmechanisme als communicatiemiddel om de bevoegde autoriteiten op de hoogte te stellen van een bepaald vergrijp of een verdenking is iets heel anders dan het opslaan van een dergelijke waarschuwing in een gegevensbank gedurende een lange of zelfs onbepaalde periode. Het opslaan van waarschuwingsgegevens zou nieuwe problemen opleveren en zou specifieke regels en aanvullende waarborgen voor de gegevensbescherming vergen.

58.

Derhalve beveelt de EDPS aan dat in de verordening als standaardregel wordt vastgelegd dat i) — voor zover in verticale wetgeving niet anders is bepaald en op voorwaarde dat voor de nodige aanvullende waarborgen is gezorgd — een bewaringstermijn van zes maanden van toepassing is op waarschuwingen, en dat ii) deze termijn ingaat op het tijdstip waarop de waarschuwing wordt verzonden.

59.

Als alternatieve mogelijkheid adviseert de EDPS om in de voorgestelde verordening uitvoerige waarborgen met betrekking tot waarschuwingsmechanismen op te nemen. De EDPS is gaarne bereid de Commissie en de wetgevers hierover van verder advies te dienen, indien voor deze tweede benadering wordt gekozen.

60.

De EDPS is ingenomen met het onderscheid dat is gemaakt tussen de persoonsgegevens als bedoeld in artikel 8, lid 1, van Richtlijn 95/46/EG enerzijds en de persoonsgegevens als bedoeld in artikel 8, lid 5, anderzijds. Hij is tevens ingenomen met het feit dat in de verordening uitdrukkelijk is vermeld dat de verwerking van bijzondere categorieën van gegevens uitsluitend is toegestaan op basis van de specifieke rechtsgrondslag van artikel 8 van Richtlijn 95/46/EG.

61.

In dit verband gaat de EDPS ervan uit dat met behulp van het IMI een groot aantal gevoelige gegevens zal worden verwerkt die onder artikel 8, lid 2, van Richtlijn 95/46/EG vallen. Het IMI was namelijk van meet af aan, vanaf de eerste toepassing ter ondersteuning van de administratieve samenwerking uit hoofde van de Dienstenrichtlijn en de Richtlijn beroepskwalificaties, bedoeld voor de verwerking van dergelijke gegevens, met name gegevens in verband met dossiers over strafrechtelijke en administratieve procedures die gevolgen kunnen hebben voor het recht van een beroepsbeoefenaar of dienstverlener om in een andere lidstaat te werken of diensten aan te bieden.

62.

Bovendien zal waarschijnlijk een groot aantal gevoelige gegevens die onder artikel 8, lid 1, vallen (voor het merendeel gezondheidsgerelateerde gegevens) in het IMI worden verwerkt wanneer het systeem wordt uitgebreid met een module voor Solvit (30). Daarnaast kan niet worden uitgesloten dat in de toekomst op ad-hocbasis of systematisch nog andere gevoelige gegevens zullen worden vergaard via het IMI.

63.

De EDPS is verheugd dat in artikel 16 specifiek wordt bepaald dat de Commissie aan haar eigen interne regels voor de beveiliging van gegevens moet voldoen die zij op grond van artikel 22 van Verordening (EG) nr. 45/2001 heeft vastgesteld en dat zij voor het IMI een beveiligingsplan moet vaststellen dat voortdurend actueel dient te zijn.

64.

Om deze bepalingen verder te versterken beveelt de EDPS aan om in de verordening voor te schrijven dat voor elke uitbreiding van het IMI tot een nieuw beleidsgebied of voor de toevoeging van een nieuwe functionaliteit met gevolgen voor persoonsgegevens een risicobeoordeling moet worden uitgevoerd en het beveiligingsplan moet worden geëvalueerd (31).

65.

Tevens merkt de EDPS op dat artikel 16 en overweging 16 alleen betrekking hebben op de verplichtingen van de Commissie en de toezichthoudende rol van de EDPS. Hierdoor kan echter een verkeerde indruk worden gewekt. De Commissie is weliswaar de beheerder van het systeem en heeft als zodanig de grootste verantwoordelijkheid voor de beveiliging van het IMI, maar de bevoegde autoriteiten hebben eveneens verplichtingen, op de naleving waarvan de nationale gegevensbeschermingsautoriteiten toezien. Daarom dienen artikel 16 en overweging 16 betrekking te hebben op de beveiligingsverplichtingen van de overige IMI-partijen overeenkomstig Richtlijn 95/46/EG en op de toezichtbevoegdheden van de nationale gegevensbeschermingsautoriteiten.

66.

Wat artikel 17, lid 1, betreft, beveelt de EDPS aan om meer specifieke bepalingen in de verordening op te nemen om ervoor te zorgen dat de betrokkenen volledig worden geïnformeerd over de verwerking van hun gegevens in het IMI. Gezien het feit dat het IMI door een groot aantal bevoegde autoriteiten zal worden gebruikt, met inbegrip van tal van kleine lokale overheidsinstanties die niet altijd over de nodige middelen beschikken, moet dringend worden geadviseerd om de kennisgeving op nationaal niveau te coördineren.

67.

Krachtens artikel 17, lid 2, onder a), moet de Commissie met betrekking tot de eigen gegevensverwerkingsactiviteiten een privacyverklaring afgeven in overeenstemming met de artikelen 10 en 11 of Verordening (EG) nr. 45/2001. Bovendien is de Commissie op grond van artikel 17, lid 2, onder b), verplicht informatie te verstrekken „over de gegevensbeschermingsaspecten van de administratieve samenwerkingsprocedures in IMI zoals bedoeld in artikel 12”. Ten slotte moet de Commissie overeenkomstig artikel 17, lid 2, onder c), informatie verstrekken „over de uitzonderingen op of beperkingen van de rechten van betrokkenen als bedoeld in artikel 19”.

68.

De EDPS is verheugd over deze bepalingen, die bijdragen tot de transparantie van de gegevensverwerkingsactiviteiten in het kader van het IMI. Zoals reeds in paragraaf 2.1 hierboven opgemerkt, is het bij een systeem dat in 27 lidstaten wordt gebruikt van cruciaal belang dat voor samenhang wordt gezorgd met betrekking tot het beheer van het systeem, de toegepaste waarborgen voor de gegevensbescherming en de informatie die aan de betrokkenen wordt verstrekt (32).

69.

Toch moeten de bepalingen van artikel 17, lid 2, nog verder worden versterkt. Als beheerder van het systeem is de Commissie het best in staat een proactieve rol te spelen en de betrokkenen te voorzien van een „eerste informatielaag” in de vorm van een privacyverklaring en andere relevante informatie, die via haar meertalige website kan worden verstrekt, ook „namens” bevoegde autoriteiten, en die de in artikel 10 of artikel 11 van Richtlijn 95/46/EG bedoelde informatie dient te omvatten. In vele gevallen zou het dan volstaan wanneer de bevoegde autoriteiten in de lidstaten in hun privacyverklaringen eenvoudig naar de verklaring van de Commissie verwijzen en deze alleen aanvullen voor zover aan specifieke aanvullende informatievereisten uit hoofde van de nationale wetgeving moet worden voldaan.

70.

Daarnaast dient in artikel 17, lid 2, onder b), te worden verduidelijkt dat de door de Commissie verstrekte informatie uitvoerig ingaat op alle beleidsgebieden, alle soorten administratieve samenwerkingsprocedures en alle functionaliteiten van het IMI en dat daarin ook de specifieke categorieën gegevens worden vermeld die kunnen worden verwerkt. In dit kader moeten op de website van het IMI ook de vragenlijsten worden gepubliceerd die bij de één-op-één-samenwerking worden gebruikt, zoals thans ook gebeurt.

71.

De EDPS zou wederom, net als hierboven in paragraaf 2.1, willen wijzen op het feit dat het van essentieel belang is om voor samenwerking te zorgen met betrekking tot het beheer van het systeem en de toegepaste waarborgen voor de gegevensbescherming. Daarom wenst de EDPS dat de bepalingen inzake het recht op toegang tot en rectificatie en wissing van gegevens nader worden ingevuld.

72.

In artikel 18 dient nader te worden omschreven aan wie de betrokkenen een verzoek om toegang dienen te richten. Dit moet duidelijk worden aangegeven voor de toegang tot gegevens gedurende de verschillende perioden:

73.

In de verordening dient tevens te worden bepaald dat de bevoegde autoriteiten waar nodig moeten samenwerken met betrekking tot verzoeken om toegang. De rectificatie en wissing van gegevens moet „zo snel mogelijk, maar uiterlijk binnen zestig dagen” worden uitgevoerd, in plaats van „binnen zestig dagen”. Daarnaast moet er verwezen worden naar de mogelijkheid om een module voor gegevensbescherming te creëren en naar eventuele ingebouwde privacyoplossingen voor de samenwerking tussen autoriteiten met betrekking tot toegangsrechten, evenals de mogelijkheid om betrokkenen, waar relevant en haalbaar, actief van hun rechten gebruik te laten maken, bijvoorbeeld door hun rechtstreeks toegang te geven tot hun gegevens.

74.

In de afgelopen jaren is het model van „gecoördineerd toezicht” ontwikkeld. Dit toezichtmodel, dat inmiddels bij Eurodac en delen van het douane-informatiesysteem wordt toegepast, is ook ingevoerd voor het visuminformatiesysteem (VIS) en het Schengeninformatiesysteem van de tweede generatie (SIS II).

75.

Het model bestaat uit drie lagen:

76.

Dit model is succesvol en doeltreffend gebleken en dient in de toekomst ook bij andere informatiesystemen te worden toegepast.

77.

De EDPS verwelkomt het feit dat in artikel 20 van het voorstel specifiek is voorzien in gecoördineerd toezicht, waarvoor de nationale gegevensbeschermingsautoriteiten en de EDPS gezamenlijk zorg dragen volgens een model dat in grote lijnen identiek is aan dat wat in de VIS-verordening en de SIS II-verordening is omschreven (33).

78.

De EDPS pleit ervoor de bepalingen inzake gecoördineerd toezicht op bepaalde punten te versterken en daartoe bepalingen in te voeren die vergelijkbaar zijn met de bepalingen die bijvoorbeeld zijn ingevoerd in verband met het visuminformatiesysteem (artikelen 41-43 van de VIS-verordening) en Schengen II (artikelen 44-46 van de SIS II-verordening) of gepland zijn voor Eurodac (34). Met name zou het nuttig zijn wanneer:

79.

De EDPS is zich echter bewust van het feit dat het IMI momenteel nog kleinschaliger is, dat thans andere gegevens worden verwerkt en dat het IMI nog in ontwikkeling is. Daarom erkent hij dat het wellicht wenselijk is om voor meer flexibiliteit te zorgen wat de frequentie van bijeenkomsten en controles betreft. Kortom, de EDPS adviseert om in de verordening de noodzakelijke minimumvoorschriften op te nemen om een doeltreffende samenwerking te waarborgen, maar geen onnodige administratieve lasten te creëren.

80.

Artikel 20, lid 3, voorziet niet in regelmatige bijeenkomsten, maar bepaalt slechts dat de EDPS de nationale toezichthoudende autoriteiten „indien noodzakelijk” kan uitnodigen voor een bijeenkomst. De EDPS is verheugd dat het volgens deze bepalingen aan de betrokken partijen wordt overgelaten om zelf de frequentie en de modaliteiten van hun bijeenkomsten en andere procedurele details met betrekking tot hun onderlinge samenwerking te bepalen. Deze elementen kunnen worden overeengekomen in een reglement van orde, waarnaar in de verordening reeds wordt verwezen.

81.

Wat de regelmatige controles betreft, is het wellicht doeltreffender om de samenwerkende autoriteiten in hun reglement van orde zelf te laten bepalen wanneer en met welke frequentie dergelijke controles moeten worden uitgevoerd. Dit kan afhankelijk zijn van tal van factoren en kan mettertijd ook veranderen. Derhalve staat de EDPS positief tegenover de aanpak van de Commissie die ook in dit verband meer speelruimte biedt.

82.

De EDPS is verheugd dat het voorstel in een duidelijke rechtsgrondslag voor het nationaal gebruik van het IMI voorziet en dat aan een dergelijk gebruik verschillende voorwaarden zijn verbonden, zoals het feit dat de nationale gegevensbeschermingsautoriteit moet worden geraadpleegd en dat het gebruik in overeenstemming moet zijn met de nationale wetgeving.

83.

De EDPS is ingenomen met de in artikel 22, lid 1, opgenomen voorschriften voor de uitwisseling van informatie en met het feit dat artikel 22, lid 3, voor transparantie met betrekking tot de uitbreiding van het IMI zorgt middels bekendmaking van een bijgewerkt overzicht van de bij de gegevensuitwisseling betrokken derde landen in het Publicatieblad van de Europese Unie.

84.

De EDPS adviseert de Commissie voorts om de verwijzing naar de afwijkingen bedoeld in artikel 26 van Richtlijn 95/46/EG te beperken tot artikel 26, lid 2. Met andere woorden: bevoegde autoriteiten of andere externe partijen in een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mogen geen rechtstreekse toegang tot het IMI hebben, tenzij passende contractuele bepalingen zijn vastgesteld. Over deze bepalingen moet op EU-niveau worden onderhandeld.

85.

De EDPS benadrukt dat andere afwijkingen, bijvoorbeeld wanneer „de doorgifte noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte”, niet mogen worden gebruikt om de doorgifte van gegevens naar derde landen met rechtstreekse gebruikmaking van het IMI te rechtvaardigen (38).

86.

In overeenstemming met de verwachte versterking van de regelingen inzake verantwoordingsplicht in het kader van de herziening van het gegevensbeschermingskader van de EU (39) beveelt de EDPS aan om in de verordening een duidelijk kader vast te stellen voor adequate interne controlemechanismen dat de naleving van de gegevensbeschermingswetgeving op aantoonbare wijze waarborgt en ten minste de hieronder genoemde elementen omvat.

87.

In dit verband is de EDPS ingenomen met de bepaling van artikel 26, lid 2, van de verordening dat de Commissie om de drie jaar verslag moet uitbrengen aan de EDPS over aspecten die verband houden met de bescherming van persoonsgegevens in IMI, met inbegrip van de gegevensbeveiliging. Het zou wenselijk zijn dat in de verordening wordt verduidelijkt dat de EDPS het verslag van de Commissie moet doorsturen aan de nationale gegevensbeschermingsautoriteiten in het kader van het in artikel 20 bedoelde gecoördineerd toezicht. Het zou tevens nuttig zijn te verduidelijken dat in dat verslag voor elk beleidsgebied en elke functionaliteit dient te worden uiteengezet op welke wijze in de praktijk rekening is gehouden met de belangrijkste beginselen en aandachtspunten op het gebied van gegevensbescherming (bijv. informatieverstrekking aan betrokkenen, toegangsrechten, beveiliging).

88.

Daarnaast dient in de verordening te worden verduidelijkt dat het kader voor interne controlemechanismen ook een evaluatie van de gevolgen voor de privacy (onder meer via een analyse van veiligheidsrisico’s), een op basis daarvan vastgesteld gegevensbeschermingsbeleid (met inbegrip van een beveiligingsplan) en periodieke herzieningen en controles moet omvatten.

89.

De EDPS verwelkomt de verwijzing naar dit beginsel in overweging 6 van de verordening (40). Hij adviseert om in de verordening ook specifieke ingebouwde privacymaatregelen te introduceren, zoals:

90.

De EDPS staat over het algemeen positief tegenover het IMI. De EDPS steunt de doelstelling van de Commissie om een elektronisch systeem voor gegevensuitwisseling op te zetten en de daarmee verband houdende gegevensbeschermingsaspecten te regelen. De EDPS is tevens verheugd dat de Commissie voor de invoering van het IMI een horizontaal wetgevingsinstrument in de vorm van een verordening van het Europees Parlement en de Raad voorstelt. Hij is ingenomen met het feit dat in het voorstel zeer uitvoerig wordt ingegaan op de belangrijkste gegevensbeschermingskwesties in verband met het IMI.

91.

Met betrekking tot het in het voorstel beoogde wettelijk kader voor het IMI wijst de EDPS op twee belangrijke aandachtspunten:

92.

Functionaliteiten van het IMI die reeds te voorzien zijn, moeten worden verduidelijkt en nader worden ingevuld.

93.

Er moeten passende procedurele waarborgen worden ingevoerd om ervoor te zorgen dat bij de toekomstige ontwikkeling van het IMI zorgvuldig rekening wordt gehouden met de gegevensbescherming. Dit houdt onder meer in dat voor elke uitbreiding van het toepassingsgebied van het IMI en/of de invoering van een nieuwe functionaliteit een effectbeoordeling moet worden uitgevoerd en de EDPS en de nationale gegevensbeschermingsautoriteiten moeten worden geraadpleegd.

94.

De toegangsrechten van externe partijen en het recht van toegang tot waarschuwingsmechanismen moeten nader worden omlijnd.

95.

Wat betreft de bewaartermijnen:

96.

In de verordening dient te worden voorgeschreven dat voor elke uitbreiding van het IMI tot een nieuw beleidsgebied of voor de toevoeging van een nieuwe functionaliteit met gevolgen voor persoonsgegevens een risicobeoordeling moet worden uitgevoerd en het beveiligingsplan moet worden geëvalueerd.

97.

De bepalingen inzake informatieverstrekking aan betrokkenen moeten worden versterkt en moeten een consequentere aanpak in de hand werken.

98.

De EDPS pleit ervoor de bepalingen inzake gecoördineerd toezicht op bepaalde punten te versterken en daartoe bepalingen in te voeren die vergelijkbaar zijn met de bepalingen die bijvoorbeeld in verband met het visuminformatiesysteem en Schengen II zijn ingevoerd of gepland zijn voor Eurodac. Wat betreft de frequentie van bijeenkomsten en controles staat de EDPS achter de flexibele aanpak van het voorstel die erop is gericht in de verordening de noodzakelijke minimumvoorschriften op te nemen om een doeltreffende samenwerking te waarborgen, zonder onnodige administratieve lasten te creëren.

99.

De verordening moet waarborgen dat bevoegde autoriteiten of andere externe partijen in een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, geen rechtstreekse toegang tot het IMI hebben, tenzij passende contractuele bepalingen zijn vastgesteld. Over deze bepalingen moet op EU-niveau worden onderhandeld.

100.

In de verordening moet een duidelijk kader voor adequate interne controlemechanismen worden vastgesteld dat de naleving van de gegevensbeschermingswetgeving op aantoonbare wijze waarborgt en dat ook een evaluatie van de gevolgen voor de privacy (onder meer via een analyse van veiligheidsrisico’s), een op basis daarvan vastgesteld gegevensbeschermingsbeleid (met inbegrip van een beveiligingsplan) en periodieke herzieningen en controles moet omvatten.

101.

In de verordening moeten ook specifieke ingebouwde privacymaatregelen worden geïntroduceerd.