25.4.2006

NL

Publicatieblad van de Europese Unie

C 97/6

---

Advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een besluit van de Raad over de toegang tot het visuminformatiesysteem (VIS) voor raadpleging door de nationale veiligheidsdiensten van de lidstaten en Europol, met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten (COM(2005) 600 def.)

(2006/C 97/03)

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 286,

Gelet op het Handvest van de grondrechten van de Europse Unie, en met name op artikel 8,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens,

Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, en met name op artikel 41,

Gezien de op 29 november 2005 ontvangen adviesaanvraag van de Commissie overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001;

BRENGT HET VOLGENDE ADVIES UIT:

1.   INLEIDING

1.1.   Opmerking vooraf

De Commissie heeft het voorstel voor een besluit van de Raad over de toegang tot het visuminformatiesysteem (VIS) voor raadpleging door de nationale veiligheidsdiensten van de lidstaten en Europol, met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten („het voorstel”) bij brief van 24 november 2005 aan de Europese toezichthouder voor gegevensbescherming (EDPS) doen toekomen. De EDPS beschouwt deze brief als een verzoek om de communautaire instellingen en organen te adviseren overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001. De EDPS is van oordeel dat dit advies in de preambule van het besluit moet worden genoemd.

De EDPS vindt het belangrijk over dit gevoelige onderwerp advies uit te brengen omdat dit voorstel rechtstreeks voortvloeit uit de instelling van het VIS, dat onder zijn toezicht komt te staan en waarover hij op 23 maart 2005 advies heeft uitgebracht (1). In dat advies werd reeds gedacht aan toegang van rechtshandhavingsautoriteiten (zie verder). Het instellen van nieuwe rechten op toegang tot het VIS heeft op het punt van gegevensbescherming een beslissende invloed op het systeem. Daarom is een advies over het huidige voorstel een noodzakelijk vervolg op het eerste advies.

1.2.   Belang van het voorstel

a)   Context

Het huidige voorstel ontleent zijn belang niet alleen aan zijn eigen merites, maar ook aan het feit dat het aansluit op de algemene tendens om rechtshandhavingsautoriteiten toegang te verlenen tot meerdere grootschalige informatie- en identificatiesystemen. Dit wordt onder meer vermeld in de Mededeling van de Commissie van 24 november 2005 over de verbetering van de doeltreffendheid, de interoperabiliteit en de synergie van de Europese gegevensbanken op het gebied van justitie en binnenlandse zaken (2) en in het bijzonder in punt 4.6: „Gezien de doelstelling om terrorisme en criminaliteit te bestrijden, beschouwt de Raad het feit dat de voor binnenlandse veiligheid bevoegde instanties geen toegang hebben tot VIS-gegevens, als een tekortkoming. Dat kan ook worden gezegd van alle immigratiegegevens uit SIS II en alle Eurodacgegevens.”.

Daarom kan het huidige voorstel worden gezien als een voorloper van soortgelijke juridische instrumenten, ontwikkeld in de context van andere gegevensbanken, en is het van cruciaal belang om van meet af aan te bepalen in welke gevallen deze toegang toelaatbaar kan zijn.

b)   Impact van een nieuwe toegang tot het VIS

De EDPS vindt zeker dat rechtshandhavingsautoriteiten voor het identificeren van plegers van terroristische daden of andere ernstige misdaden gebruik moeten kunnen maken van de best mogelijke instrumenten. Ook beseft hij dat de VIS-gegevens in bepaalde omstandigheden voor die autoriteiten een essentiële bron van informatie kunnen zijn.

Niettemin is het verlenen van toegang aan rechtshavingsautoriteiten tot gegevensbanken die tot de eerste pijler behoren, hoe gerechtvaardigd dat ook moge zijn door de strijd tegen het terrorisme, geen onbeduidende zaak. Men mag niet vergeten dat het VIS een informatiesysteem is dat is ontwikkeld ten behoeve van de toepassing van het Europees visumbeleid en niet als een instrument voor rechtshandhaving. Routinematige toegang zou een ernstige inbreuk zijn op het beginsel van doelbinding. Het zou een buitensporige inbreuk inhouden op de privacy van reizigers die ermee hebben ingestemd dat hun gegevens ter verkrijging van een visum worden verwerkt en die verwachten dat hun gegevens alleen voor dat doel worden verzameld, geraadpleegd en doorgegeven.

Aangezien informatiesystemen voor een specifiek doel worden opgebouwd en de waarborgen, de beveiliging en de voorwaarden voor toegang door dat doel worden bepaald, zou het systematisch verlenen van toegang voor een ander doel dan het oorspronkelijke, niet alleen een inbreuk zijn op het beginsel van doelbinding, maar kan het de bovengenoemde elementen tevens inadequaat of ontoereikend maken.

Een dergelijke ingrijpende wijziging van het systeem zou de resultaten van de effectbeoordeling (waarbij alleen is gekeken naar het gebruik van het systeem voor het oorspronkelijke doel) onbetrouwbaar maken. Dat geldt ook voor de adviezen van de gegevensbeschermingsautoriteiten. Men zou kunnen stellen dat het nieuwe voorstel een wijziging inhoudt van de gegevens waarop deze autoriteiten hun nalevingsanalyse hebben gebaseerd.

c)   Strikte beperking van deze toegang

In het licht van bovenstaande opmerkingen, wil de EDPS benadrukken dat de rechtshandhavingsautoriteiten alleen onder specifieke omstandigheden en per geval toegang tot het systeem kan worden verleend en dat voor die toegang strikte waarborgen moeten gelden. Met andere woorden, raadpleging door rechtshandhavingsautoriteiten moet met adequate technische en juridische middelen worden beperkt tot specifieke gevallen.

De EDPS had dit reeds in zijn advies over het VIS benadrukt: „De EDPS is zich ervan bewust dat de rechtshandhavingsinstanties er belang bij hebben toegang te krijgen tot het VIS; de Raad heeft op 7 maart 2005 conclusies in die zin aangenomen. Het VIS heeft tot doel het gemeenschappelijk visumbeleid te verbeteren, wat betekent dat de rechtshandhavingsinstanties die toegang niet zomaar moeten krijgen. Krachtens artikel 13 van Richtlijn 95/46/EG kan toegang niet stelselmatig worden verleend, maar uitsluitend op ad-hocbasis, in specifieke omstandigheden en mits passende garanties worden geboden.”.

De essentiële eisen zouden dus als volgt kunnen worden samengevat:

—

Er mag niet systematisch toegang worden verleend: het besluit moet garanderen dat altijd per geval wordt bekeken of toegang voor derde-pijlerautoriteiten noodzakelijk en evenredig is. In dit opzicht is het van het allergrootste belang dat het juridisch instrument nauwkeurig wordt geformuleerd zodat er geen ruimte is voor een extensieve interpretatie, die dan weer zou leiden tot routinematige toegang.

—	In gevallen waarin toegang wordt verleend, moeten er, gezien de gevoelige aard van deze toegang, passende garanties worden geboden en voorwaarden worden gesteld, inclusief een algemene regeling voor gegevensbescherming voor nationaal gebruik van de gegevens.

1.3.   Eerste opmerkingen

De EDPS erkent dat er in het voorgestelde instrument in ruime mate aandacht wordt geschonken aan gegevensbescherming, vooral door toegang te beperken tot specifieke gevallen, en uitsluitend in het kader van de strijd tegen de zware misdaad (3).

Van de andere positieve elementen zou de EDPS in het bijzonder de volgende willen vermelden:

—	de beperking tot bepaalde vormen van criminaliteit zoals bedoeld in de Europol-Overeenkomst;

—	de verplichting voor de lidstaten om een lijst op te stellen van autoriteiten die toegang hebben en om deze lijst openbaar te maken;

—	het bestaan van een centraal toegangspunt per lidstaat (en van een gespecialiseerde eenheid binnen Europol), waardoor de verzoeken om toegang beter kunnen worden gefilterd en er beter toezicht kan worden gehouden;

—	de strenge regels voor verdere overdracht van gegevens in artikel 8, lid 5 van het voorstel;

—	de verplichting voor de lidstaten en Europol om bij te houden welke personen verantwoordelijk zijn voor raadpleging van de gegevens.

2.   ANALYSE VAN HET VOORSTEL

2.1.   Opmerking vooraf

Om de autoriteiten toegang te verlenen in het kader van de derde pijler, zou het basisvoorstel inzake het VIS — dat deel uitmaakt van de eerste pijler — een overbruggingsbepaling moeten bevatten die bepalend is voor de mogelijke inhoud van een juridisch instrument van de derde pijler zoals dit voorstel. Op het moment waarop de EDPS zijn advies over het VIS uitbracht, was deze overbruggingsclausule nog niet aangebracht en kon de EDPS hierover geen uitspraken doen. Alle opmerkingen hierna worden derhalve gemaakt onder voorbehoud wat betreft de inhoud van de overbruggingsclausule.

2.2.   Doel van de toegang

Om voor een juiste beperking van de toegang te zorgen, is het van belang de voorwaarden voor toegang tot het VIS zorgvuldig te definiëren. Het wordt als positief beoordeeld dat, naast het voorstel voor een besluit zelf, uit de toelichting en de overwegingen (zie vooral overweging 7) zeer duidelijk blijkt dat het de bedoeling is uitsluitend per geval toegang te verlenen.

Met het oog op de uitlegging van artikel 5 van het voorstel kan het volgende worden gezegd.

Artikel 5 beperkt de toegang door middel van inhoudelijke voorwaarden:

b)	toegang voor raadpleging moet noodzakelijk zijn met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten;

c)	toegang voor raadpleging moet noodzakelijk zijn in een specifiek geval (…), en

d)	op basis van concrete aanwijzingen moeten gegronde redenen bestaan om aan te nemen dat raadpleging van de VIS-gegevens bijdraagt aan het voorkomen, opsporen of onderzoeken van een van de betrokken strafbare feiten.

Deze voorwaarden zijn cumulatief, waarbij de voorwaarde onder b) meer een definitie van de werkingssfeer ratione materiae is. Praktisch gesproken betekent dit dat de autoriteit die toegang wenst, geconfronteerd moet zijn met een ernstig strafbaar feit als bedoeld onder b) van het voorstel en er van een specifiek geval sprake moet zijn als bedoeld onder c). Daarnaast moet de autoriteit kunnen aantonen dat de raadpleging van het VIS in het specifieke geval zal bijdragen aan het voorkomen, opsporen of onderzoeken van dat strafbare feit, als bedoeld onder d).

Zelfs bij deze interpretatie van artikel 5 is de EDPS ongerust over de flexibele formulering van punt d): „bijdraagt aan” is tamelijk ruim. Er zijn veel gevallen waarin VIS-gegevens aan het voorkomen of onderzoeken van een ernstig misdrijf zouden kunnen bijdragen. De EDPS is van oordeel dat, om toegang tot VIS-gegevens in afwijking van het beginsel van doelbinding te rechtvaardigen, deze raadpleging „wezenlijk” moet bijdragen aan het voorkomen, opsporen of onderzoeken van het betreffende ernstige misdrijf, en stelt voor artikel 5 dienovereenkomstig te wijzigen.

Artikel 10 bepaalt dat het exacte doel van de raadpleging moet worden geregistreerd. Het „exacte doel” moet de elementen bevatten die de raadpleging van het VIS noodzakelijk maakten in de zin van artikel 5, onder d). Mede hierdoor zou ervoor worden gezorgd dat op alle raadplegingen van het VIS een noodzakelijkheidstoets wordt toegepast en zou het risico van routinematige toegang worden beperkt.

2.3.   Zoekcriteria in de VIS-gegevensbank

Artikel 5, leden 2 en 3, biedt in twee stappen toegang tot de VIS-gegevens, waarbij een tweede reeks gegevens uitsluitend kan worden geraadpleegd indien de eerste reeks een hit heeft opgeleverd. Dit is op zichzelf een juiste aanpak. De eerste reeks gegevens lijkt echter zeer algemeen. Er kunnen met name vraagtekens worden gezet bij de relevantie van gegevens als genoemd in artikel 5, lid 2, onder e) en i), van de eerste reeks gegevens.

—	Het „doel van de reis” lijkt een zeer algemene zoekterm om efficiënte bevraging van het systeem mogelijk te maken. Bovendien brengt het een risico van profilering van reizigers op basis van dat element met zich mee.

—

Wat „foto's” betreft, is de mogelijkheid om een zo grote gegevensbank op basis van foto's te bevragen, beperkt; de resultaten van dergelijke bevragingen, leveren bij de huidige stand van de technologie een onaanvaardbaar percentage onterechte „hits” op basis van overeenstemming op. De gevolgen van een onjuiste identificatie zijn voor de betrokken persoon zeer ernstig.

De EDPS verzoekt derhalve de gegevens in artikel 5, lid 2, onder e) en i) te beschouwen als bijkomende informatie die toegankelijk is indien uit de eerste raadpleging blijkt dat er reeds gegevens in het systeem voorkomen, en deze naar artikel 5, lid 3, over te plaatsen.

Een andere optie is dat de mogelijkheid om de gegevensbank op basis van foto's te bevragen afhankelijk wordt gesteld van een beoordeling van deze technologie door het raadgevend comité en uitsluitend wordt toegepast wanneer de technologie ontwikkeld is en als voldoende betrouwbaar kan worden beschouwd.

2.4.   Toepassing op lidstaten waarop de VIS-verordening niet van toepassing is

Nationale veiligheidsdiensten in lidstaten waar de VIS-verordening niet van toepassing is hebben toegang tot het VIS voor raadpleging. Deze diensten moeten de raadpleging via een deelnemende lidstaat uitvoeren, met inachtneming van de voorwaarden in artikel 5, lid 1, onder b) tot en met d) (d.w.z. per geval), en een naar behoren gemotiveerd schriftelijk verzoek indienen.

De EDPS wil erop wijzen dat er enkele voorwaarden moeten worden gesteld aan de verwerking na de raadpleging. De regel voor lidstaten die aan het VIS deelnemen is dat, wanneer de gegevens uit het VIS zijn gehaald, deze moeten worden verwerkt in overeenstemming met het kaderbesluit over de bescherming van persoonsgegevens in de derde pijler (zie hieronder). Dezelfde voorwaarde moet gelden voor de lidstaten waar de VIS-verordening dniet van toepassing is, maar die wel de gegevens daarin raadplegen. Dezelfde redenering moet worden gevolgd bij de registratie van gegevens van raadpleging met het oog op latere controle. De EDPS beveelt derhalve aan in artikel 6 van het voorstel een alinea toe te voegen met de strekking dat de artikelen 8 en 10 van het besluit ook gelden voor de lidstaten waarop de VIS-verordening niet van toepassing is.

2.5.   Gegevensbeschermingsregeling

a)   Toepassing van het kaderbesluit over de bescherming van persoonsgegevens in de derde pijler

Aangezien de toegang voor de nationale veiligheidsdiensten een uitzondering op het doel van het VIS vormt, moet hiervoor een consequente gegevensbeschermingsregeling gelden, die een hoog beschermingsniveau garandeert voor de gegevens die uit het VIS worden gehaald en door nationale diensten of door Europol worden verwerkt.

In artikel 8 wordt bepaald dat het kaderbesluit van de Raad over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (hierna „het kaderbesluit” genoemd) van toepassing is op de verwerking van persoonsgegevens in het kader van het voorgestelde besluit. Wat de gegevensbescherming betreft, moet het onderhavige voorstel derhalve worden beschouwd als een lex specialis, die een toevoeging aan of nadere specificatie van de lex generalis (d.w.z. het kaderbesluit) vormt. Zo zijn bijvoorbeeld de voorschriften voor de doorgifte van gegevens in dit voorstel strikter en moeten zij worden opgevolgd. Hetzelfde geldt voor de redenen voor toegang tot de gegevens.

b)   Toepassingsgebied

De EDPS is ingenomen met het feit dat de gegevensbeschermingsregeling van het kaderbesluit op alle verwerking van persoonsgegevens ingevolge het voorgestelde besluit van toepassing is. Dit betekent dat het niveau van gegevensbescherming gelijkwaardig is, ongeacht de autoriteiten die de VIS-gegevens raadplegen.

Aangezien in artikel 2 een functioneel criterium wordt gebruikt om deze autoriteiten te definiëren („de instanties van de lidstaten die belast zijn met het voorkomen, opsporen en onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten”), zouden onder deze definitie inlichtingendiensten en wetshandhavingsinstanties kunnen vallen. Voor inlichtingendiensten die het VIS raadplegen gelden derhalve in beginsel dezelfde verplichtingen op het gebied van gegevensbescherming, hetgeen vanzelfsprekend een positief element vormt.

Aangezien er evenwel twijfels kunnen rijzen over deze interpretatie betreffende de toepasbaarheid van het kaderbesluit op inlichtingendiensten wanneer zij VIS-gegevens raadplegen, stelt de EDPS een alternatieve formulering voor, zoals:

c)   Toezicht

Ten aanzien van de formulering van artikel 8: het moet worden verduidelijkt dat lid 1 betrekking heeft op de verwerking van gegevens op het grondgebied van de lidstaten. In de leden 2 en 3 wordt de omvang van het toepassingsgebied bepaald (verwerking van persoonsgegevens door Europol en de Commissie). Er dient uitdrukkelijk te worden gesteld dat lid 1 van een andere veronderstelling uitgaat.

De verdeling van de toezichtsbevoegdheden op grond van de respectieve activiteiten van de verschillende actoren vormt een juiste aanpak. Er ontbreekt evenwel één element, namelijk de benodigde gecoördineerde aanpak bij het toezicht. Zoals reeds in het advies van de EDPS over het VIS is verklaard: „Wat betreft het toezicht op het VIS dient ook te worden benadrukt dat de toezichthoudende activiteiten van de nationale toezichthoudende autoriteiten en die van de EDPS tot op zekere hoogte moeten worden gecoördineerd, zodat een toereikend niveau van samenhang en algemene doeltreffendheid wordt bereikt. De verordening moet namelijk op geharmoniseerde wijze worden toegepast en er moet worden toegewerkt naar een gemeenschappelijke aanpak van gemeenschappelijke problemen.

Artikel 35 [van het VIS-voorstel] zou hierover dus een bepaling moeten bevatten waarin staat dat de EDPS op zijn minst eens per jaar een vergadering belegt met alle nationale toezichthoudende autoriteiten.”.

Hetzelfde geldt voor dit specifieke gebruik van het VIS-systeem (in dit geval ook met de betrokkenheid van het gemeenschappelijke controleorgaan van Europol). Het toezicht moet volledig stroken met het toezicht op het VIS in de eerste pijler, aangezien het hetzelfde systeem betreft. Bovendien is het model waarbij de EDPS vergaderingen belegt met alle bij het toezicht betrokken partijen tevens het model dat is gekozen in het kader van het toezicht op andere grootschalige informatiesystemen, zoals Eurodac.

De EDPS erkent dat in het voorstel in een zekere coördinatie wordt voorzien, aangezien melding wordt gemaakt van de rol van de toekomstige werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die is opgericht bij artikel 31 van het voorgestelde kaderbesluit. Er dient echter nogmaals op te worden gewezen dat het toezicht als zodanig niet tot de taken van dat raadgevend orgaan behoort.

De EDPS stelt voor een bepaling toe te voegen waarin wordt vastgelegd dat de door de EDPS in het kader van het toezicht op het VIS in de eerste pijler belegde coördinatievergadering ook bevoegd is voor gegevens die ingevolge het onderhavige voorstel zijn verwerkt en dat, daartoe, het gemeenschappelijk controleorgaan van Europol vertegenwoordigd moet zijn.

2.6.   Interne controle

Artikel 12 van het voorstel voorziet in toetsingssystemen voor het VIS. De EDPS is van oordeel dat deze toetsing niet alleen betrekking moet hebben op resultaten, kosteneffectiviteit en kwaliteit van de dienstverlening, maar ook op de naleving van de wettelijke vereisten, vooral op het gebied van gegevensbescherming. Artikel 12 moet dienovereenkomstig worden aangepast.

Om deze interne controle van de rechtmatigheid van de verwerking te verrichten moet de Commissie de mogelijkheid krijgen om gebruik te maken van de overeenkomstig artikel 10 van het voorstel geregistreerde gegevens. Bijgevolg moet in artikel 10 worden bepaald dat deze gegevens niet alleen worden bewaard met het oog op het toezicht op de gegevensbescherming en de beveiliging van gegevens, maar ook met het oog op de periodieke interne evaluatie van het VIS. De verslagen van interne controles zullen bijdragen aan de toezichtstaak van de EDPS en de andere toezichthouders die hun prioritaire toezichtsgebieden beter zullen kunnen selecteren.

3.   CONCLUSIES

In het licht van het bovenstaande benadrukt de EDPS het fundamentele belang van de verlening van toegang aan de nationale veiligheidsdiensten en Europol, uitsluitend in specifieke gevallen en onder strikte voorwaarden. Dit doel wordt op een in het algemeen bevredigende wijze bereikt, hoewel enkele verbeteringen kunnen worden aangebracht, zoals voorgesteld in dit advies:

—	Een voorwaarde voor toegang tot het VIS volgens artikel 5 moet zijn dat raadpleging „wezenlijk” bijdraagt tot het voorkomen, opsporen of onderzoeken van een ernstig strafbaar feit. De in artikel 10 verlangde gegevens moeten een evaluatie van deze voorwaarde in elk afzonderlijk geval mogelijk maken.

—	Twee van de in artikel 5, lid 2, genoemde zoekcriteria voor raadpleging in het VIS, namelijk „doel van de reis” en „foto's” moeten opnieuw worden bezien en bij een „hit” als bijkomende informatie beschikbaar worden gesteld.

—	Het niveau van gegevensbescherming na de raadpleging moet gelijkwaardig zijn, ongeacht de diensten die de VIS-gegevens raadplegen. De artikelen 8 en 10 moeten ook gelden voor lidstaten waarop de VIS-verordening niet van toepassing is.

—	Er moet voor een gecoördineerde aanpak van het toezicht worden gezorgd, ook wat betreft de toegang tot het VIS als bedoeld in dit voorstel.

—	De bepalingen inzake toetsingssystemen moeten ook voorzien in de interne controle van de naleving van gegevensbeschermingsvoorschriften.

---

(1)  Advies van de Europese toezichthouder gegevensbescherming over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende het visuminformatiesysteem (VIS) en de uitwisseling tussen de lidstaten van informatie op het gebied van visa voor kort verblijf (COM(2004)835 def.)

(2)  COM (2005) 597 def.

(3)  Dit strookt ook met de conclusies van de Raad van maart en juli 2005 waarin wordt verzocht om de voor de binnenlandse veiligheid bevoegde instanties alleen toegang te verlenen tot het VIS „indien strikt de hand wordt gehouden aan de regels betreffende de bescherming van persoonsgegevens”.

---