Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52008XX0410(01)

Advies van de Europese Toezichthouder voor gegevensbescherming over het initiatief van de Bondsrepubliek Duitsland met het oog op de aanneming van een besluit van de Raad betreffende de uitvoering van Besluit 2007/…/JBZ inzake de intensivering van de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van terrorisme en grensoverschrijdende criminaliteit

PB C 89 van 10.4.2008, p. 1–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

10.4.2008   

NL

Publicatieblad van de Europese Unie

C 89/1


Advies van de Europese Toezichthouder voor gegevensbescherming over het initiatief van de Bondsrepubliek Duitsland met het oog op de aanneming van een besluit van de Raad betreffende de uitvoering van Besluit 2007/…/JBZ inzake de intensivering van de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van terrorisme en grensoverschrijdende criminaliteit

(2008/C 89/01)

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 286,

Gelet op het Handvest van de grondrechten van de Europese Unie, en met name op artikel 8,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens,

Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, en met name op artikel 41,

BRENGT HET VOLGENDE ADVIES UIT:

I.   INLEIDING

1.

Op 9 november 2007 is in het Publicatieblad het initiatief van de Bondsrepubliek Duitsland met het oog op de aanneming van een besluit van de Raad betreffende de uitvoering van Besluit 2007/…/JBZ inzake de intensivering van de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van terrorisme en grensoverschrijdende criminaliteit (1) (hierna „het initiatief” genoemd) bekendgemaakt. Dit initiatief gaat vergezeld van een bijlage van 18 oktober 2007, die nadere bijzonderheden over de uitvoering van Besluit 2007/…/JBZ bevat (hierna „de bijlage” genoemd) (2).

2.

De Europese Toezichthouder voor gegevensbescherming (hierna „de EDPS” genoemd) is niet om advies over dit initiatief voor een uitvoeringsbesluit verzocht. Hij brengt daarom op eigen initiatief het navolgende advies uit, naar analogie van zijn advies van 4 april 2007 over het initiatief voor een besluit van de Raad (3).

3.

Lidstaten die het initiatief nemen tot een wetgevingsmaatregel uit hoofde van titel VI van het EU-Verdrag zijn wettelijk niet verplicht de EDPS om advies te verzoeken, maar het verdrag sluit een dergelijke procedure evenmin uit. In zijn advies van 4 april 2007 heeft de EDPS trouwens aanbevolen om aan artikel 34 van bedoeld besluit van de Raad de volgende zin toe te voegen: „De Raad raadpleegt de EDPS over een dergelijke uitvoeringsmaatregel”. Deze aanbeveling is jammer genoeg niet gevolgd, ondanks de achterliggende logica: uitvoeringsmaatregelen hebben in dit geval meestal gevolgen voor de verwerking van persoonsgegevens. Het huidige initiatief van de Bondsrepubliek Duitsland is daarvan een duidelijk voorbeeld.

4.

De EDPS verbindt hieraan geen inhoudelijk conclusies. De Raad heeft er namelijk voor gekozen het initiatief zo min mogelijk te wijzigen, zodat het volledig in overeenstemming is met de tekst van het Verdrag van Prüm dat al door een aantal lidstaten is ondertekend. De EDPS zal het verderop in zijn advies nog hebben over de democratische gevolgen van deze benadering.

II.   CONTEXT EN RECHTSKADER

5.

Zeven lidstaten hebben in mei 2005 het Verdrag van Prüm ondertekend, dat zich buiten het kader van het EU-Verdrag situeert. Later zijn nog andere lidstaten tot dit verdrag toegetreden.

6.

Het Verdrag van Prüm wordt aangevuld door een uitvoeringsovereenkomst van 5 december 2006, die op artikel 44 van dat verdrag is gebaseerd. Deze uitvoeringsovereenkomst is nodig voor de werking van het Verdrag van Prüm.

7.

De belangrijkste aspecten van het Verdrag van Prüm zullen in het rechtskader van de Europese Unie worden opgenomen met de aanneming van Besluit 2007/…/JBZ van de Raad betreffende het initiatief van 15 lidstaten („het Prüm-initiatief”), waarover in de Raad reeds een politiek akkoord bestaat. Dit was van meet af aan de bedoeling van de overeenkomstsluitende partijen van het EU-Verdrag, zoals blijkt uit de preambule van het Prüm-verdrag.

8.

Het wetgevingsproces dat tot de aanneming van het besluit van de Raad heeft geleid, diende niet om nog belangrijke kwesties te behandelen, maar om overeenstemming te bereiken over het acquis van het Prüm-verdrag. Dit is des te belangrijker aangezien — tijdens dit wetgevingsproces — de bekrachtiging van het verdrag werd voortgezet in een aantal lidstaten en het verdrag in werking is getreden.

III.   INHOUD EN INVALSHOEK VAN DIT ADVIES

9.

Het onderhavige advies richt zich op het ontwerp-besluit van de Raad betreffende de uitvoeringsvoorschriften. De punten die in het vorige advies van de EDPS over het besluit van de Raad betreffende het Prüm-initiatief naar voren zijn gebracht, blijven geldig en worden hier niet herhaald, tenzij zulks nodig is om de aangelegenheden te beklemtonen die de wetgever in het kader van de uitvoeringsvoorschriften nog zou kunnen behandelen.

10.

In dit verband moet worden beklemtoond dat de uitvoeringsvoorschriften van bijzonder belang zijn, omdat zij niet alleen enkele administratieve en technische bepalingen bevatten, maar ook cruciale aspecten en instrumenten van het systeem en van de werking ervan definiëren. Zo worden in hoofdstuk 1 van de uitvoeringsvoorschriften de in het Prüm-besluit van de Raad gebezigde begrippen gedefinieerd. De uitvoeringsvoorschriften bevatten voorts gemeenschappelijke bepalingen voor het uitwisselen van gegevens (hoofdstuk 2), en definiëren tevens de specifieke kenmerken van de uitwisseling van DNA-gegevens (hoofdstuk 3), dactyloscopische gegevens (hoofdstuk 4) en gegevens uit kentekenregisters (hoofdstuk 5). De slotbepalingen in hoofdstuk 6 bevatten belangrijke bepalingen over de aanneming van nieuwe uitvoeringsvoorschriften in handboeken, en over de evaluatie van de toepassing van het besluit.

11.

De bijlage wordt verderop behandeld voor zover deze bijdraagt, of zou moeten bijdragen, tot het bepalen van de kenmerken van het voorgestelde systeem en de waarborgen voor de betrokkenen.

IV.   ALGEMEEN

Geringe handelingsvrijheid

12.

De EDPS wijst erop dat, ook in het onderhavige geval, reeds op voorhand uitvoeringsvoorschriften van kracht waren voor het Verdrag van Prüm, zodat de Raad in werkelijkheid slechts een geringe handelingsvrijheid heeft. In overweging 3 en in artikel 18 van het initiatief wordt namelijk gesteld dat het uitvoeringsbesluit en de handboeken worden gebaseerd op de uitvoeringsbepalingen van 5 december 2006 inzake de administratieve en technische uitvoering van het Verdrag van Prüm. Dit betekent dat, conform het huidige initiatief, de 27 lidstaten de weg zullen moeten volgen die is vastgelegd door de 7 lidstaten die het Verdrag van Prüm hebben ondertekend.

13.

Een dergelijke aanpak belemmert een echt transparant en democratisch wetgevingsproces, want beperkt in aanzienlijke mate de mogelijkheid om een breed debat te voeren en effectief rekening te houden met de wetgevende taak van het Europees Parlement en de adviserende taak van andere instellingen, zoals de EDPS. De EDPS beveelt aan dat het initiatief en de bijbehorende bijlage open worden besproken en dat daadwerkelijk wordt geprofiteerd van de bijdrage van alle institutionele actoren, waarbij ook rekening wordt gehouden met de rol van volwaardig medewetgever die het Europees Parlement zal bekleden wanneer het Hervormingsverdrag — dat op 13 december 2007 in Lissabon is ondertekend — in werking treedt.

Juridisch kader op het gebied van gegevensbescherming en verhouding tot het ontwerp-kaderbesluit inzake gegevensbescherming in het kader van de derde pijler

14.

Het juridisch kader dat van toepassing is op gegevensbescherming is complex en evolueert snel. In hoofdstuk 6 van het Prüm-initiatief is een aantal garanties en specifieke voorschriften op het gebied van gegevensbescherming opgenomen. Deze specifieke voorschriften staan echter niet op zichzelf en moeten, willen zij naar behoren werken, op hun beurt gebaseerd worden op een volledig, algemeen kader voor de bescherming van persoonsgegevens die door politiële en justitiële autoriteiten worden verwerkt. Artikel 25 van het Prüm-initiatief bevat een verwijzing naar Verdrag nr. 108 van de Raad van Europa. De EDPS heeft echter herhaaldelijk benadrukt dat de beginselen van Verdrag nr. 108 nader moeten worden gespecificeerd, zodat een hoog en geharmoniseerd niveau van gegevensbescherming kan worden gewaarborgd dat aldus de rechten van de burgers en een effectieve wetshandhaving kan garanderen in een ruimte van vrijheid, veiligheid en recht (4).

15.

De Commissie heeft in dit verband reeds in oktober 2005 een algemeen instrument voorgesteld, nl.: het ontwerp-kaderbesluit van de Raad over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (hierna „het ontwerp-kaderbesluit over gegevensbescherming in de derde pijler” genoemd). Dit voorstel is nog niet aangenomen door de Raad en kan bijgevolg nog worden besproken en eventueel gewijzigd, in welk geval de aanneming en uitvoering nog langer op zich zouden laten wachten. Het staat echter al vast dat dit kaderbesluit, zoals het er thans uitziet, alleen van toepassing zal zijn op de uitwisseling van persoonsgegevens met andere lidstaten, en niet op het verwerken van persoonsgegevens in eigen land (5).

16.

De huidige tekst van het ontwerp-kaderbesluit over gegevensbescherming in de derde pijler heeft weliswaar tot doel een hoog niveau van gegevensbescherming te garanderen, maar voorziet slechts in minimale harmonisatie en garanties. Dit betekent dat een aantal instrumenten, zoals het huidige initiatief, die baat hadden kunnen hebben bij een alomvattend, algemeen kader inzake gegevensbescherming, thans een oplossing moeten bieden voor de lacunes van het ontwerp-kaderbesluit over gegevensbescherming in de derde pijler.

17.

De EDPS stelt derhalve nogmaals dat de besluiten van de Raad met betrekking tot Prüm-aangelegenheden niet in werking zouden mogen treden zolang de lidstaten geen algemeen kaderbesluit over gegevensbescherming in de derde pijler hebben geïmplementeerd. Deze voorwaarde moet uitdrukkelijk in het initiatief worden verankerd en er moet op voorhand op passende wijze worden nagegaan of de gegevensbeschermingsgaranties in het systeem voor gegevensuitwisseling goed werken. Het is in dit verband ook van essentieel belang dat de relaties tussen rechtsinstrumenten worden verduidelijkt, om ervoor te zorgen dat het kaderbesluit over gegevensbescherming in de derde pijler als „lex generalis” fungeert en dat tegelijkertijd de toepasbaarheid van andere specifieke garanties en op maat gemaakte striktere normen van het Prüm-initiatief verzekerd is (6).

18.

De wetgever moet voorts verduidelijken dat de specifieke gegevensbeschermingsbepalingen met betrekking tot DNA-gegevens, vingerafdrukken en gegevens uit kentekenregisters in hoofdstuk 6 van het Prüm-initiatief niet alleen op de uitwisseling van deze gegevens van toepassing zijn, maar ook op het verzamelen, opslaan en in eigen land verwerken ervan, alsook op het verstrekken van andere persoonsgegevens in het kader van het besluit van de Raad. Deze verduidelijking strookt met artikel 24, lid 2, van het Prüm-initiatief en is tegelijkertijd een logisch gevolg van de verplichting voor de lidstaten om bovengenoemde gegevens te verzamelen, op te slaan en uit te wisselen.

19.

Een dergelijke verduidelijking wint zelfs nog aan belang wanneer in overweging wordt genomen dat de werkingssfeer van het ontwerp-kaderbesluit over gegevensbescherming in de derde pijler wellicht niet van toepassing zal zijn op het verwerken van persoonsgegevens voor binnenlands gebruik. De Raad heeft daartoe besloten, maar heeft tegelijkertijd gespecificeerd dat deze keuze niet belet dat de rechtsgrondslag ook kan gelden voor bedoelde vorm van gegevensverwerking. Aangezien het huidige pakket initiatieven — het Prüm-initiatief en de uitvoeringsvoorschriften — de verplichting inhoudt om bepaalde databanken, bijvoorbeeld een DNA-databank, tot stand te brengen en te onderhouden, moet het ook garanties bevatten met betrekking tot de verwerkingsoperaties — met name het verzamelen en opslaan van DNA-profielen — die met het verzamelen en opslaan van gegevens gepaard gaan. Mocht de toepassing ervan beperkt blijven tot de uitgewisselde gegevens, dan zouden deze rechtsinstrumenten niet de nodige bepalingen inzake de bescherming van persoonsgegevens bevatten die voor elke maatregel op grond van artikel 30, lid 1, onder b), van het EU-Verdrag zouden moeten gelden.

20.

De EDPS roept de wetgever op ervoor te zorgen dat, conform artikel 30, lid 1, onder b), van het EU-Verdrag, een duidelijk, doeltreffend en alomvattend juridisch kader voor gegevensbescherming — dat de verschillende rechtsinstrumenten met algemene bepalingen en specifieke garanties combineert — tot stand is gebracht voordat het huidige initiatief in werking treedt.

21.

In dit advies zal de EDPS derhalve, waar van toepassing, verwijzen naar de aangelegenheden die niet (volledig) aan bod komen in het ontwerp-kaderbesluit over gegevensbescherming in de derde pijler en die bijgevolg moeten worden behandeld in het kader van de uitvoering van het systeem dat door het huidige initiatief tot stand wordt gebracht.

Transparantie van het besluitvormingsproces en van de uitvoeringsvoorschriften

22.

De EDPS beklemtoont dat transparantie een essentieel aspect is van de besluitvorming en van de uitvoering van de voorschriften. Transparantie moet derhalve voor een volledige en effectieve deelname van alle betrokken institutionele actoren zorgen en tevens het openbare debat en een adequate voorlichting van de burgers bevorderen.

23.

In casu wordt de transparantie jammer genoeg door een aantal omstandigheden geschaad: er is geen motivering waarin de achterliggende redenen, de doelmatigheid en de mogelijke beleidsalternatieven van de voorgestelde maatregelen worden toegelicht; de tekst van de bijlage is nog onvolledig (zo is ze bijvoorbeeld nog niet in het Publicatieblad bekendgemaakt en nog niet in alle officiële talen vertaald; de verwijzingen naar artikelen en de terminologie zijn vaak onnauwkeurig en de verklaringen van de lidstaten over de inhoud van hun DNA-databanken zijn niet beschikbaar) en het initiatief voorziet niet in verplichtingen of mechanismen om de burger op een adequate manier voor te lichten over de genomen maatregelen en over wijzigingen daarvan.

24.

De EDPS beveelt derhalve aan de transparantie van de maatregelen te verbeteren, door zo spoedig mogelijk een definitieve versie van de bijlage voor te leggen en in mechanismen te voorzien voor het voorlichten van de burgers over de kenmerken van de systemen en over hun rechten en de manier waarop zij deze kunnen uitoefenen. In het initiatief of in de bijbehorende bijlage moet uitdrukkelijk in dergelijke voorlichtingscampagnes worden voorzien.

Reikwijdte van het systeem

25.

Het huidige initiatief is een vrij getrouwe afspiegeling van de in het kader van het Verdrag van Prüm vastgestelde uitvoeringsvoorschriften. Zoals reeds aangegeven in het advies over het Prüm-initiatief (punten 33-35) zijn mechanismen voor de uitwisseling van informatie tussen een beperkt aantal lidstaten echter niet per se geschikt — en moeten deze bijgevolg wellicht worden aangepast — wanneer zij op een veel grootschaliger systeem, zoals voor de uitwisseling van informatie tussen 27 lidstaten, moeten worden toegepast.

26.

Kleinschaligheid is bevorderlijk voor nauwe contacten tussen de betrokken lidstaten, zowel wat betreft de wetshandhaving als wat betreft het toezicht op gevaren voor de bescherming van de persoonsgegevens van de betrokkenen. Dit is niet het geval in een grootschaliger systeem, waarin de nationale praktijken en rechtsstelsels onderling grote verschillen vertonen wat betreft het verzamelen, opslaan en verwerken van gegevens, met name van DNA-profielen en vingerafdrukken. Het gebruik van verschillende talen en verschillende rechtsopvattingen kan ook gevolgen hebben voor de accuraatheid van de gegevensuitwisseling tussen landen met verschillende rechtstradities. De EDPS verzoekt de wetgever derhalve bij de verdere behandeling van het huidige initiatief terdege rekening te houden met de reikwijdte van het systeem en ervoor te zorgen dat het systeem niet aan doeltreffendheid inboet wanneer het aantal deelnemende lidstaten groter wordt. In de uitvoeringsvoorschriften dienen met name specifieke formaten voor het verstrekken van gegevens te worden vastgesteld, waarbij ook rekening wordt gehouden met taalverschillen, en de accuraatheid van de gegevensuitwisseling moet permanent worden gecontroleerd.

Deelname van de gegevensbeschermingsautoriteiten

27.

Het initiatief moet recht doen aan de belangrijke rol die is weggelegd voor de onafhankelijke toezichthoudende autoriteiten bij grootschalige grensoverschrijdende gegevensuitwisseling, en moet hen in staat stellen hun taken effectief uit te voeren.

28.

Het huidige rechtskader voorziet in de eerste plaats niet in raadpleging of deelname van de bevoegde toezichthoudende autoriteiten in het geval van wijzigingen van de uitvoeringsvoorschriften of de bijbehorende bijlagen (artikel 18 van het initiatief), in het geval van de uitvoering van de gegevensbeschermingsbepalingen van de lidstaten (artikel 20) of in het geval van de evaluatie van de gegevensuitwisseling (artikel 21). Zo is het bijzonder jammer dat in hoofdstuk IV van de bijlage, waarin gedetailleerd wordt uiteengezet hoe de uitvoering moet worden geëvalueerd, hoegenaamd geen melding wordt gemaakt van de bevoegde gegevensbeschermingsautoriteiten. De EDPS beveelt aan om de wezenlijke adviserende rol van deze autoriteiten uitdrukkelijk in de bovengenoemde artikelen te onderkennen.

29.

Ten tweede zou er in het kader van dit initiatief voor moeten worden gezorgd dat de lidstaten de gegevensbeschermingsautoriteiten de (extra) middelen ter beschikking stellen die zij nodig hebben om de toezichthoudende taken uit te voeren die uit de implementatie van het voorgestelde systeem voortvloeien.

30.

En tot slot zou in het kader van dit initiatief moeten worden bepaald dat de bevoegde gegevensbeschermingsautoriteiten regelmatig op EU-niveau bijeenkomen om hun werkzaamheden te coördineren en de toepassing van deze instrumenten te harmoniseren. Het initiatief zou uitdrukkelijk in deze mogelijkheid moeten voorzien, voor zover in het kaderbesluit over gegevensbescherming in de derde pijler niet een meer algemeen forum voor gegevensbeschermingsautoriteiten op EU-niveau wordt vastgesteld.

V.   SPECIFIEKE PUNTEN

Definities

31.

Artikel 2 van het initiatief bevat een reeks definities, die ten dele een afspiegeling zijn van de definities in het besluit van de Raad. Vooreerst moet worden onderstreept dat de definities in artikel 2 van het initiatief niet exact overeenkomen met de definities van het besluit van de Raad, en met name van artikel 24 ervan. De wetgever dient de formuleringen van de twee teksten onderling aan te passen om uitvoeringsproblemen te voorkomen.

32.

Ten tweede ontbreekt er een duidelijke definitie van persoonsgegevens, zoals de EDPS reeds in zijn advies over het Prüm-initiatief heeft betreurd (punten 41-43). Deze lacune is des te betreurenswaardiger in de uitvoeringsvoorschriften, die worden voorgesteld op een moment dat reeds duidelijk is dat het ontwerp-kaderbesluit over gegevensbescherming in de derde pijler niet van toepassing zal zijn op het verzamelen en verwerken van persoonsgegevens, en met name DNA-profielen, voor binnenlands gebruik. De EDPS roept de wetgever derhalve nogmaals op, een duidelijke en inclusieve definitie van persoonsgegevens op te nemen.

33.

In dit verband moet in de uitvoeringsvoorschriften tevens worden verduidelijkt dat de gegevensbeschermingsvoorschriften ook van toepassing zijn op niet-geïdentificeerde DNA-profielen — d.w.z. profielen die nog niet aan een geïdentificeerde persoon zijn gekoppeld. Deze gegevens worden namelijk verzameld, uitgewisseld en onderling vergeleken om ze te kunnen koppelen aan de persoon aan wie ze toebehoren. Aangezien het systeem tot doel heeft de betrokkenen te identificeren en deze gegevens in principe slechts tijdelijk „niet-geïdentificeerd” zullen zijn, moeten de meeste, zo niet alle, bepalingen en garanties op het gebied van persoonsgegevens ook op die gegevens van toepassing zijn (7).

34.

Ook wat de definitie van het „niet-gecodeerde gedeelte van het DNA” (artikel 2, onder e)) betreft, herinnert de EDPS er nogmaals (8) aan dat de mogelijkheid dat bepaalde chromosoomgebieden informatie over gevoelige erfelijke eigenschappen van een organisme bevatten, groter kan worden als gevolg van het voortschrijden van de wetenschap. De definitie van het „niet-gecodeerde gedeelte” moet dus dynamisch zijn en tevens de verplichting bevatten DNA-merkers die als gevolg van het voortschrijden van de wetenschap informatie kunnen verschaffen over specifieke erfelijke eigenschappen, niet langer te gebruiken (9).

Accuraatheid bij geautomatiseerde bevragingen en vergelijkingen

35.

Artikel 8 van het initiatief regelt de geautomatiseerde bevraging en vergelijking van DNA-profielen, en bepaalt in dat verband dat er „alleen” in geautomatiseerde melding van een overeenkomend profiel „wordt voorzien als de geautomatiseerde bevraging of vergelijking een overeenkomst heeft opgeleverd voor een minimumaantal loci”. Dit minimumaantal wordt in hoofdstuk 1 van de bijlage vastgesteld: de lidstaten moeten ervoor zorgen dat de ter beschikking gestelde DNA-profielen ten minste 6 van de 7 „standaard”-EU-loci bevatten (hoofdstuk 1, punt 1.1, van de bijlage); de vergelijking gebeurt tussen de waarden van de vergeleken loci die zowel in het verzoekende als in het bevraagde DNA-profiel voorkomen (punt 1.2); er is sprake van een overeenkomst indien alle waarden van de vergeleken loci gelijk zijn („volledige overeenkomst”), of indien slechts één waarde verschillend is („bijna-overeenkomst”) (punt 1.2); volledige overeenkomsten en bijna-overeenkomsten worden gemeld (punt 1.3).

36.

Met betrekking tot dit mechanisme wijst de EDPS erop dat de accuraatheid van de overeenkomst een essentiële voorwaarde is. Hoe hoger het aantal overeenkomende loci, hoe kleiner de kans op een valse overeenkomst tussen onderling vergeleken DNA-profielen. De beschikbaarheid en de structuur van DNA-databanken verschillen momenteel echter in de lidstaten van de Europese Unie. In verschillende landen worden andere aantallen en reeksen loci gebruikt. In de bijlage wordt het minimumaantal loci voor een overeenkomst vastgesteld op 6, zonder evenwel informatie te verschaffen over de beoogde foutmarge voor dit systeem. De EDPS wijst er dienaangaande op dat er in vele landen meer loci worden gebruikt om de accuraatheid van de overeenkomsten te vergroten en het aantal valse overeenkomsten te verminderen (10). Om de graad van accuraatheid van het geplande systeem goed te kunnen beoordelen, is het van wezenlijk belang dat informatie wordt verschaft over de beoogde foutmarge per aantal vergeleken loci.

37.

Dit betekent ook dat het minimumaantal loci een essentieel element is, dat derhalve in de tekst van het huidige initiatief, en niet in de bijlage (die, overeenkomstig artikel 18 van het initiatief, door de Raad met een gekwalificeerde meerderheid van stemmen en zonder raadpleging van het Parlement kan worden gewijzigd), moet worden vastgesteld, teneinde te voorkomen dat een kleiner aantal loci nadelige gevolgen heeft voor de accuraatheid. Er moet terdege rekening worden gehouden met de mogelijkheid van fouten en valse overeenkomsten, door erin te voorzien dat bijna-overeenkomsten uitdrukkelijk als zodanig worden gemeld (zodat de ontvangende autoriteiten weten dat de desbetreffende overeenkomst minder betrouwbaar is dan een volledige overeenkomst).

38.

Voorts wordt in het initiatief zelf erkend dat bevragingen en vergelijkingen meerdere overeenkomsten kunnen opleveren, zoals uitdrukkelijk is opgenomen in artikel 8 van het initiatief met betrekking tot DNA-profielen en in hoofdstuk 3 (punt 1.2) van de bijlage met betrekking tot gegevens uit kentekenregisters. In al deze gevallen moeten nog meer controles en verificaties plaatsvinden om te achterhalen waarom er een meervoudige overeenkomst is en welke overeenkomst de juiste is voordat persoonsgegevens die op deze overeenkomst gebaseerd zijn verder kunnen worden uitgewisseld.

39.

In diezelfde optiek beveelt de EDPS aan om met name bij de operatoren van de wetshandhavingsdiensten die DNA-vergelijkingen en -bevragingen uitvoeren, het bewustzijn te vergroten dat DNA-profielen geen unieke identificatiemiddelen zijn: zelfs volledige overeenkomsten in een bepaald aantal loci sluiten de mogelijkheid van valse overeenkomsten — d.w.z. de mogelijkheid dat een persoon ten onrechte aan een bepaald DNA-profiel wordt gekoppeld — niet uit. Bij vergelijkingen en bevragingen van DNA-profielen kunnen zich namelijk op verschillende niveaus fouten voordoen: gebrekkige kwaliteit van de DNA-stalen op het moment van afname, mogelijke technische fouten in de DNA-analyse, fouten bij de input van de gegevens, of gewoonweg omwille van een toevallige overeenkomst in de specifieke loci die worden vergeleken. Wat dit laatste punt betreft, zal de foutmarge wellicht toenemen wanneer het aantal loci vermindert en wanneer de databank groter wordt.

40.

Een vergelijkbare redenering geldt voor de accuraatheid van de overeenkomsten tussen vingerafdrukgegevens. In artikel 12 van het initiatief wordt bepaald dat de digitalisering en de verstrekking van dactyloscopische gegevens worden uitgevoerd conform een uniform gegevensformaat als gespecificeerd in hoofdstuk 2 van de bijlage. Voorts moet elke lidstaat erop toezien dat de dactyloscopische gegevens van een voldoende kwaliteit zijn voor een vergelijking door middel van het geautomatiseerde vingerafdrukidentificatiesysteem (AFIS). In hoofdstuk 2 van de bijlage staan meer details over het te gebruiken formaat. De EDPS wijst er daarom op dat de accuraatheid van de overeenkomsten moet worden gewaarborgd en dat het initiatief en de bijbehorende bijlage derhalve moeten zorgen voor een zo groot mogelijke harmonisatie van de verschillende AFIS-systemen die in de lidstaten worden gebruikt, en van de manier waarop deze worden gebruikt, met name wat het percentage weigeringen van valse overeenkomsten betreft. De EDPS is van oordeel dat deze informatie moet worden opgenomen in het handboek dat overeenkomstig artikel 18, lid 2, van het initiatief wordt opgesteld.

41.

Een ander cruciaal element is dat databanken met DNA-gegevens (en vingerafdrukken) precies moeten worden omschreven, omdat zij, afhankelijk van de lidstaat in kwestie, DNA-profielen of vingerafdrukken van verschillende soorten betrokkenen (criminelen, verdachten, andere personen die op de plaats van het misdrijf aanwezig waren, enz.) kunnen bevatten. Ondanks deze verschillen wordt in het huidige initiatief niet omschreven welke soorten databanken de lidstaten zullen gebruiken en bevat de bijlage daartoe nog geen verklaringen. Er zijn bijgevolg overeenkomsten mogelijk tussen DNA-gegevens en vingerafdrukken die tot niet-homogene, en vaak niet-relevante, categorieën betrokkenen behoren.

42.

Volgens de EDPS moet in het initiatief worden gespecificeerd voor welke soorten betrokkenen gegevens worden uitgewisseld en op welke manier de verschillende statussen van de betrokkenen aan de andere lidstaten worden meegedeeld wanneer gegevens worden vergeleken of bevraagd. In het initiatief zou bijvoorbeeld de verplichting kunnen worden opgelegd om in het „matching report” informatie op te nemen over het soort betrokkene waarmee de DNA-gegevens of vingerafdrukken overeenkomen, voor zover de aangezochte autoriteiten over deze informatie beschikken.

Evaluatie van de gegevensuitwisseling

43.

De evaluatie van de gegevensuitwisseling, overeenkomstig artikel 21 van het initiatief en hoofdstuk 4 van de bijlage, is een goede zaak. Deze bepalingen zijn echter uitsluitend op de administratieve, technische en financiële implementatie van geautomatiseerde gegevensuitwisselingen toegespitst; van het evalueren van de uitvoering van de gegevensbeschermingsvoorschriften wordt helemaal geen melding gemaakt.

44.

De EDPS stelt derhalve voor, specifieke nadruk te leggen op de evaluatie van de gegevensbeschermingsaspecten van het uitwisselen van gegevens, met bijzondere aandacht voor de doeleinden waarvoor de gegevens worden uitgewisseld, de wijze van voorlichting van de betrokkenen, de accuraatheid van de uitgewisselde gegevens en valse overeenkomsten, de verzoeken om toegang tot persoonsgegevens, de bewaartermijnen en de doeltreffendheid van de beveiligingsmaatregelen. De gegevensbeschermingsautoriteiten en -deskundigen moeten op passende wijze hierbij worden betrokken, bijvoorbeeld door deskundigen op het gebied van gegevensbescherming aan de evaluatiebezoeken op grond van hoofdstuk 4 van de bijlage te laten deelnemen, en het in artikel 20 van het initiatief en hoofdstuk 4 van de bijlage bedoelde evaluatieverslag aan de gegevensbeschermingsautoriteiten te laten verstrekken.

Communicatienetwerk en technische aspecten van het systeem

45.

In artikel 4 van het initiatief wordt bepaald dat de elektronische uitwisseling van gegevens geschiedt met gebruikmaking van het „TESTA II”-communicatienetwerk. In dit verband wordt op bladzijde 76, punt 54, van de bijlage gesteld dat het systeem voldoet aan de gegevensbeschermingsaspecten opgenomen in Verordening (EG) nr. 45/2001 (artikelen 21, 22 en 23) en Richtlijn 95/46/EG. De EDPS beveelt aan deze informatie te verduidelijken, onder meer wat de rol van de communautaire instellingen in het systeem betreft. In dit verband moet volledig rekening worden gehouden met de toezichthoudende en adviserende rol van de EDPS uit hoofde van Verordening (EG) nr. 45/2001.

46.

Zodra de bijlage is voltooid en deze alle details en verklaringen ter verduidelijking van de kenmerken van de systemen bevat, zal de EDPS voorts bekijken of hij nog advies zal uitbrengen over de meer technische aspecten van het systeem.

VI.   CONCLUSIES

De EDPS beveelt aan dat het initiatief en de bijbehorende bijlage open worden besproken en dat daadwerkelijk wordt geprofiteerd van de bijdrage van alle institutionele actoren, waarbij ook rekening wordt gehouden met de rol van volwaardig medewetgever die het Europees Parlement zal bekleden wanneer het Hervormingsverdrag — dat op 13 december 2007 in Lissabon is ondertekend — in werking treedt.

De EDPS roept de wetgever op ervoor te zorgen dat, conform artikel 30, lid 1, onder b), van het EU-Verdrag, een duidelijk, doeltreffend en alomvattend juridisch kader voor gegevensbescherming — dat de verschillende rechtsinstrumenten met algemene bepalingen en specifieke garanties combineert — tot stand wordt gebracht voordat het huidige initiatief in werking treedt.

In dat licht stelt de EDPS nogmaals dat de besluiten van de Raad met betrekking tot Prüm-aangelegenheden niet in werking zouden mogen treden zolang de lidstaten geen algemeen kaderbesluit over gegevensbescherming in de derde pijler hebben geïmplementeerd, dat als „lex generalis” zou fungeren, en dat de bepalingen van het Prüm-initiatief die voor specifieke garanties en op maat gemaakte striktere normen moeten zorgen, als aanvulling daarop dienen te worden toegepast.

De wetgever moet tevens verduidelijken dat de specifieke gegevensbeschermingsbepalingen met betrekking tot DNA-gegevens, vingerafdrukken en gegevens uit kentekenregisters in hoofdstuk 6 van het Prüm-initiatief niet alleen op de uitwisseling van deze gegevens van toepassing zijn, maar ook op het verzamelen, opslaan en in eigen land verwerken ervan, alsook op het verstrekken van andere persoonsgegevens in het kader van het besluit van de Raad.

De EDPS beveelt aan de transparantie van de maatregelen te verbeteren, door zo spoedig mogelijk een definitieve versie van de bijlage voor te leggen en in mechanismen te voorzien voor het voorlichten van de burgers over de kenmerken van de systemen en over hun rechten en de manier waarop zij deze kunnen uitoefenen.

De EDPS verzoekt de wetgever, bij de verdere behandeling van het huidige initiatief terdege rekening te houden met de reikwijdte van het systeem en ervoor te zorgen dat het systeem niet aan doeltreffendheid inboet wanneer het aantal deelnemende lidstaten groter wordt. In de uitvoeringsvoorschriften dienen met name specifieke formaten voor het verstrekken van gegevens te worden vastgesteld, waarbij ook rekening wordt gehouden met taalverschillen, en de accuraatheid van de gegevensuitwisseling moet permanent worden gecontroleerd.

De EDPS beveelt aan de wezenlijke adviserende rol van de gegevensbeschermingsautoriteiten uitdrukkelijk te onderkennen in de artikelen betreffende de wijziging van de uitvoeringsvoorschriften en de bijbehorende bijlagen (artikel 18), betreffende de uitvoering van de gegevensbeschermingsvoorschriften door de lidstaten (artikel 20), en betreffende de evaluatie van de gegevensuitwisseling (artikel 21). Verder zou er in het kader van dit initiatief voor moeten worden gezorgd dat de lidstaten de gegevensbeschermingsautoriteiten de (extra) middelen ter beschikking stellen die zij nodig hebben om de toezichthoudende taken uit te voeren die uit de implementatie van het voorgestelde systeem voortvloeien, alsmede dat de bevoegde gegevensbeschermingsautoriteiten regelmatig op EU-niveau bijeenkomen om hun werkzaamheden te coördineren en de toepassing van deze instrumenten te harmoniseren.

De EDPS roept de wetgever nogmaals op, een duidelijke en inclusieve definitie van persoonsgegevens op te nemen. In dit verband moet in de uitvoeringsvoorschriften tevens worden verduidelijkt dat de gegevensbeschermingsvoorschriften ook van toepassing zijn op niet-geïdentificeerde DNA-profielen — d.w.z. profielen die nog niet aan een geïdentificeerde persoon zijn gekoppeld. De EDPS herinnert er nogmaals aan dat de definitie van het „niet-gecodeerde gedeelte” dynamisch moet zijn, en tevens de verplichting moet bevatten DNA-merkers die als gevolg van het voortschrijden van de wetenschap, informatie kunnen verschaffen over specifieke erfelijke kenmerken, niet langer te gebruiken.

De EDPS beveelt aan om bij geautomatiseerde bevragingen en vergelijkingen terdege rekening te houden met de accuraatheid van de overeenkomsten.

Dit betekent dat, wat vergelijkingen en bevragingen van DNA-gegevens betreft, informatie moet worden verschaft over de beoogde foutmarge per aantal vergeleken loci, dat bijna-overeenkomsten uitdrukkelijk als zodanig moeten worden gemeld, dat in het geval van meervoudige overeenkomsten verdere controles moeten worden verricht en dat het bewustzijn moet worden vergroot dat DNA-profielen geen unieke identificatiemiddelen zijn. Wat vingerafdrukken betreft, moet het initiatief zorgen voor een zo groot mogelijke harmonisatie van de verschillende AFIS-systemen die in de lidstaten worden gebruikt, en van de manier waarop deze worden gebruikt, met name wat het percentage weigeringen van valse overeenkomsten betreft.

Voorts moeten databanken met DNA-gegevens en vingerafdrukken precies worden omschreven, omdat zij, afhankelijk van de lidstaat in kwestie, DNA-profielen of vingerafdrukken van verschillende soorten betrokkenen kunnen bevatten. In het initiatief moet worden gespecificeerd voor welke soorten betrokkenen gegevens worden uitgewisseld en op welke manier de verschillende statussen van de betrokkenen aan de andere lidstaten worden meegedeeld wanneer gegevens worden vergeleken of bevraagd.

De EDPS stelt voor, specifieke nadruk te leggen op de evaluatie van de gegevensbeschermingsaspecten van het uitwisselen van gegevens, met bijzondere aandacht voor de doeleinden waarvoor de gegevens worden uitgewisseld, de wijze van voorlichting van de betrokkenen, de accuraatheid van de uitgewisselde gegevens en valse overeenkomsten, de verzoeken om toegang tot persoonsgegevens, de bewaartermijnen en de doeltreffendheid van de beveiligingsmaatregelen. De gegevensbeschermingsautoriteiten en -deskundigen moeten op passende wijze hierbij worden betrokken.

De EDPS beveelt aan het gebruik van het „TESTA II”-communicatienetwerk en de naleving van Verordening (EG) nr. 45/2001 door dit systeem te verduidelijken, onder meer wat de rol van de communautaire instellingen in het systeem betreft.

Brussel, 19 december 2007.

Peter HUSTINX

Europees Toezichthouder voor gegevensbescherming


(1)  PB C 267 van 9.11.2007, blz. 4.

(2)  De bijlage is nog niet in het Publicatieblad bekendgemaakt, maar is algemeen toegankelijk in het Raadsregister onder documentnummer 11045/1/07 REV 1 ADD 1.

(3)  PB C 169 van 21.7.2007, blz. 2.

(4)  Zie, meer recentelijk, de punten 57 tot en met 76 van het advies van de EDPS over het Verdrag van Prüm, en punt 14 van het derde advies van de EDPS van 27 april 2007 betreffende het voorstel voor een kaderbesluit van de Raad over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (PB C 139 van 23.6.2007, blz. 1).

(5)  De meest recente versie van dit voorstel is in het Raadsregister beschikbaar onder documentnummer 16397/07.

(6)  Wat dit laatste punt betreft, moet de tekst van artikel 27 ter van de meest recente versie van het ontwerp-kaderbesluit over gegevensbescherming in de derde pijler zorgvuldig worden bekeken en besproken.

(7)  Wat de toepasbaarheid van gegevenbeschermingsbepalingen op DNA-profielen betreft, zie artikel 29 van advies nr. 4/2007 van de groep van 20 juni 2007 over het concept persoonsgegevens — WP 136, blz. 8-9; datzelfde advies bevat tevens verduidelijkingen over het analoge geval van de toepasbaarheid van gegevensbeschermingsbepalingen op dynamische IP-adressen — blz. 16-17.

(8)  Zie ook het advies van de EDPS van 28 februari 2006 over het voorstel voor een kaderbesluit van de Raad betreffende de uitwisseling van informatie volgens het beschikbaarheidsbeginsel (COM(2005) 490 def.), punten 58-60 (PB C 116 van 17.5.2006).

(9)  Zie, in diezelfde zin, bijlage I van de resolutie van de Raad van 25 juni 2001 inzake de uitwisseling van DNA-analyseresultaten (PB C 187 van 3.7.2001, blz. 1).

(10)  Zo heeft het UK in zijn nationale DNA-databank het aantal loci dat voor DNA-profielen wordt gebruikt, verhoogd van 6 tot 10, onder meer om de betrouwbaarheid van het systeem te vergroten.


Top