19.3.2010   

NL

Publicatieblad van de Europese Unie

C 70/13

1.

Op 24 juni 2009 heeft de Commissie een wetgevingspakket aangenomen betreffende de oprichting van een agentschap voor het operationele beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht. Dit pakket bestaat uit een voorstel voor een verordening van het Europees Parlement en de Raad tot oprichting van het agentschap en een voorstel voor een besluit van de Raad waarbij het agentschap belast wordt met taken die verband houden met het operationele beheer van SIS II en het VIS in het kader van de uitvoering van titel VI van het EU-Verdrag (3). Beide voorstellen worden nader toegelicht in een mededeling die dezelfde dag is aangenomen (4). Op 11 augustus 2009 zijn de voorstellen en de mededeling naar de EDPS gestuurd voor advies, samen met de effectbeoordeling en de samenvatting daarvan (5).

2.

De voorgestelde verordening heeft als rechtsgrond Titel IV van het EG-Verdrag. Aangezien het gebruik van SIS II en het VIS voor politiële en justitiële samenwerking in strafzaken momenteel is gebaseerd op Titel VI van het EU-Verdrag, wordt de voorgestelde verordening aangevuld met een voorstel voor een Raadsbesluit op basis van die titel.

3.

De respectieve wetgevingsinstrumenten waarbij SIS II, het VIS en Eurodac zijn ingesteld, bepalen dat de Commissie verantwoordelijk is voor het operationeel beheer van deze drie systemen (6). Met betrekking tot SIS II en het VIS is dit enkel bedoeld voor een overgangsperiode, waarna een beheersautoriteit belast wordt met het operationeel beheer. In een gezamenlijke verklaring van 7 juni 2007 werd de Commissie door de Raad en het Europees Parlement verzocht, na een effectbeoordeling waarin alternatieve oplossingen worden geanalyseerd, met de nodige wetgevingsvoorstellen te komen die het operationeel beheer voor de lange termijn van SIS II en het VIS aan een agentschap toevertrouwen (7). Dit verzoek heeft tot de hier voorliggende voorstellen geleid.

4.

Het bij de voorgestelde verordening opgerichte agentschap zal inderdaad verantwoordelijk zijn voor het operationeel beheer van SIS II en het VIS, maar ook voor Eurodac en mogelijkerwijs andere grootschalige IT-systemen. Onder de punten 28 t/m 31 van dit advies komen de „andere grootschalige IT-systemen” ter sprake. In de preambule van het verordeningsvoorstel wordt vermeld dat het operationeel beheer van deze drie IT-systemen, en mogelijkerwijs nog andere systemen, bij één entiteit moet worden ondergebracht zodat synergieën kunnen worden benut, schaalvoordelen kunnen worden gerealiseerd, een kritische massa tot stand kan komen en de hoogst mogelijke benuttingsgraad van kapitaal en personele middelen kan worden gewaarborgd (8).

5.

Bij het verordeningsvoorstel wordt een regelgevend agentschap ingesteld dat juridisch, administratief en financieel autonoom is en rechtspersoonlijkheid heeft. Het agentschap voert de taken uit die zijn toevertrouwd aan de beheersautoriteit (of de Commissie) en die omschreven worden in de wetgevingsinstrumenten waarbij SIS II, het VIS en Eurodac zijn opgericht. Verder zal het agentschap op specifiek en exact verzoek van de Commissie proefprojecten uitvoeren ten behoeve van de ontwikkeling en/of het operationeel beheer van grootschalige IT-systemen in het kader van de uitvoering van titel IV van het EG-Verdrag, alsook eventueel breder in de ruimte van vrijheid, veiligheid en recht (zie de punten 28 t/m 31).

6.

De administratieve en beheersstructuur van het agentschap zal bestaan uit een raad van bestuur (één vertegenwoordiger per lidstaat en twee vertegenwoordigers van de Commissie), een door de raad van bestuur benoemde uitvoerend directeur en adviesgroepen die de raad van bestuur expertise verstrekken inzake de verschillende IT-systemen. Momenteel voorziet het voorstel in drie adviesgroepen, één voor SIS II, één voor het VIS en één voor Eurodac.

7.

Het voorgestelde Raadsbesluit belast het bij Verordening XX opgerichte agentschap met de taken waarmee de beheersautoriteit is belast overeenkomstig Besluit 2007/533/JBZ (SIS II) en Besluit 2008/633/JBZ (VIS) (9). Daarnaast verleent dit voorstel Europol een waarnemersstatus in de vergaderingen van de raad van bestuur van het agentschap wanneer een vraagstuk inzake SIS II of het VIS op de agenda staat. Europol kan ook een vertegenwoordiger aanwijzen voor de adviesgroepen inzake SIS II en het VIS (10). Ook Eurojust heeft een waarnemersstatus en kan een vertegenwoordiger aanwijzen, zij het enkel met betrekking tot SIS II.

8.

Het verheugt de EDPS dat hij is geraadpleegd en hij beveelt aan van deze raadpleging in de overwegingen bij de voorstellen melding te maken, zoals normaliter gebeurt in wetgevingsteksten waarover de EDPS is geraadpleegd overeenkomstig Verordening (EG) nr. 45/2001.

9.

Voordat de voorstellen zijn aangenomen, is de EDPS informeel geraadpleegd. De EDPS vindt dit een goede zaak en is blij dat de meeste van zijn opmerkingen zijn meegenomen in het uiteindelijke voorstel.

10.

Het spreekt voor zich dat de EDPS de ontwikkelingen rond de oprichting van het agentschap, dat de verantwoordelijkheid zal moeten krijgen voor de goede werking en de beveiliging van databanken zoals SIS II, VIS en Eurodac, die grote hoeveelheden persoonsgegevens bevatten, op de voet volgt. Zoals verderop in dit advies wordt uiteengezet, is de EDPS niet tegen de oprichting van een dergelijk agentschap mits bepaalde potentiële risico’s, die grote gevolgen kunnen hebben voor de persoonlijke levenssfeer, voldoende worden ondervangen in het/de basiswetgevingsinstrument(en).

11.

Voordat de EDPS hier verder op ingaat onder III en IV, zal hij eerst in deel II analyseren wat de impact op de voorstellen is van het Verdrag van Lissabon, dat op 1 december 2009 in werking is getreden. In deel V van dit advies zal hij commentaar leveren op bepaalde specifieke bepalingen van beide voorstellen.

12.

Met de inwerkingtreding van het Verdrag van Lissabon per 1 december 2009 is de juridische structuur van de Europese Unie ingrijpend gewijzigd. Vooral ten aanzien van de ruimte van vrijheid, veiligheid en recht heeft de EU ruimere bevoegdheden gekregen en zijn de wetgevingsprocedures aangepast. De EDPS heeft onderzocht wat de invloed van de Verdragswijzigingen is op de thans voorliggende voorstellen.

13.

De in het verordeningsvoorstel genoemde rechtsgronden zijn artikel 62, punt 2, onder a); artikel 62, punt 2, onder b) ii); artikel 63, punt 1, onder a); artikel 63, punt 3, onder b); en artikel 66 van het EG-Verdrag. De tekst van deze artikelen is grotendeels terug te vinden in de volgende VWEU-artikelen: artikel 77, lid 1, onder b); artikel 77, lid 2, onder b); artikel 77, lid 2, onder a); artikel 78, lid 2, onder e); artikel 79, lid 2, onder c); en artikel 74. De wetgevingsprocedure die moet worden gevolgd voor het aannemen van maatregelen op deze rechtsgronden zal niet veranderen, aangezien evenals voorheen de medebeslissingsprocedure van toepassing is, zij het dat die nu de „gewone wetgevingsprocedure” heet. Derhalve lijkt de invloed van de gewijzigde verdragen op de rechtsgrond en de wetgevingsprocedure waar het het verordeningsvoorstel betreft, beperkt.

14.

De artikelen die als rechtsgrond dienen voor het voorgestelde Raadsbesluit zijn artikel 30, lid 1, onder a), artikel 30, lid 1, onder b), en artikel 34, lid 2, onder c), van het EU-Verdrag. In de nieuwe verdragen is artikel 34 VEU ingetrokken. Artikel 30, lid 1, onder a), is in het VWEU vervangen door artikel 87, lid 2, onder a), dat de rechtsgrond verschaft voor maatregelen betreffende de verzameling, opslag, verwerking, analyse en uitwisseling van relevante informatie die conform de gewone wetgevingsprocedure worden aangenomen. Artikel 30, lid 1, onder b), VEU (operationele samenwerking tussen de bevoegde autoriteiten), is vervangen door artikel 87, lid 3, VWEU, dat een bijzondere wetgevingsprocedure voorschrijft die inhoudt dat de Raad, na raadpleging van het Europees Parlement, met eenparigheid van stemmen besluit. De twee wetgevingsprocedures zijn onderling onverenigbaar, zodat artikel 87, lid 2, onder a), en artikel 87, lid 3, VWEU niet langer samen als rechtsgrondslag kunnen dienen voor het Raadsbesluit. Er dringt zich dus een keuze op.

15.

De EDPS is van mening dat de enige rechtsgrond voor de voorgestelde maatregel artikel 87, lid 2, onder a), VWEU is. Deze keuze verdient ook de voorkeur omdat het gebruik van de gewone wetgevingsprocedure impliceert dat het Europees Parlement er volledig bij wordt betrokken en deze procedure de democratische legitimiteit van het voorstel garandeert (11). In dat opzicht moet benadrukt worden dat het voorstel de oprichting behelst van een agentschap dat verantwoordelijk wordt voor de bescherming van persoonsgegevens, hetgeen een grondrecht is dat vervat is in artikel 16 VWEU en in artikel 8 van het Handvest van de grondrechten van de Europese Unie, dat sedert 1 december 2009 bindend is.

16.

Indien voor artikel 87, lid 2, onder a), VWEU als enige rechtsgrond wordt gekozen, zou de Commissie bovendien van de twee voorliggende voorstellen één instrument kunnen maken voor de oprichting van het agentschap, namelijk een verordening, die dan moet worden aangenomen volgens de gewone wetgevingsprocedure.

17.

De EDPS verzoekt de Commissie hoe dan ook op korte termijn voor duidelijkheid te zorgen.

18.

Zoals hierboven onder 3 gezegd is, hebben het Europees Parlement en de Raad de Commissie verzocht alternatieven te onderzoeken en de nodige wetgevingsvoorstellen in te dienen waarbij een agentschap wordt belast met het operationeel langetermijnbeheer van SIS II en het VIS. De Commissie heeft Eurodac hieraan toegevoegd. In de effectbeoordeling houdt de Commissie vijf opties voor het operationeel beheer van de drie systemen tegen het licht:

De Commissie heeft deze opties vanuit vier verschillende invalshoeken geanalyseerd: operationeel, bestuurlijk, financieel en juridisch.

19.

In het kader van haar juridische analyse heeft de Commissie vergeleken in hoeverre de verschillende structuren een doeltreffende bescherming van de fundamentele rechten en vrijheden, en vooral van persoonsgegevens, zouden kunnen waarborgen. De conclusie luidde dat in dat opzicht de opties 3 en 4 de voorkeur verdienen (12). Met betrekking tot de eerste twee opties wees de Commissie op de mogelijke problemen met het toezicht door de EDPS die bij de ontwikkeling van SIS II ter sprake waren gekomen. Voor dezelfde twee opties verwees de Commissie naar de problematische situatie qua aansprakelijkheid ten gevolge van artikel 288 EG (thans artikel 340 VWEU) indien een verwerking die door nationaal personeel is uitgevoerd ter discussie staat.

20.

De EDPS deelt de mening van de Commissie dat het voor zijn toezichthoudende rol de voorkeur verdient om over één Europese eenheid te beschikken die verantwoordelijk is voor het operationeel beheer van grootschalige IT-systemen zoals SIS II, VIS en Eurodac. Bovendien zou de oprichting van één enkele eenheid voor duidelijkheid zorgen ten aanzien van de aansprakelijkheid en het toepasselijke recht. Verordening (EG) nr. 45/2001 zou van toepassing zijn op alle activiteiten van een dergelijke Europese entiteit.

21.

Vervolgens rijst evenwel de vraag om welke (soort) Europese entiteit het moet gaan. De Commissie discussieert momenteel over de oprichting van een nieuw agentschap en het gebruik van de twee bestaande entiteiten, zijnde Frontex en Europol. Een sterk argument tegen het operationeel beheer van grootschalige IT-systemen door Frontex of Europol is dat beide in hun taakuitoefening belang hebben bij het gebruik van persoonsgegevens. De toegang van Europol tot SIS II en het VIS is al geregeld en over wetgeving voor toegang van Europol tot Eurodac wordt momenteel gesproken (13). In de ogen van de EDPS is de voorkeursoptie degene waarbij het gecombineerde operationeel beheer van grootschalige databanken zoals SIS II, VIS en Eurodac in handen komt van een onafhankelijke entiteit die zelf geen belangen heeft als gebruiker van de databank. Dit vermindert het risico van misbruik van gegevens. In dat opzicht wenst de EDPS te wijzen op het basisbeginsel van gegevensbescherming, namelijk doelbinding; dit beginsel stelt dat persoonsgegevens niet mogen worden gebruikt voor doeleinden die onverenigbaar zijn met het doel waarvoor de gegevens oorspronkelijk zijn verwerkt (14).

22.

Een optie waarnaar de Commissie niet gekeken heeft, is operationeel beheer van de systemen door haarzelf, zonder bevoegdheidsoverdracht aan het nationale niveau. De oprichting van een uitvoerend in plaats van een regelgevend agentschap ligt in de buurt van die optie. Alhoewel er vanuit gegevensbeschermingsperspectief geen principieel bezwaar is tegen het feit dat de Commissie deze taak zelf zou uitvoeren (de Commissie is zelf geen gebruiker van deze systemen) ziet de EDPS toch de praktische voordelen van een apart agentschap. De keuze voor een regelgevend in plaats van een uitvoerend agentschap kan ook worden toegejuicht omdat het agentschap, en de reikwijdte van zijn activiteiten, zodoende niet kan worden opgericht, c.q. vastgesteld, op basis van een louter Commissiebesluit. Het huidige agentschap zal worden opgericht op basis van een verordening, die wordt aangenomen overeenkomstig de gewone wetgevingsprocedure, ergo een democratisch besluit.

23.

De EDPS ziet de voordelen in van een onafhankelijk regelgevend agentschap. De EDPS wenst wel te benadrukken dat zo'n agentschap pas kan worden opgericht als de reikwijdte van zijn activiteiten en zijn verantwoordelijkheden duidelijk zijn omschreven.

24.

In het lopende wetgevings- en openbaar debat over dit voorstel is bezorgdheid geuit over de mogelijke instelling van een „big brother-agentschap”. Dit heeft te maken met de mogelijke „function creep” maar ook met de interoperabiliteit van verschillende IT-systemen. Beide zorgpunten komen aan de orde in dit deel van het advies.

25.

Maar eerst wil de EDPS als grondpremisse poneren dat het risico van fouten of van foutief gebruik van persoonsgegevens kan toenemen naarmate meer grootschalige IT-systemen onder dezelfde operationeel beheerder vallen. Daarom moet het totale aantal van dergelijke systemen dat door één en hetzelfde agentschap wordt beheerd, worden beperkt tot een aantal dat nog voldoende waarborgen biedt voor naleving van de gegevensbeschermingsnormen. In andere woorden: het uitgangspunt moet niet zijn dat zo veel mogelijk grootschalige IT-systemen onder het operationeel beheer van één agentschap worden gebracht.

26.

In de huidige context wordt de angst voor „function creep” ingegeven door de gedachte dat het nieuwe agentschap uit eigen beweging reeds bestaande systemen zou kunnen combineren met nieuwe grootschalige IT-systemen, en dat in een mate die op dit moment niet valt te voorzien. De EDPS denkt dat „function creep” door het agentschap kan worden voorkomen door in de eerste plaats de reikwijdte van de (eventuele) activiteiten van het agentschap te beperken en duidelijk te definiëren in het oprichtingsinstrument, en in de tweede plaats door te garanderen dat een verruiming van het toepassingsgebied altijd gebaseerd wordt op een democratisch besluitvormingsproces, hetgeen normaliter de gewone wetgevingsprocedure zal zijn.

27.

Wat de beperking van de reikwijdte van de (eventuele) activiteiten betreft, verwijst het huidige voorstel in artikel 1 naar het operationeel beheer van SIS II, VIS en Eurodac, én naar „de ontwikkeling en het beheer van andere grootschalige informatietechnologiesystemen (IT-systemen) in het kader van de uitvoering van titel IV van het EG-Verdrag”. Dit laatste zinsdeel roept ten aanzien van de afbakening van het toepassingsgebied drie vragen op: wat wordt bedoeld met „ontwikkeling”, wat met „grootschalige IT-systemen” en wat is de betekenis van de passage vanaf „in het kader van de uitvoering van….”? Deze drie vragen worden hieronder behandeld in omgekeerde volgorde.

28.

De zin „in het kader van de uitvoering van titel IV van het EG-Verdrag” beperkt het aantal grootschalige IT-systemen waarvoor het agentschap verantwoordelijk kan worden. De EDPS merkt echter op dat deze zin een beperktere reikwijdte impliceert van eventuele activiteiten dan die welke kan worden afgeleid uit de titel van het verordeningsvoorstel, en uit de vierde en de tiende overweging. Die teksten verschillen van artikel 1 in die zin dat hun reikwijdte groter is; zij verwijzen nl. naar de „ruimte van vrijheid, veiligheid en recht” en niet naar het beperktere bevoegdheidsgebied dat is vastgelegd in titel IV van het EG-Verdrag (visa, asiel, immigratie en andere beleidsterreinen die verband houden met het vrije verkeer van personen).

29.

Het onderscheid tussen titel IV van het EG-Verdrag en het bredere begrip ruimte van vrijheid, veiligheid en recht (dat ook titel VI van het EU-Verdrag omvat) wordt erkend in artikel 6 van het verordeningsvoorstel, dat in lid 1 de mogelijkheid voor het agentschap behandelt om proefprojecten uit te voeren ten behoeve van de ontwikkeling en/of het operationeel beheer van grootschalige IT-systemen, in het kader van de uitvoering van titel IV van het EG-Verdrag, en in lid 2 de mogelijkheid om proefprojecten uit te voeren voor andere grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht. Strikt genomen is artikel 6, lid 2, niet in lijn met artikel 1 van het voorstel.

30.

De tegenstelling tussen artikel 1 en de titel van de verordening, alsook de overwegingen 4 en 10 en artikel 6, lid 2, moet worden opgelost. Onder verwijzing naar zijn basispremisse in punt 25 is de EDPS van mening dat het vooralsnog aanbeveling verdient om het bevoegdheidsterrein wel degelijk te beperken tot grootschalige IT-systemen, in het kader van de uitvoering van titel IV van het EG-Verdrag. Sinds 1 december 2009 (inwerkingtreding Verdrag van Lissabon) impliceert dit een beperking tot de in hoofdstuk 2 van titel V van het VWEU genoemde beleidsterreinen. Nadat ervaring is opgedaan en de werking van het agentschap positief is geëvalueerd (zie artikel 27 van het voorstel en de opmerkingen hieronder in punt 49) kan de verwijzing in artikel 1 misschien worden uitgebreid om er de hele ruimte van vrijheid, veiligheid en recht mee te bestrijken, mits een besluit in die zin wordt genomen op basis van de gewone wetgevingsprocedure.

31.

Zou de wetgever evenwel opteren voor een toepassingsgebied zoals dat kan worden afgeleid uit de titel en de overwegingen 4 en 10, dan moet een andere kwestie in verband met artikel 6, lid 2, worden opgehelderd. In tegenstelling tot het eerste lid van artikel 6 specificeert het tweede lid niet dat de uitvoering van het proefproject de ontwikkeling en/of het operationeel beheer van grootschalige IT-systemen beoogt. Het opzettelijke verschil tussen beide leden en het ontbreken van het bijkomende zinsdeel in het tweede lid doet de vraag rijzen wat de Commissie feitelijk wilde vastleggen. Betekent het dat de in het eerste lid bedoelde proefprojecten een beoordeling moeten bevatten van de mogelijke ontwikkeling en het operationeel beheer door het nieuwe agentschap, en dat de proefprojecten in het tweede lid niet gepaard moeten gaan van een dergelijke beoordeling? Als dat het geval is, dan moet de tekst daar duidelijker in zijn, want het weggelaten van die specificatie sluit niet uit dat dergelijke systemen uitgevoerd en operationeel beheerd worden door het agentschap. Als de Commissie iets anders bedoelde, moet dit ook verduidelijkt worden.

32.

Het begrip „grootschalige IT-systemen” is vrij discutabel. Er bestaat niet altijd overeenstemming over wat er wel en niet onder valt. De interpretatie van het begrip heeft belangrijke gevolgen voor de reikwijdte van mogelijke toekomstige activiteiten van het agentschap. De drie grootschalige IT-systemen die nu in het voorstel genoemd worden, hebben gemeen dat gegevens worden opgeslagen in een gecentraliseerde databank waarvoor de Commissie (momenteel) verantwoordelijk is. Niet duidelijk is of de mogelijke toekomstige activiteiten van het agentschap beperkt zijn tot dergelijke grootschalige IT-systemen dan wel of het ook kan gaan om gedecentraliseerde systemen waarbij de verantwoordelijkheid van de Commissie beperkt is tot het ontwikkelen en onderhouden van de gemeenschappelijke infrastructuur van zo'n systeem, zoals het Prüm-systeem en het Europees Strafregisterinformatiesysteem (ECRIS) (15). Om mogelijke misverstanden in de toekomst te vermijden, verzoekt de EDPS de wetgever het begrip grootschalige IT-systemen met betrekking tot de oprichting van het agentschap te verduidelijken.

33.

Het agentschap moet niet alleen zorgen voor het operationeel beheer van grootschalige IT-systemen maar ook de taken van artikel 5 (volgen van de ontwikkelingen op onderzoeksgebied) en artikel 6 (proefprojecten) uitvoeren. De eerste taak houdt in dat het relevante ontwikkelingen op onderzoeksgebied volgt en hiervan verslag uitbrengt aan de Commissie. Activiteiten in verband met proefprojecten zijn de uitvoering van dergelijke projecten ten behoeve van de ontwikkeling en/of het operationele beheer van grootschalige IT-systemen (zie evenwel ons commentaar onder punt 31). Artikel 6 omschrijft hoe het woord „ontwikkeling” moet worden begrepen. Het gebruik van het woord in artikel 1 doet denken dat het agentschap verantwoordelijk zou kunnen zijn voor de ontwikkeling van grootschalige IT-systemen op eigen initiatief. De formulering van de leden 1 en 2 van artikel 6 sluiten dit evenwel uit. Daar staat duidelijk dat het agentschap dit kan doen „op specifiek en exact verzoek van de Commissie”. In andere woorden: het initiatief voor de ontwikkeling van nieuwe grootschalige IT-systemen ligt bij de Commissie. Elk besluit om daadwerkelijk een nieuw grootschalig IT-systeem in te richten, moet natuurlijk gebaseerd zijn op de wetgevingsprocedures waarin het VWEU voorziet. De wetgever zou de formulering van artikel 6 van de voorgestelde verordening zelfs kunnen aanscherpen door de leden 1 en 2 van artikel 6 te beginnen met het woord „enkel”.

34.

Zoals reeds gezegd, kan het risico van „function creep” worden voorkomen door in de eerste plaats de reikwijdte van de (eventuele) activiteiten van het agentschap te beperken en duidelijk te definiëren in het oprichtingsinstrument, en in de tweede plaats door te garanderen dat een verruiming van het toepassingsgebied altijd gebaseerd wordt op een democratisch besluitvormingsproces, hetgeen normaliter de gewone wetgevingsprocedure zal zijn. De thans voorliggende tekst bevat al specificaties die het risico van „function creep” beperken.

35.

Over de precieze reikwijdte van mogelijke activiteiten van het agentschap blijft evenwel onduidelijkheid bestaan. De wetgever moet in de eerste plaats verduidelijken en welbewust beslissen of die reikwijdte beperkt is tot Hoofdstuk 2 van titel V van het VWEU dan wel of de activiteiten eventueel ook alle grootschalige IT-systemen moeten bestrijken die ontwikkeld worden in de ruimte van vrijheid, veiligheid en recht. In de tweede plaats zou de wetgever duidelijkheid moeten scheppen over het begrip grootschalige IT-systemen in dit kader en over de vraag of dit begrip beperkt is tot grootschalige IT-systemen die gekenmerkt worden door de opslag van gegevens in een gecentraliseerde databank waarvoor de Commissie dan wel het agentschap verantwoordelijk is. In de derde plaats kan, alhoewel artikel 6 reeds uitsluit dat het agentschap eigener beweging nieuwe IT-systemen ontwikkelt, de tekst van dit artikel nog aangescherpt worden door de leden 1 en 2 (indien dit lid gehandhaafd blijft) te beginnen met het woord „enkel”.

36.

Het begrip „interoperabiliteit” is voor meerdere uitleg vatbaar. De EDPS is tot die slotsom gekomen in zijn commentaar van 10 maart 2006 op de mededeling van de Commissie over interoperabiliteit van de Europese gegevensbanken (16). Waar het dit nieuwe agentschap betreft, moet interoperabiliteit zo worden opgevat dat dit ook het risico inhoudt dat, wanneer verschillende grootschalige IT-systemen onder het operationeel beheer van één agentschap worden gebracht, vergelijkbare technologie wordt gebruikt voor alle systemen, die daardoor gemakkelijk met elkaar kunnen worden verbonden. De EDPS deelt deze bezorgdheid in algemene zin. In zijn commentaar van 10 maart 2006 heeft hij gesteld dat, als het technisch mogelijk wordt gemaakt om verschillende grootschalige IT-systemen onderling te verbinden, dit een krachtige drijfveer vormt om het ook daadwerkelijk te doen. Ook dit is een goede reden om het belang van gegevensbeschermingsvoorschriften eens te meer te benadrukken. Daarom heeft de EDPS beklemtoond dat de interoperabiliteit van grootschalige IT-systemen enkel mogelijk kan worden gemaakt als de gegevensbeschermingsbeginselen volledig worden nageleefd en in het bijzonder het eerder genoemde doelbindingsbeginsel (zie punt 21).

37.

De mogelijke stimulans voor interoperabiliteit van grootschalige IT-systemen die uitgaat van het gebruik van gemakkelijk koppelbare technologie hangt echter niet noodzakelijkerwijs samen met de oprichting van een nieuw agentschap. Ook zonder een dergelijk agentschap kunnen op gelijkaardige wijze systemen worden ontwikkeld die interoperabiliteit in de hand zouden kunnen werken.

38.

Ongeacht de structuur die voor het operationeel beheer wordt gekozen, kan interoperabiliteit alleen mogelijk worden gemaakt indien zij geheel in overeenstemming is met de gegevensbeschermingsvoorschriften en indien gebruik wordt gemaakt van een op de gewone wetgevingsprocedure stoelend besluit. Uit het verordeningsvoorstel blijkt duidelijk dat de beslissing om grootschalige IT-systemen interoperabel te maken geen beslissing is die door het agentschap kan worden genomen (zie ook de analyse onder punt 33). Sterker nog, zoals ook volgt uit de Commissiemededeling over Europese agentschappen van 11 maart 2008: de Commissie mag de bevoegdheid om zo'n algemene regelgevende maatregel aan te nemen niet delegeren aan een agentschap (17). Zolang een dergelijk besluit niet genomen is, moet het agentschap degelijke beveiligingsmaatregelen treffen om te voorkomen dat de grootschalige IT-systemen die het beheert, aan elkaar gekoppeld zouden kunnen worden (over beveiligingsmaatregelen, zie ook de punten 46 en 47).

39.

Interoperabiliteit (gepland of mogelijk in de toekomst) zou onderdeel kunnen zijn van het verzoek van de Commissie aan het agentschap om een proefproject uit te voeren ten behoeve van de ontwikkeling van nieuwe grootschalige IT-systemen, als omschreven in artikel 6 van het verordeningsvoorstel. Dit brengt ons bij de vraag welke procedure de Commissie zal volgen wanneer zij het agentschap om een dergelijk proefproject verzoekt. Het verzoek van de Commissie moet hoe dan ook op z'n minst gebaseerd zijn op een eerste afweging of het grootschalige systeem als zodanig, en meer bepaald de interoperabiliteit ervan, zou sporen met de gegevensbeschermingsvereisten en meer in het algemeen met de rechtsgrond voor deze systemen. Ook verplichte raadpleging van het Europees Parlement en de EDPS zou deel kunnen uitmaken van de procedure die tot het verzoek leidt. Het feitelijke verzoek van de Commissie aan het agentschap moet altijd toegankelijk zijn voor alle betrokkenen, waaronder het Parlement en de EDPS. De EDPS dringt er bij de wetgever op aan deze procedure te verduidelijken.

40.

Bij de verordening wordt een onafhankelijk regelgevend agentschap met rechtspersoonlijkheid opgericht. In de zesde overweging wordt gesteld dat een dergelijk agentschap wordt opgericht omdat de beheersautoriteit juridisch, administratief en financieel autonoom dient te zijn. Zoals reeds aangehaald in punt 20 komt de oprichting van één enkele entiteit de duidelijkheid op het vlak van aansprakelijkheid en toepasselijk recht ten goede.

41.

Artikel 25 van het voorstel bevestigt dat de verwerking van gegevens door het nieuwe agentschap overeenkomstig Verordening (EG) nr. 45/2001 geschiedt. In de zestiende overweging wordt benadrukt dat de EDPS de bevoegdheid heeft bij het agentschap alle informatie te verkrijgen die voor zijn onderzoekingen noodzakelijk zijn.

42.

Het verheugt de EDPS dat de toepasselijkheid van Verordening (EG) nr. 45/2001 op de activiteiten van het nieuwe agentschap aldus is onderstreept. Alhoewel het voorstel voor een Raadsbesluit een verwijzing naar Verordening (EG) nr. 45/2001 ontbeert, is het duidelijk dat het agentschap ook door de bepalingen van die verordening gebonden zal zijn wanneer de databank gebruikt wordt voor activiteiten die onder de justitiële en politiële samenwerking in strafzaken vallen. Met de inwerkingtreding van het Verdrag van Lissabon en ingeval de wetgever besluit vast te houden aan twee onderscheiden rechtsinstrumenten (zie de opmerkingen in Deel II), pleit niets tegen ook een verwijzing naar Verordening (EG) nr. 45/2001 in de overwegingen en/of bepalingen van het Raadsbesluit.

43.

Het verheugt de EDPS eveneens dat artikel 9, lid 1, onder o), van de verordening expliciet stelt dat er een functionaris voor gegevensbescherming (DPO) wordt benoemd. De EDPS wenst te benadrukken hoe belangrijk het is dat een DPO in een vroeg stadium wordt aangesteld, rekening houdend met zijn standpuntnota over DPO’s (18).

44.

Op basis van Verordening (EG) nr. 45/2001 en middels juridische instrumenten waarbij IT-systemen worden ingesteld heeft de EDPS toezichthoudende bevoegdheden over het agentschap. Op deze bevoegdheden, die worden opgesomd in artikel 47 van Verordening (EG) nr. 45/2001, wordt meestal een beroep gedaan als een inbreuk op de gegevensbeschermingsvoorschriften heeft plaatsgevonden. Er is de EDPS echter veel aan gelegen regelmatig op de hoogte te worden gehouden, niet alleen na maar ook voorafgaand aan de activiteiten van het agentschap. Met de Commissie heeft de EDPS op dit ogenblik een bevredigende praktijk ontwikkeld. De EDPS hoopt dat een dergelijke bevredigende samenwerking ook tot stand zal komen met het nieuwe agentschap. In het licht hiervan beveelt de EDPS de wetgever aan, hem toe te voegen aan de instanties waarin volgens artikel 9, lid 1, onder i) en j), jaarlijks het werkprogramma en het activiteitenverslag moeten worden toegezonden.

45.

Artikel 9, lid 1, onder r), handelt over het auditrapport dat de EDPS opstelt over SIS II overeenkomstig artikel 45 van Verordening (EG) nr. 1987/2006 en over het VIS overeenkomstig artikel 42, lid 2, van Verordening (EG) nr. 767/2008. De huidige formulering wekt de indruk dat het agentschap volledig vrij is in de opvolging van de audit, en dat het zelfs de mogelijkheid heeft de aanbevelingen ervan niet over te nemen. Alhoewel het agentschap opmerkingen kan maken over het verslag en zelf beslist hoe het de aanbevelingen van de EDPS uitvoert, kan het die aanbevelingen zeker niet naast zich neer leggen. Daarom geeft de EDPS in overweging dit punt te schrappen of de zinsnede „en beslist over het vervolg dat aan de audit wordt gegeven” te vervangen door: „en beslist over de wijze waarop de aanbevelingen om vervolg aan de audit te geven, het best kunnen worden uitgevoerd”.

46.

Het verordeningsvoorstel schrijft voor dat de uitvoerend directeur de raad van bestuur ter goedkeuring ontwerpen voorlegt van de noodzakelijke veiligheidsmaatregelen, waaronder een veiligheidsplan (zie artikel 14, lid 6, onder g), en artikel 9, lid 1, onder n)). Veiligheid komt ook aan bod in artikel 26, dat over veiligheidsvoorschriften betreffende de bescherming van gerubriceerde gegevens en niet-gerubriceerde gevoelige gegevens gaat. Er wordt verwezen naar Besluit 2001/844/EG, EGKS, Euratom (19) van de Commissie van 29 november 2001, en in het tweede lid naar de veiligheidsbeginselen betreffende de behandeling van niet-gerubriceerde gevoelige gegevens, zoals deze door de Europese Commissie zijn vastgesteld en uitgevoerd. Afgezien van de opmerkingen onder het hierna volgende punt beveelt de EDPS de wetgever aan in het tweede lid een verwijzing op te nemen naar welbepaalde documenten omdat dit lid in deze vorm tamelijk vaag is.

47.

De EDPS wil erop wijzen dat de wetgevingsinstrumenten waarop SIS II, VIS en Eurodac stoelen, gedetailleerde bepalingen over veiligheid bevatten. Het spreekt niet voor zich dat die specifieke regels identiek zijn aan of volledig sporen met de in artikel 26 bedoelde regels. Aangezien het veiligheidsplan voor het hoogst mogelijke beveiligingsniveau moet zorgen, beveelt de EDPS de wetgever aan van artikel 26 een ruimere bepaling te maken waarin de kwestie van de veiligheidsvoorschriften in algemenere zin aan bod komt, en erin te verwijzen naar de ter zake doende voorschriften van de wetgevingsinstrumenten betreffende de drie grootschalige IT-systemen. Maar eerst moet beoordeeld worden in hoeverre de regels waarnaar verwezen wordt, identiek en compatibel zijn. Bovendien moet een link worden gelegd tussen deze ruimere bepaling enerzijds en artikel 14, lid 6, onder g), en artikel 9, lid 1, onder n), die over het ontwerpen en goedkeuren van veiligheidsmaatregelen en een veiligheidsplan gaan, anderzijds.

48.

De EDPS is zich ervan bewust dat de beslissing over de zetel van het agentschap (artikel 7, lid 4)) in grote mate een politieke beslissing is. Desondanks beveelt de EDPS aan om, in het licht van artikel 19 (zetelovereenkomst), de keuze van de zetel op objectieve criteria te baseren, zoals de beschikbare accommodatie — één gebouw waarin alleen het agentschap is gehuisvest — en de mogelijkheden om het gebouw te beveiligen.

49.

In artikel 27 wordt bepaald dat het agentschap binnen drie jaar na de datum waarop het agentschap zijn taken op zich neemt, en vervolgens eenmaal per vijf jaar, de raad van bestuur opdracht geeft tot een onafhankelijke externe evaluatie op basis van de door de raad van bestuur na overleg met de Commissie vastgestelde opdracht. Om er zeker van te zijn dat gegevensbescherming onder deze opdracht valt, beveelt de EDPS de wetgever aan daar uitdrukkelijk naar te verwijzen in het eerste lid. Daarnaast verzoekt de EDPS de wetgever op een niet-beperkende wijze de betrokkenen waarnaar in het tweede lid wordt verwezen, te specificeren, en ook hem daarin op te nemen. De EDPS beveelt de wetgever tevens aan hem op te nemen in de lijst van instellingen die de in het derde lid bedoelde documenten ontvangen.

50.

Om te beginnen wijst de EDPS erop dat het onmogelijk is het voorgestelde besluit van de Raad te baseren op de twee VWEU-artikelen die de opvolgers zijn van de artikelen uit het EU-Verdrag waarop het voorstel thans is gebaseerd. De EDPS verzoekt de Commissie om voor duidelijkheid te zorgen en te overwegen als rechtsgrond het artikel te nemen dat de meeste bevoegdheden aan het Europees Parlement verleent, en na te denken over het combineren van beide voorstellen in één verordening.

51.

De EDPS heeft de verschillende opties voor het operationeel beheer van SIS II, VIS en Eurodac tegen elkaar afgewogen en ziet de voordelen van de oprichting van een regelgevend agentschap voor het operationeel beheer van bepaalde grootschalige IT-systemen. De EDPS wenst wel te benadrukken dat zo'n agentschap pas kan worden opgericht als de reikwijdte van zijn activiteiten en zijn verantwoordelijkheden duidelijk zijn omschreven.

52.

De EDPS heeft twee algemene punten van zorg met betrekking tot de oprichting van een agentschap besproken die relevant zijn voor de gegevensbescherming: het risico van „function creep” en de gevolgen voor de interoperabiliteit van de systemen.

53.

De EDPS denkt dat het risico van „function creep” kan worden voorkomen door in de eerste plaats de reikwijdte van de (eventuele) activiteiten van het agentschap te beperken en duidelijk te definiëren in het oprichtingsinstrument, en in de tweede plaats door te garanderen dat een verruiming van het toepassingsgebied altijd gebaseerd wordt op een democratisch besluitvormingsproces. De EDPS merkt op dat de voorliggende voorstellen al zulke specificaties bevatten maar dat sommige zaken in het ongewisse blijven. Derhalve beveelt de EDPS de wetgever het volgende aan:

54.

De EDPS is in algemene zin bezorgd over het gebrek aan eenduidigheid in de ontwikkelingen rond de mogelijke interoperabiliteit van grootschalige IT-systemen. Het is evenwel niet zo dat hij de oprichting van het agentschap in dat opzicht als meest bedreigende factor ziet. De EDPS heeft opgemerkt dat het agentschap niet uit eigen beweging kan besluiten over interoperabiliteit. De EDPS moedigt de wetgever aan om in de context van de voorgestelde proefprojecten helderheid te verschaffen over de procedure die de Commissie voorafgaand aan het verzoek om een proefproject moet volgen. In de ogen van de EDPS moet zo'n procedure een beoordeling bevatten, waarvoor eventueel de raadpleging van het EP en de EDPS vereist is, van het mogelijke effect op de gegevensbescherming van het initiatief dat na een verzoek ontwikkeld wordt.

55.

Daarenboven doet de EDPS nog de volgende specifieke aanbevelingen: