21.7.2007   

NL

Publicatieblad van de Europese Unie

C 169/2

1.

In februari 2007 hebben 15 lidstaten het initiatief genomen met het oog op de aanneming van een besluit van de Raad inzake de intensivering van de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van terrorisme en grensoverschrijdende criminaliteit (3). Dit initiatief heeft betrekking op aspecten van de verwerking van persoonsgegevens. De Europese toezichthouder voor gegevensbescherming is verantwoordelijk voor het uitbrengen van advies inzake dit initiatief aangezien het valt binnen het aan hem met name in artikel 41 van Verordening (EG) nr. 45/2001 verleende mandaat. De EDPS brengt dit advies ex officio uit omdat aan de EDPS geen verzoek om advies is gericht (4). Volgens de EDPS moet dit advies in de preambule van het Raadsbesluit worden vermeld (5).

2.

De achtergrond van dit initiatief is uniek binnen de samenwerking in het kader van de derde pijler. Het initiatief is erop gericht de wezenlijke onderdelen van het Verdrag van Prüm, dat op 27 mei 2005 door zeven lidstaten werd ondertekend (6), te doen gelden voor alle lidstaten. Deze wezenlijke onderdelen zijn reeds door enkele van genoemde zeven lidstaten geratificeerd, terwijl de ratificatieprocedure in andere van die lidstaten aan de gang is. Het is dan ook duidelijk niet de bedoeling dat die wezenlijke onderdelen nog op inhoudelijke punten worden gewijzigd (7).

3.

Het initiatief moet volgens zijn overwegingen gezien worden als een tenuitvoerlegging van het beginsel van beschikbaarheid dat in het Haagse programma van 2004 is gepresenteerd als een innovatieve aanpak van de grensoverschrijdende uitwisseling van informatie betreffende wetshandhaving (8). Het initiatief wordt gepresenteerd als een alternatief voor het voorstel voor een kaderbesluit van de Raad betreffende de uitwisseling van informatie volgens het beschikbaarheidsbeginsel, waarover de EDPS op 28 februari 2006 advies heeft uitgebracht (9) en waarover in de Raad niet is gedebatteerd met het oog op de aanneming ervan.

4.

In het initiatief wordt uitgegaan van een fundamenteel andere benadering dan in bovengenoemd voorstel voor een kaderbesluit van de Raad. Waar dit voorstel voorziet in rechtstreekse toegang tot beschikbare informatie, is het initiatief gericht op onrechtstreekse toegang door middel van referentiegegevens. Voorts vereist het initiatief van de lidstaten dat zij bepaalde informatie verzamelen en bewaren, zelfs indien die nog niet in het nationale rechtsgebied beschikbaar is.

5.

In het initiatief ligt een belangrijk accent op de uitwisseling van biometrische gegevens tussen de politie en de justitiële autoriteiten van de lidstaten, met name gegevens uit DNA-analysebestanden en geautomatiseerde dactyloscopische identificatiesystemen (systemen met vingerafdrukken) (10).

6.

Het initiatief bevat een hoofdstuk 6 met de titel „Algemene bepalingen betreffende gegevensbescherming”. Dit hoofdstuk bevat een aantal gegevensbeschermingsregelingen die zijn toegesneden op de specifieke aard van de gegevensuitwisseling in kwestie (11). Hoofdstuk 6 verwijst tevens naar Verdrag nr. 108 van de Raad van Europa (12) en aanverwante documenten van de Raad van Europa als algemeen kader voor gegevensbescherming, aangezien het kaderbesluit van de Raad inzake de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken nog niet is aangenomen (13).

7.

In dit advies zal rekening worden gehouden met de unieke aard van het initiatief, meer specifiek met het feit dat niet voorzien is in ingrijpende wijzigingen in de inhoud van de bepalingen. De EDPS zal zijn aandacht daarom richten op een aantal meer algemene vraagstukken in verband met het initiatief en de context ervan. De door de EDPS voorgestelde wijzigingen dienen voornamelijk ter verbetering van de tekst zonder dat het systeem van informatie-uitwisseling zelf wordt gewijzigd.

8.

Het eerste vraagstuk is van procedurele aard. In het initiatief wordt ervan uitgegaan dat een klein aantal lidstaten de beleidskeuzen van alle lidstaten bepaalt op een gebied dat valt onder de bepalingen van het EU-Verdrag, met name Titel VI van het EU-Verdrag (derde pijler). De procedures van Titel VI voor nauwere samenwerking zijn niet gevolgd.

9.

Het tweede vraagstuk houdt verband met het beginsel van beschikbaarheid. Hoewel het initiatief moet worden gezien als een toepassing van dat beginsel, leidt het niet tot beschikbaarheid als zodanig, maar vormt het slechts een verdere stap naar de beschikbaarheid van informatie inzake wetshandhaving over de grenzen van de lidstaten heen. Het maakt deel uit van een benadering die erop is gericht de uitwisseling van informatie over wetshandhaving beetje bij beetje te verbeteren.

10.

Het derde vraagstuk kan het best worden omschreven als het proportionaliteitsvraagstuk. Het is moeilijk te beoordelen of de bepalingen van het initiatief voor een Raadsbesluit worden gerechtvaardigd door de noodzaak terrorisme en grensoverschrijdende criminaliteit te bestrijden. De EDPS memoreert dat het Verdrag van Prüm is opgezet als een „laboratorium” voor grensoverschrijdende uitwisseling van informatie, met name DNA-analysebestanden en vingerafdrukken. Het onderhavige initiatief wordt echter gepresenteerd voordat de experimenten met die uitwisseling metterdaad in praktijk zijn gebracht (14).

11.

Het vierde vraagstuk houdt verband met het gebruik van biometrische gegevens. Het initiatief vereist dat DNA-analysebestanden en vingerafdrukken worden verzameld, bewaard en (in beperkte mate) uitgewisseld. Het gebruik van deze biometrische gegevens bij de wetshandhaving levert specifieke risico's voor de betrokkenen op en vereist extra waarborgen om hun rechten te beschermen.

12.

Het vijfde vraagstuk vloeit voort uit het feit dat het Raadsbesluit moet voortbouwen op een passend algemeen kader voor gegevensbescherming in de derde pijler, dat nog niet op EU-niveau is ingevoerd. In dit advies zal de EDPS laten zien hoe belangrijk een dergelijk algemeen kader is als condicio sine qua non voor de op het onderhavige initiatief gebaseerde uitwisseling van persoonsgegevens door rechtshandhavingsautoriteiten.

13.

Het Verdrag van Prüm is om voor de hand liggende redenen vaak vergeleken met het Schengenakkoord van 1985 en de Schengen Uitvoeringsovereenkomst van 1990. Het gaat om grotendeels dezelfde landen, de materie is gelijkaardig en er bestaat een nauw verband met samenwerking binnen de EU. (15) Er bestaat echter een fundamenteel verschil met Schengen. Er bestaat momenteel een Europees juridisch kader dat de Europese Unie in staat stelt de betrokken materie te regelen en er bestonden zelfs plannen om daarvan gebruik te maken voor de (belangrijkste) aangelegenheden waarop het Verdrag van Prüm betrekking heeft. In concreto was de Commissie ten tijde van de sluiting van het Verdrag van Prüm doende een voorstel voor een kaderbesluit van de Raad op te stellen. (16)

14.

De betrokken lidstaten kozen niettemin voor een multilateraal verdrag dat hen in staat stelde de moeilijke weg van wetgeving in de derde pijler op basis van eenparigheid van stemmen te omzeilen. Tevens ontliepen zij de inhoudelijke en procedurele voorschriften van de nauwere samenwerking die vervat zijn in de artikelen 40, 40 A, 43 en 43 A van het EU-Verdrag (17). Dat is des te belangrijker omdat de procedure inzake nauwere samenwerking verplicht is indien ten minste 8 lidstaten deelnemen. Slechts zeven lidstaten hebben echter het Verdrag van Prüm ondertekend, maar zij hebben vervolgens andere lidstaten aangemoedigd zich daarbij aan te sluiten. Men zou kunnen aanvoeren dat het Verdrag van Prüm om bovengenoemde redenen in strijd is met het recht van de Europese Unie. Dit argument is evenwel voornamelijk van theoretische aard, gezien de beperkte bevoegdheden waarover de Commissie in het kader van de derde pijler beschikt om ervoor te zorgen dat het recht van de Europese Unie door de lidstaten wordt nageleefd alsmede de beperkte bevoegdheden van het Europees Hof van Justitie en andere rechtscolleges.

15.

15 lidstaten hebben het initiatief genomen om het Verdrag van Prüm te vervangen door een Raadsbesluit. Hoewel de mogelijkheid van een inhoudelijke wijziging van de bepalingen niet formeel is uitgesloten of uitgesloten kan worden is het onmiskenbaar het streven van de lidstaten die het initiatief hebben ingediend om geen inhoudelijke wijzigingen toe te laten. Dit doel volgt uit het feit dat de zeven Prüm-landen het Prüm-Verdrag onlangs hebben omgezet in nationaal recht (of daarmee ver gevorderd zijn) en hun nationale bepalingen niet opnieuw wensen te wijzigen. Dit doel blijkt ook uit de wijze waarop het Duitse voorzitterschap van de Raad te werk gaat. Het tijdschema voor aanneming is bijvoorbeeld zeer strak en het initiatief zal niet worden besproken in de groep van de Raad maar alleen in het Comité van artikel 36 (het op artikel 36 gebaseerde coördinatiecomité van hogere ambtenaren).

16.

Als gevolg daarvan wordt de andere lidstaten werkelijke medezeggenschap in de keuze van de regels ontzegd. Zij kunnen alleen kiezen tussen deelnemen en niet deelnemen. Aangezien de derde pijler eenparigheid van stemmen vereist, kan, indien één lidstaat de tekst niet goedkeurt, het resultaat zijn dat de andere lidstaten verder gaan op basis van de procedure inzake nauwere samenwerking.

17.

Deze achtergrond heeft ook gevolgen voor de democratische legitimiteit van het initiatief, aangezien het advies van het Europees Parlement op grond van artikel 39 VEU nauwelijks enige gevolgen voor de keuze van de regels kan hebben. Dit advies van de EDPS kan eveneens slechts een beperkt effect hebben.

18.

Volgens de EDPS is het jammer dat deze procedure is gevolgd. Daarmee wordt iedere noodzaak van een democratisch en transparent wetgevingsproces ontkend omdat zelfs de zeer beperkte bevoegdheden in het kader van de derde pijler niet worden geëerbiedigd. In deze fase erkent de EDPS dat voor deze procedure is gekozen en dit advies zal daarom verder voornamelijk betrekking hebben op de inhoud van het initiatief.

19.

Ten slotte heeft de EDPS nota genomen van het feit dat het initiatief als rechtsinstrument een besluit van de Raad voorstelt en niet een kaderbesluit van de Raad, hoewel met het initiatief onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten wordt nagestreefd. Deze keuze kan verband houden met de mogelijkheid om met gekwalificeerde meerderheid uitvoeringsmaatregelen te nemen, zulks in het geval van besluiten van de Raad op grond van artikel 34, lid 2, onder c) VEU. Artikel 34 van het initiatief heeft betrekking op deze uitvoeringsmaatregelen.

20.

De EDPS beveelt aan de volgende zin toe te voegen aan artikel 34 van het initiatief voor een Raadsbesluit: „De Raad raadpleegt de EDPS voor de aanneming van een dergelijke uitvoeringsmaatregel.” De reden voor deze wijziging ligt voor de hand. Uitvoeringsmaatregelen zullen in de meeste gevallen gevolgen hebben voor de verwerking van persoonsgegevens. Daarnaast is artikel 28, lid 2, van Verordening (EG) nr. 45/2001 niet van toepassing indien de Commissie niet het initiatief voor dergelijke maatregelen neemt.

21.

In dit verband zij opgemerkt dat de zeven lidstaten die het Prüm-Verdrag hebben ondertekend, op 5 december 2006 een uitvoeringsovereenkomst met de nodige bepalingen betreffende de administratieve en technische uitvoering en toepassing van het verdrag hebben gesloten. (18) Verondersteld kan worden dat deze uitvoeringsovereenkomst als model zal dienen voor de uitvoeringsmaatregelen op grond van artikel 34 van het initiatief voor een Raadsbesluit. In dit advies zal worden verwezen naar deze uitvoeringsovereenkomst voor zover dat kan bijdragen tot een beter begrip van het initiatief zelf.

22.

Het beginsel van beschikbaarheid kan gezien worden als een belangrijk middel voor de verwezenlijking van een ruimte van vrijheid, veiligheid en recht zonder binnengrenzen. Het vrij delen van informatie tussen wetshandhavingsinstanties is een belangrijke stap bij het wegnemen van territoriale beperkingen op de misdaadbestrijding aangezien de binnengrenzen voor politieonderzoeken blijven bestaan.

23.

Volgens het Haags Programma betekent dit beginsel „dat in de gehele Unie een wetshandhavingsfunctionaris in een lidstaat informatie die hij voor de uitoefening van zijn taak nodig heeft, kan verkrijgen van een andere lidstaat en dat de betrokken wetshandhavingsinstantie in een andere lidstaat die informatie voor het aangegeven doel beschikbaar stelt, (...)”. Voort wordt in het Programma beklemtoond dat „bij de methoden voor de uitwisseling van informatie ten volle gebruik moet worden gemaakt van nieuwe technologieën en dat deze aangepast moeten zijn aan het type informatie, in voorkomend geval door wederzijdse toegang tot of door onderlinge koppeling en samenwerking (interoperabiliteit) van nationale gegevensbestanden, dan wel door rechtstreekse (online) toegang”.

24.

Tegen deze achtergrond wordt met het initiatief maar een kleine stap gezet. De ambities ervan zijn veel beperkter dan die van het Commissievoorstel voor een kaderbesluit van de Raad inzake de uitwisseling van informatie in het kader van het beschikbaarheidsbeginsel. Het initiatief kan worden aangemerkt als een stap naar beschikbaarheid, maar niet als implementatie stricto sensu van het beschikbaarheidsbeginsel. Het vormt een aanvulling op andere maatregelen ter vergemakkelijking van de uitwisseling van wetshandhavingsinformatie, zoals het Kaderbesluit 2006/960/JBZ van de Raad van 18 december 2006 betreffende de vereenvoudiging van de uitwisseling van gegevens en informatie tussen de rechtshandhavingsautoriteiten van de lidstaten (19), dat moet waarborgen dat gegevens en informatie op verzoek aan de autoriteiten van andere lidstaten worden verstrekt.

25.

In zijn advies betreffende het Commissievoorstel pleitte de EDPS ervoor het beschikbaarheidsbeginsel op een meer omzichtige, geleidelijke wijze te implementeren. De soorten in het kader van het beschikbaarheidsbeginsel uitgewisselde gegevens zouden dan beperkt moeten blijven en alleen onrechtstreekse toegang, via indexgegevens, zou moeten worden toegestaan. (20) Een dergelijke geleidelijke aanpak stelt belanghebbenden in staat de effectiviteit van informatie-uitwisseling voor wetshandhavingsdoeleinden te controleren alsmede de gevolgen voor de bescherming van de persoonsgegevens van de burger.

26.

Een en ander is ook in de huidige situatie van toepassing. Het verheugt de EDPS dat het initiatief uitgaat van deze meer omzichtige geleidelijke aanpak als middel om het beschikbaarheidsbeginsel toe te passen.

27.

De artikelen 5 en 10 van het initiatief kunnen gezien worden als een voorbeeld van deze aanpak. Zij hebben betrekking op de verstrekking van verdere persoonsgegevens (en andere informatie) na gebleken overeenstemming tussen DNA-profielen, respectievelijk vingerafdrukken. Op beide gevallen is het nationale recht van de aangezochte lidstaat, met inbegrip van de bepalingen inzake rechtsbijstand, van toepassing. Het rechtsgevolg van beide artikelen is beperkt. Zij bevatten rechtsconflictregels (van declaratoire aard, zonder dat de huidige situatie verandert) maar zij implementeren niet het beschikbaarheidsbeginsel. (21)

28.

Een effectieve uitwisseling van wetshandhavingsinformatie is een cruciaal thema in de politiële en justitiële samenwerking. Het is van essentieel belang voor de ontwikkeling van een ruimte van vrijheid, veiligheid en recht zonder binnengrenzen dat informatie over de nationale grenzen heen beschikbaar is. Een passend juridisch kader is nodig om de uitwisseling te vergemakkelijken.

29.

Het is een andere kwestie of de bepalingen van het onderhavige initiatief gerechtvaardigd worden door de noodzaak terrorisme en grensoverschrijdende criminaliteit te bestrijden, met andere woorden, of zij noodzakelijk en proportioneel zijn.

30.

Op de eerste plaats is op het niveau van de Europese Unie een aantal maatregelen aangenomen om de uitwisseling van wetshandhavingsinformatie te vergemakkelijken. In sommige gevallen hebben deze maatregelen betrekking op de instelling van een gecentraliseerde organisatie als Europol of Eurojust of een gecentraliseerd informatiesysteem zoals het Schengeninformatiesysteem. Andere maatregelen hebben betrekking op de rechtstreekse uitwisseling tussen de lidstaten, bv. het onderhavige initiatief. Nog onlangs is Kaderbesluit van de Raad 2006/960/JBZ aangenomen als instrument om de uitwisseling van wetshandhavingsinformatie te vereenvoudigen.

31.

In het algemeen dienen nieuwe rechtsinstrumenten inzake politiële en justitiële samenwerking alleen te worden aangenomen na een evaluatie van de reeds bestaande wetgevingsmaatregelen waaruit blijkt dat die bestaande maatregelen niet toereikend zijn. Uit de overwegingen van het initiatief blijkt niet dat de bestaande maatregelen volledig zijn geëvalueerd. Zij maken melding van Kaderbesluit 2006/960/JBZ van de Raad en stellen dat ten volle gebruik moet worden gemaakt van nieuwe technologieën en dat wederzijdse toegang tot nationale gegevensbestanden moet worden vergemakkelijkt. Precieze informatie dient snel en efficiënt te worden uitgewisseld. Dat is alles. Er wordt bijvoorbeeld niet verwezen naar de informatie-uitwisseling tussen de lidstaten via het Schengeninformatiesysteem, een essentieel instrument voor de uitwisseling van informatie tussen de lidstaten.

32.

De EDPS betreurt het dat het onderhavige initiatief het licht heeft gezien zonder dat de bestaande maatregelen inzake de uitwisseling van wetshandhavingsinformatie deugdelijk zijn geëvalueerd en verzoekt de Raad een dergelijke evaluatie als onderdeel op te nemen in de aannemingsprocedure.

33.

Op de tweede plaats is het Verdrag van Prüm zoals gezegd opgezet als een „laboratorium” voor grensoverschrijdende uitwisseling van informatie, met name DNA en vingerafdrukken. Het heeft de betrokken lidstaten in staat gesteld met die uitwisseling te experimenteren. Op het tijdstip van voorlegging van het initiatief voor een Raadsbesluit waren die experimenten nog niet op grotere schaal uitgevoerd, afgezien van een eerste uitwisseling tussen Duitsland en Oostenrijk (22).

34.

De EDPS is er niet van overtuigd dat de eerste resultaten van deze beperkte uitwisseling — gedurende een korte periode en met slechts twee betrokken lidstaten, hoe interessant die ook zijn — gebruikt kunnen worden als een toereikende empirische grondslag voor het uitbreiden van het systeem tot alle lidstaten.

35.

Er is een kwantitatief verschil tussen een systeem van informatie-uitwisseling tussen enkele lidstaten die reeds ervaring met DNA-gegevensbestanden hebben en een EU-breed systeem dat zich ook uitstrekt tot lidstaten die geen enkele ervaring hebben. Voorts maakt de kleine omvang nauwe contacten tussen de betrokken lidstaten mogelijk; deze contacten kunnen ook gebruikt worden om de risico's voor de bescherming van de persoonsgegevens van de betrokken personen in het oog te houden. Bovendien is op het kleinere systeem veel gemakkelijker toe te zien. Dus zelfs indien het Verdrag van Prüm zelf noodzakelijk en proportioneel is betekent dat op zich niet dat het initiatief in dezelfde zin moet worden beoordeeld.

36.

Op de derde plaats zijn er, zoals later in dit advies zal worden aangetoond, grote verschillen tussen het nationale recht van de lidstaten in verband met het verzamelen en gebruiken van biometrische gegevens voor wetshandhavingsdoeleinden. Ook zijn de nationale praktijken niet geharmoniseerd. In dit verband zij tevens opgemerkt dat nog geen geharmoniseerd rechtskader voor gegevensbescherming in het derde pijler is aangenomen.

37.

Wezenlijke onderdelen van het verzamelen en uitwisselen van de verschillende soorten gegevens waarop het initiatief betrekking heeft, worden door het initiatief niet geharmoniseerd. Het iniatief geeft bijvoorbeeld niet duidelijk aan welke de doeleinden van het verzamelen en uitwisselen zijn. Zijn de bepalingen inzake DNA-profielen van toepassing op alle soorten misdrijven of kan een lidstaat de toepassing ervan beperken tot ernstige vormen van criminaliteit? Ook is het initiatief niet duidelijk ten aanzien van de soorten personen waarop het verzamelen en uitwisselen betrekking heeft. Bevatten de gegevensbestanden alleen (biometrisch) materiaal van verdachten en/of veroordeelde personen of ook materiaal betreffende andere personen, zoals getuigen of andere personen die zich toevallig in de buurt van een misdrijf bevonden? Volgens de EDPS zou een minimale harmonisatie van deze wezenlijke onderdelen de voorkeur hebben genoten, mede om recht te doen aan de beginselen van noodzaak en proportionaliteit.

38.

De EDPS trekt de volgende conclusie. Er zijn duidelijke aanwijzingen dat het initiatief waarschijnlijk een nuttig instrument voor politiële samenwerking is. Dat blijkt des te meer uit de eerste ervaringen met het Prüm-verdrag in Duitsland en Oostenrijk. Het is echter niet gemakkelijk de noodzaak en de proportionaliteit van het initiatief te onderzoeken. De EDPS betreurt het dat het initiatief is genomen zonder een deugdelijke effectrapportage die rekening houdt met de opmerkingen in dit deel van het advies. Hij verzoekt de Raad een dergelijke evaluatie op te nemen in de aannemingsprocedure en in het kader daarvan andere beleidsopties — die mogelijk minder inbreuk maken op de persoonlijke levenssfeer (23) te bestuderen.

39.

De EDPS stelt tevens voor een evaluatieclausule in hoofdstuk 7 van het initiatief (uitvoerings- en slotbepalingen) op te nemen. Een dergelijke evaluatieclausule zou als volgt kunnen luiden: „De Commissie legt uiterlijk drie jaar na de inwerkingtreding van het Raadsbesluit aan het Europees Parlement en de Raad een evaluatie van de toepassing van het Raadsbesluit voor teneinde te bepalen of het nodig is de bepalingen van dit Raadsbesluit te wijzigen”.

40.

Een dergelijke evaluatieclausule is een bijzonder nuttig instrument in de huidige context waar de noodzaak en de proportionaliteit van het initiatief (nog) niet duidelijk zijn vastgesteld en een EU-breed systeem voor informatie-uitwisseling op basis van beperkte ervaringen wordt ingevoerd.

41.

In hoofdstuk 2 betreffende online-toegang en vervolgverzoeken, worden drie soorten gegevens onderscheiden: DNA-profielen, vingerafdrukken en gegevens uit kentekenregisters. In het verband met dit onderscheid moeten twee algemene opmerkingen worden gemaakt.

42.

In de eerste plaats zij opgemerkt dat alle in het kader van het Raadsbesluit verwerkte gegevens, behalve de in artikel 13 bedoelde gegevens (24), persoonsgegevens in de zin van Richtlijn 95/46/EG (25) en andere communautaire rechtsinstrumenten zijn. Volgens artikel 2, onder a), van de richtlijn betekent persoonsgegevens iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. In het voorstel voor een kaderbesluit van de Raad betreffende de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken dat, na de aanneming, van toepassing is op de uitwisseling van informatie in het kader van het huidig initiatief, wordt dezelfde definitie gebruikt. De EDPS betreurt het dat persoonsgegevens in het initiatief niet worden gedefinieerd en stelt om redenen van juridische duidelijkheid voor een dergelijke definitie op te nemen in artikel 24.

43.

Uitgaande van de in punt 42 genoemde definitie leidt het in ieder geval geen twijfel dat gegevensbestanden met alleen DNA-profielen en referentiegegevens uit DNA-analysebestanden en uit identificatiesystemen van vingerafdrukken ook geheel of overwegend geacht worden verzamelingen van persoonsgegevens te zijn.

44.

Op de tweede plaats heeft de gegevensuitwisseling uiteenlopende doeleinden voor de drie soorten persoonsgegevens: DNA-profielen, vingerafdrukken en gegevens uit kentekenregisters. Wat DNA betreft moeten de lidstaten nationale DNA-analysebestanden aanleggen en beheren voor het onderzoek naar strafbare feiten (artikel 2, lid 1); wat vingerafdrukken betreft moeten de lidstaten erop toezien dat referentiegegevens uit het bestand voor de ter voorkoming en opsporing van strafbare feiten opgezette nationale geautomatiseerde vingerafdrukidentificatiesystemen beschikbaar zijn (artikel 8) en, wat gegevens uit kentekenregisters betreft, heeft de uitwisseling niet alleen betrekking op de voorkoming en de opsporing van strafbare feiten maar ook op bepaalde andere, niet strafrechtelijke, overtredingen alsmede de handhaving van de openbare orde en veiligheid (artikel 12, lid 1).

45.

De uitwisseling van en de toegang tot DNA en vingerafdrukgegevens is bovendien omgeven met stringentere waarborgen dan de uitwisseling van en de toegang tot gegevens uit kentekenregisters. Wat DNA- en vingerafdrukgegevens betreft, blijft de toegang aanvankelijk beperkt tot referentiegegevens waaruit de identiteit van de betrokkene niet rechtstreeks kan worden opgemaakt. In het initiatief wordt het beginsel van scheiding in twee afzonderlijke gegevensbestanden van enerzijds de biometrische gegevens en anderzijds de tekstuele identificatiegegevens geformuleerd. Tot het tweede gegevensbestand kan alleen toegang worden verkregen indien het eerste bestand een treffer heeft opgeleverd. Een dergelijke scheiding tussen gegevensbestanden bestaat niet in het geval van gegevens uit kentekenregisters, waar een automatische en rechtstreekse toegang wordt geboden en geen tweede gegevensbestand vereist is.

46.

De EDPS is voorstander van deze differentiatie en acht het een nuttig instrument voor de bescherming van de betrokkenen. Hoe gevoeliger de gegevens des te beperkter de doeleinden waarvoor zij kunnen gebruikt en des te beperkter de toegang. In het specifieke geval van DNA, mogelijk het meest gevoelige type persoonsgegevens waarop het initiatief betrekking heeft, kunnen de gegevens alleen in het kader van een strafrechterlijke vervolging worden uitgewisseld en niet ten behoeve van preventief politiewerk. Bovendien kunnen de profielen alleen gebaseerd worden op het niet-gecodeerde gedeelte van het DNA.

47.

Wat DNA-gegevens betreft verwijzen wij naar eerdere adviezen van de EDPS (26). Het is van essentieel belang dat het concept van DNA-gegevens duidelijk wordt omschreven en dat een verschil wordt gemaakt tussen DNA-profielen en DNA-gegevens die informatie kunnen opleveren over de genetische kenmerken en/of de gezondheidstoestand van een persoon. Ook moet rekening worden gehouden met de wetenschappelijke vooruitgang: wat op een bepaald moment als een onschuldig DNA-profiel wordt beschouwd kan in een latere fase veel meer informatie blijken te bevatten dan verwacht en benodigd.

48.

Het initiatief beperkt de beschikbaarheid tot DNA-profielen die zijn gebaseerd op het niet-gecodeerde gedeelte van DNA. In het initiatief ontbreken echter nauwkeurige definities van DNA-profielen alsmede een procedure om dergelijke gemeenschappelijke definities in het licht van de stand van de wetenschap vast te stellen. De uitvoeringsovereenkomst van het Verdrag van Prüm (27) omschrijft het niet-gecodeerde gedeelte als volgt: het gedeelte van het chromosoom dat geen genetische uitdrukking bevat, dat wil zeggen geen informatie over specifieke erfelijke kenmerken kan bevatten. De EDPS geeft in overweging een definitie van het niet-gecodeerde gedeelte in het initiatief zelf op te nemen alsmede te voorzien in een procedure die waarborgt dat inderdaad — zowel nu als later — niet meer informatie uit het niet-gecodeerde gedeelte kan worden gehaald.

49.

Het initiatief is gebaseerd op de veronderstelling dat het matchen van DNA-profielen het sleutelinstrument in de politiële samenwerking is. Om die reden moeten alle lidstaten voor de doeleinden van het strafrecht DNA-gegevensbestanden invoeren. Rekening houdend met de kosten van deze gegevensbestanden en de risico's vanuit het oogpunt van gegevensbescherming moet de effectiviteit van dit instrument vooral grondig worden beoordeeld. De beperkte ervaring met de uitwisseling van DNA-gegevens tussen Duitsland en Oostenrijk is niet voldoende.

50.

De EDPS merkt in dit verband op dat het initiatief alle lidstaten ertoe verplicht nationale DNA-analysebestanden in te voeren. Het zij onderstreept dat verscheidene lidstaten reeds lang beschikken over nationale DNA-gegevensbestanden terwijl andere lidstaten weinig of geen ervaring ter zake hebben. Het meest ontwikkelde gegevensbestand in Europa (en in de wereld) is het DNA-gegevensbestand in het Verenigd Koninkrijk. Het bevat meer dan 3 miljoen DNA-profielen waardoor het ook de meest uitgebreide verzameling is. Het gegevensbestand strekt zich uit tot personen die veroordeeld zijn wegens overtredingen alsmede tot personen die gearresteerd zijn en personen die vrijwillig DNA hebben afgegeven voor eliminatiedoeleinden (28). De situatie ligt anders in andere landen. In Duitsland worden bijvoorbeeld alleen profielen bewaard van personen die schuldig zijn bevonden aan ernstige misdrijven. Men kan zelfs aannemen dat in Duitsland het verzamelen van DNA voor ruimere doeleinden niet verenigbaar zou zijn met de jurisprudentie van het grondwettelijk hof (29).

51.

De EDPS betreurt het dat het initiatief niet specificeert welke categorieën personen in de DNA-gegevensbestanden zullen worden opgenomen. Een dergelijke specificatie zou niet alleen de nationale bepalingen op dit gebied harmoniseren — hetgeen zou kunnen bijdragen tot de effectiviteit van de grensoverschrijdende samenwerking — maar zou tevens de proportionaliteit van het verzamelen en uitwisselen van deze persoonsgegevens kunnen verbeteren, mits het aantal categorieën personen beperkt blijft.

52.

Een aanverwant vraagstuk dat wordt overgelaten wordt aan het nationale recht van de lidstaten is de periode gedurende welke de gegevens in de DNA-analysebestanden bewaard blijven. In het nationale recht kan worden bepaald dat de profielen die in die bestanden worden gecreëerd bewaard blijven zo lang de betrokkene leeft, ongeacht het resultaat van een gerechtelijke procedure, maar daarin kan ook worden bepaald dat de profielen worden bewaard tenzij de persoon niet is vervolgd en hij derhalve niet door een rechtbank is veroordeeld. Eveneens kan worden bepaald dat de noodzaak van voortgezette bewaring regelmatig wordt geëvalueerd (30).

53.

Tenslotte wijst de EDPS op artikel 7 betreffende de verzameling van celmateriaal en de levering van DNA-profielen. Een dergelijke bepaling is er niet voor vingerafdrukken. De bepaling verplicht een lidstaat op verzoek van een andere lidstaat en in de context van lopend onderzoek of een strafrechtelijke procedure, celmateriaal van een persoon te verzamelen en te onderzoeken en vervolgens het DNA-profiel aan die andere lidstaat te verstrekken, zulks onder bepaalde voorwaarden. Dit artikel gaat tamelijk ver. Het verplicht de lidstaat biometrisch materiaal van een individu actief te verzamelen (en te onderzoeken) mits dat verzamelen en onderzoeken ook in de verzoekende lidstaat is toegestaan (voorwaarde b).

54.

De bepaling is niet alleen verregaand maar ook diffuus. Enerzijds blijft zij niet beperkt tot ernstige misdrijven en zelfs niet tot verdachten van een misdrijf, anderzijds moet aan de wettelijke bepalingen van de aangezochte lidstaat worden voldaan (voorwaarde c)), zonder dat wordt aangegeven waarop deze bepalingen betrekking kunnen hebben. Volgens de EDPS moet dit artikel nader worden verduidelijkt, bij voorkeur door de tekst van het artikel concreter te formuleren. Het proportionaliteitsbeginsel vergt hoe dan ook een beperkte interpretatie van dit artikel.

55.

In dit deel van het advies wordt ingegaan op de volgende gegevensbeschermingsvraagstukken:

56.

Bij wijze van inleiding merkt de EDPS op dat artikel 1 van het initiatief, dat het doel en de draagwijdte omschrijft, geen verwijzing naar hoofdstuk 6 bevat, hoewel het Raadsbesluit een hoofdstuk inzake gegevensbescherming bevat. De EDPS beveelt daarom aan een dergelijke verwijzing in de tekst op te nemen.

57.

Zoals reeds bij verschillende andere gelegenheden is verklaard (31) is het van wezenlijk belang voor de EDPS dat specifieke rechtsinstrumenten ter vergemakkelijking van de uitwisseling van wetshandhavingsinformatie — zoals het huidig initiatief van een Raadsbesluit — niet worden aangenomen voordat de Raad een kader inzake gegevensbescherming aanneemt waarbij een passend gegevensbeschermingsniveau wordt gegarandeerd dat strookt met de conclusies van de EDPS in zijn twee adviezen betreffende het Commissievoorstel voor een kaderbesluit van de Raad betreffende gegevensbescherming in de derde pijler. (32)

58.

Een juridisch kader voor gegevensbescherming is een condicio sine qua non voor de uitwisseling van persoonsgegevens door wetshandhavingsinstanties, zoals voorgeschreven door artikel 30, lid 1, onder b), van het EU-Verdrag en erkend in verscheidene EU-beleidsdocumenten. In de praktijk wordt evenwel wetgeving ter vergemakkelijking van gegevensuitwisseling aangenomen voordat een adequaat gegevensbeschermingsniveau is gegarandeerd. Die volgorde zou moeten worden omgekeerd.

59.

Omkering van de volgorde is ook belangrijk omdat de meer gedetailleerde gegevensbeschermingsregels in dit initiatief in strijd kunnen zijn met het toekomstige gemeenschappelijke kaderbesluit voor gegevensbescherming in de derde pijler dat nog wordt besproken in de Raad. Het is ook niet efficiënt om te beginnen met het implementeren van de gegevensbeschermingsbepalingen van dit initiatief — onder meer betreffende de vaststelling van normen voor gegevensbescherming en administratieve procedures alsmede de aanwijzing van bevoegde instanties — voordat een kaderbesluit inzake gegevensbescherming is aangenomen dat afwijkende voorschriften zou kunnen bevatten en dus wijzigingen van de zojuist aangenomen nationale bepalingen zou kunnen vergen.

60.

In artikel 25, lid 1, van het initiatief wordt thans verwezen naar Verdrag 108 van de Raad van Europa, het bijkomende protocol van 8 november 2001 en Aanbeveling nr. R (87) 15 betreffende het gebruik van persoonsgegevens door de politie. Deze door de Raad van Europa vastgestelde instrumenten zouden een minimumniveau voor de bescherming van persoonsgegevens moeten bieden. Zoals de EDPS eerder echter heeft verklaard (33), biedt het verdrag waaraan alle lidstaten zijn gebonden niet de vereiste nauwkeurigheid, zoals reeds is onderkend bij de aanneming van Richtlijn 95/46/EG. De aanbeveling is van nature niet verbindend.

61.

Op de eerste plaats zijn de bepalingen van hoofdstuk 6 van het initiatief bedoeld om voort te bouwen op een algemeen kader voor gegevensbescherming (zie artikel 25 van het initiatief). De bepalingen moeten beschouwd worden als een lex specialis die van toepassing is op de krachtens dit Raadsbesluit verstrekte gegevens. Helaas is het huidige algemene kader van Verdrag 108 van de Raad van Europa en de daarmee verband houdende documenten niet bevredigend. De intentie van het initiatief op zichzelf laat evenwel zien dat een passend algemeen kader nodig is dat wordt neergelegd in een kaderbesluit van de Raad. Maar dat is niet de enige illustratie van de noodzaak van een dergelijk kader.

62.

Op de tweede plaats heeft dit initiatief alleen betrekking op een deel van de verwerking van persoonsgegevens voor wetshandhavingsdoeleinden en van de uitwisseling van dergelijke gegevens tussen lidstaten. Hoofdstuk 6 van het initiatief blijft qualitate qua beperkt tot verwerking in verband met de uitwisseling van informatie waarin het initiatief voorziet. Alle andere uitwisseling van andere politiële en justitiële informatie binnen de werkingssfeer van het initiatief, met name informatie die geen verband houdt met DNA-profielen, vingerafdrukken en gegevens uit kentekenregisters, is dus uitgesloten. Een ander voorbeeld van de gedeeltelijke dekking van hoofdstuk 6 van het initiatief houdt verband met de toegang voor wetshandhavingsdoeleinden tot gegevens die door private ondernemingen worden verzameld, aangezien het initiatief alleen betrekking heeft op de uitwisseling van informatie tussen instanties die met de voorkoming en opsporing van strafbare feiten zij belast (artikel 1 van het initiatief).

63.

Op de derde plaats is de tekst van het initiatief vaag wat het toepassingsgebied van de bepalingen van hoofdstuk 6 betreft en dus juridisch niet duidelijk genoeg. Volgens artikel 24, lid 2, van het initiatief zijn deze bepalingen van toepassing op gegevens die uit hoofde van dit Raadsbesluit worden of zijn verstrekt. Volgens de EDPS garandeert deze formulering dat rechtstreekse toegang tot DNA-profielen, vingerafdrukken en gegevens uit kentekenregisters alsook de specifieke situatie in het kader van artikel 7 van het initiatief eronder vallen (34). Voorts leidt het geen twijfel dat de verstrekking van persoonsgegevens in het kader van artikel 14 (grootschalige evenementen) en artikel 16 (voorkoming van terroristische misdrijven) eronder vallen.

64.

Het is echter niet duidelijk of hoofdstuk 6 alleen van toepassing is op persoonsgegevens die tussen de lidstaten worden of zijn uitgewisseld of ook op het verzamelen en verwerken van DNA-materiaal en vingerafdrukken in een lidstaat op grond van de artikelen 2 en 8 van het initiatief. Is hoofdstuk 6, met andere woorden, van toepassing op persoonsgegevens die op grond van het Raadsbesluit zijn verzameld maar (nog) niet zijn verstrekt aan de autoriteiten in andere lidstaten? Tevens is het onduidelijk of de verstrekking van verdere persoonsgegevens na een match van DNA-profielen of vingerafdrukken eronder vallen omdat enerzijds overweging 11 impliceert dat de verstrekking van verdere informatie (via de procedures voor wederzijdse bijstand) valt binnen de werkingssfeer van het Raadsbesluit maar anderzijds de artikelen 5 en 10 beklemtonen dat een dergelijke verstrekking onder het nationale recht valt. Tenslotte zij opgemerkt dat artikel 24, lid 2, een uitzondering op de toepasselijkheid van hoofdstuk 6 bevat. De bepalingen gelden „tenzij in de voorafgaande hoofdstukken anderszins is bepaald”. Volgens de EDPS heeft deze voorwaarde geen echte betekenis — de EDPS heeft in de voorgaande hoofdstukken geen tegenstrijdige bepalingen opgemerkt — maar de voorwaarde kan wel de tekst nog vager maken voor wat betreft de toepasselijkheid van hoofdstuk 6.

65.

De EDPS beveelt aan dat in artikel 24, lid 2, nader wordt bepaald dat hoofdstuk 6 van toepassing is op het verzamelen en verwerken van DNA-materiaal en vingerafdrukken in een lidstaat en dat ook de verstrekking van verdere persoonsgegevens binnen de werkingssfeer van dit besluit daaronder valt. Voorts dient de voorwaarde „tenzij in de voorafgaande hoofdstukken anderszins is bepaald” te worden geschrapt. Deze verduidelijkingen zouden waarborgen dat de bepalingen van hoofdstuk 6 een reële werking hebben.

66.

Op de vierde plaats vormen de gegevensbeschermingsbepalingen in hoofdstuk 6 zelf, voor zover zij voortbouwen op het traditionele concept van wederzijdse rechtsbijstand in strafzaken, op grond van hun aard zelf een illustratie van de noodzaak van een algemeen kader. Het delen van informatie veronderstelt een minimumharmonisatie van fundamentele gegevensbeschermingsvoorschriften of ten minste de wederzijdse erkenning van nationaal recht teneinde te voorkomen dat de effectiviteit van de samenwerking wordt geschaad door verschillen tussen het recht van de lidstaten.

67.

Hoewel het initiatief mogelijkheden biedt om een aantal belangrijke kwesties inzake wetgeving op het gebied van gegevensbescherming te harmoniseren, houden de bepalingen van hoofdstuk 6 niet in dat de nationale wetgeving wordt geharmoniseerd of dat wederzijdse erkenning verplicht is. In plaats daarvan berusten zij op de gelijktijdige toepasbaarheid van twee (of meer) rechtsstelsels: het verstrekken van gegevens is veelal alleen toegestaan als zowel de wetgeving van de verstrekkende als die van de ontvangende lidstaat in acht wordt genomen. Met andere woorden, in dergelijke gevallen draagt het initiatief niet bij tot een ruimte van vrijheid, veiligheid en recht zonder binnengrenzen, maar zijn deze bepalingen een concrete invulling van het traditionele systeem van wederzijdse rechtshulp in strafzaken, gebaseerd op nationale soevereiniteit (35).

68.

Volgens de EDPS maakt de aard van hoofdstuk 6 de uitwisseling van persoonsgegevens niet eenvoudiger, maar juist ingewikkelder, gezien het feit dat het initiatief tot doel heeft het stelsel van het verdrag van Prüm toepasselijk te maken voor alle 27 lidstaten en omdat er geen algemeen gemeenschappelijk kader voor gegevensbescherming is aangenomen. Zo staat bijvoorbeeld artikel 26, lid 1, verwerking voor andere doeleinden alleen toe als dit zowel volgens de nationale wetgeving van de verstrekkende als die van de ontvangende lidstaat is toegestaan. Een ander voorbeeld is artikel 28, lid 3, dat bepaalt dat persoonsgegevens die niet hadden mogen worden verstrekt (of ontvangen) moeten worden gewist. Maar hoe weet de ontvangende lidstaat dat deze gegevens volgens de wetgeving van de verstrekkende lidstaat niet op wettige wijze zijn aangeleverd? Dit kan tot grote problemen leiden als deze kwesties aan de orde komen in zaken voor de nationale rechtbanken.

69.

Ten vijfde is dit gemeenschappelijk kader voor gegevensbescherming des te belangrijker, omdat de wetgevingen van de lidstaten onderling grote verschillen vertonen, zowel wat de inhoudelijke kant van het strafrecht betreft als wat de wetgeving inzake de gerechtelijke procedure in strafzaken aangaat. Afgezien van de consequenties voor de samenwerking tussen de autoriteiten van de lidstaten hebben deze verschillen ook rechtstreekse gevolgen voor de betrokkenen in gevallen waarin tussen de autoriteiten van twee of meer lidstaten gegevens over hen worden uitgewisseld. Het is bijvoorbeeld mogelijk dat hun beroepsmogelijkheden bij een rechtbank niet in alle lidstaten dezelfde zijn.

70.

Er kan dus geconcludeerd worden dat het voorstel een aantal elementen van de gegevensuitwisseling tussen de bevoegde autoriteiten harmoniseert en te dien einde een hoofdstuk over gegevensbescherming bevat, maar van harmonisatie van de garanties rond gegevensbescherming is nauwelijks sprake. De bepalingen zijn noch allesomvattend (zoals het een algemeen kader, lex generalis, zou betamen), noch volledig (aangezien belangrijke elementen ontbreken, zoals zal worden aangetoond in punt 75).

71.

Het is duidelijk dat buiten het initiatief om een algemeen gemeenschappelijk kader voor gegevensbescherming nodig is. De burger moet kunnen rekenen op een minimumniveau van harmonisatie van gegevensbescherming, ongeacht waar in de Europese Unie gegevens over hem worden verwerkt met het oog op wetshandhaving.

72.

Maar ook binnen het initiatief is een dergelijk gemeenschappelijk kader noodzakelijk. Het initiatief heeft onder meer betrekking op het verzamelen, verwerken en uitwisselen van potentieel gevoelige biometrische gegevens zoals DNA-materiaal. Bovendien is het aantal betrokkenen dat in dit systeem kan worden opgenomen niet beperkt tot de gegevens van personen die verdacht worden van (of veroordeeld zijn voor) specifieke misdrijven. In dergelijke omstandigheden is het des te belangrijker om terug te kunnen vallen op een duidelijk en toereikend systeem van gegevensbescherming.

73.

In dit verband moet nogmaals worden gewezen op het feit dat de werkingssfeer van het initiatief en van hoofdstuk 6 daarvan niet duidelijk is afgebakend. Uit het oogpunt van rechtszekerheid is het daarom belangrijk dat persoonsgegevens goed worden beschermd, ongeacht of en in welke situaties zij onder de werkingssfeer vallen. Om diezelfde redenen moet de samenhang tussen de toepasselijke regels binnen en buiten de werkingssfeer van het initiatief worden gewaarborgd.

74.

De bepalingen inzake gegevensbescherming in hoofdstuk 6 van het onderhavige initiatief zijn van toepassing op gegevens die op grond van het besluit zijn of worden verstrekt. Zij regelen een aantal belangrijke aspecten en zijn zorgvuldig geformuleerd als specifieke bepalingen die het algemene kader voor gegevensbescherming overstijgen. De algemene conclusie van de EDPS is dat de bepalingen in principe voldoende bescherming bieden.

75.

In aanvulling op wat eerder is opgemerkt over de aard van de bepalingen van hoofdstuk 6, heeft de EDPS echter nog een aantal andere tekortkomingen in de bepalingen van hoofdstuk 6 vastgesteld (36):

76.

De EDPS beveelt de Raad aan om deze tekortkomingen te ondervangen, door de tekst van het initiatief te wijzigen en/of door deze elementen onder te brengen in een kaderbesluit van de Raad inzake gegevensbescherming in de derde pijler. Volgens de EDPS hoeft de eerste optie niet te leiden tot een wijziging van het systeem van gegevensuitwisseling als zodanig en is zij niet in tegenspraak met de intentie van de 15 lidstaten die het initiatief hebben ingediend om de essentiële onderdelen van het Verdrag van Prüm niet te wijzigen.

77.

In dit advies is rekening gehouden met de unieke aard van het initiatief, en meer in het bijzonder met het feit dat er geen ingrijpende inhoudelijke wijzigingen in de bepalingen worden voorgesteld. De wijzigingen die de EDPS de voorstelt, zijn vooral bedoeld om de tekst te verbeteren zonder het systeem van gegevensuitwisseling zelf te wijzigen.

78.

De EDPS is verheugd dat het onderhavige initiatief een meer omzichtige en geleidelijke methode hanteert voor het toepassen van het beschikbaarheidsbeginsel. Hij betreurt het echter dat het initiatief essentiële elementen van het verzamelen en uitwisselen van de verschillende soorten gegevens niet harmoniseert, ook al om ervoor te zorgen dat de beginselen van noodzakelijkheid en evenredigheid worden nageleefd.

79.

De EDPS betreurt het dat het onderhavige initiatief geen deugdelijke effectbeoordeling ten grondslag ligt en roept de Raad op om een dergelijke beoordeling op te nemen in de aannemingsprocedure en in het kader van die beoordeling andere — mogelijk voor de persoonlijke levenssfeer minder nadelige — beleidsopties te onderzoeken.

80.

De EDPS steunt de in het initiatief gevolgde aanpak met betrekking tot de verschillende soorten persoonsgegevens: hoe gevoeliger de gegevens, des te beperkter zijn de doeleinden waarvoor zij gebruikt kunnen worden, en des te beperkter is de toegang.

81.

De EDPS betreurt het dat in het initiatief niet is gespecificeerd welke categorieën personen zullen worden opgenomen in de DNA-databanken en dat de bewaarperiode niet is beperkt.

82.

Het Raadsbesluit moet door de Raad niet worden aangenomen alvorens er een kaderbesluit van de Raad inzake de bescherming van persoonsgegevens die worden verwerkt in het kader van politiële en justitiële samenwerking in strafzaken is aangenomen dat een toereikend niveau van bescherming biedt.

83.

De bepalingen inzake gegevensbescherming in hoofdstuk 6 van het initiatief maken de uitwisseling van persoonsgegevens niet eenvoudiger, maar juist ingewikkelder, voor zover zij nog altijd gebaseerd zijn op het traditionele begrip wederzijdse rechtshulp in strafzaken.

84.

De EDPS beveelt de volgende wijzigingen van de tekst van het initiatief aan:

85.

Meer in het algemeen beveelt de EDPS de Raad aan om de tekortkomingen van het initiatief te ondervangen, door de tekst van het initiatief aan te passen en/of door deze elementen te verwerken in een kaderbesluit van de Raad inzake gegevensbescherming in de derde pijler. Volgens de EDPS hoeft de eerste optie niet te leiden tot een wijziging van het systeem van gegevensuitwisseling als zodanig en is zij niet in tegenspraak met het voornemen van de 15 lidstaten waarvan het initiatief uitgaat om de essentiële onderdelen van het verdrag van Prüm niet te wijzigen.

86.

Tot slot dient dit advies te worden vermeld in de preambule van het Raadsbesluit.