23.9.2009   

NL

Publicatieblad van de Europese Unie

C 229/1

1.

De Commissie heeft op 3 december 2008 overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 de Europese toezichthouder voor de gegevensbescherming (EDPS) om advies verzocht over het voorstel voor een verordening van het Europees Parlement en de Raad tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend (hierna: te noemen: „het voorstel of het Commissievoorstel”). Deze raadpleging dient in de preambule van de verordening uitdrukkelijk te worden vermeld.

2.

De EDPS heeft in een eerdere fase reeds aan het voorstel meegewerkt, en de Commissie heeft in haar eindtekst van het voorstel met vele van de punten die de toezichthouder tijdens de voorbereidingen informeel aan de orde heeft gesteld, rekening gehouden.

3.

Het voorstel behelst een herschikking van Verordening (EG) nr. 343/2003 van de Raad van 18 februari 2003 tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een asielverzoek dat door een onderdaan van een derde land bij een van de lidstaten wordt ingediend (3) (hierna de „Dublinverordening” genoemd). Het voorstel is door de Commissie ingediend als onderdeel van het eerste pakket van voorstellen dat moet leiden tot meer harmonisatie en strengere beschermingsnormen in het gemeenschappelijk Europees asielstelsel, zoals daartoe in het Haags programma van 4 en 5 november 2004 was opgeroepen en overeenkomstig hetgeen vervolgens in het asielbeleidsplan van de Commissie van 17 juni 2008 was aangekondigd. In het Haags programma is de Commissie verzocht haar evaluatie van de rechtsinstrumenten van de eerste fase af te ronden en de instrumenten en maatregelen van de tweede fase aan de Raad en het Europees Parlement voor te leggen met het oog op de goedkeuring ervan vóór eind 2010.

4.

Met betrekking tot het voorstel is een uitgebreide evaluatie- en adviesprocedure uitgevoerd. Bij het opstellen ervan is in het bijzonder rekening gehouden met enerzijds het evaluatieverslag van 6 juni 2007 van de Commissie over het Dublin-systeem (4), waarin gewezen wordt op een aantal juridische en praktische mankementen in het huidige systeem, en anderzijds de bijdragen die diverse betrokken partijen aan de Commissie hadden gezonden naar aanleiding van haar Groenboek over de toekomst van het gemeenschappelijk Europees asielstelsel (5).

5.

Het voorstel heeft in de eerste plaats ten doel het Dublin-stelsel efficiënter te maken en ten behoeve van personen die overeenkomstig de procedure van Dublin internationale bescherming inroepen, hogere beschermingsnormen te verzekeren. Voorts wordt ermee beoogd meer solidariteit te tonen tegenover die lidstaten die aan bijzondere migratiedruk blootstaan (6).

6.

Het voorstel breidt de werkingssfeer van de Dublinverordening uit tot personen die subsidiaire bescherming aanvragen (en genieten). De wijziging is noodzakelijk voor de samenhang met het communautaire acquis, in dit geval Richtlijn 2004/83/EG van de Raad van 29 april 2004 inzake minimumnormen voor de erkenning van onderdanen van derde landen en staatlozen als vluchteling of als persoon die anderszins internationale bescherming behoeft, en de inhoud van de verleende bescherming (7) (hierna „kwalificatierichtlijn” genoemd), waarin het begrip „subsidiaire bescherming” wordt ingevoerd. Tevens worden de in de Dublinverordening gebruikte terminologie en definities aangepast aan de terminologie en definities van de andere asielinstrumenten.

7.

Om het systeem efficiënter te laten werken, worden in het voorstel in het bijzonder termijnen vastgesteld voor het indienen van terugnameverzoeken, en wordt de termijn voor het beantwoorden van verzoeken om informatie verkort. Tevens worden de bepalingen betreffende de beëindiging van de verantwoordelijkheid verduidelijkt, evenals de omstandigheden en procedures voor het toepassen van de discretionaire bepalingen (humanitaire gronden en soevereiniteit). Er zijn regels toegevoegd over de overdracht van personen, terwijl de bestaande geschillenbeslechtingsprocedure wordt uitgebreid. Ook is een bepaling opgenomen over het organiseren van een verplicht onderhoud.

8.

Voorts voert het Commissievoorstel, met het oog op een betere bescherming voor hen die om bescherming verzoeken, het recht in om in beroep te gaan tegen een overdrachtsbesluit, en verplicht het de bevoegde autoriteiten om te beslissen of de tenuitvoerlegging van het besluit al dan niet moet worden opgeschort. Tevens worden in het voorstel het recht op rechtsbijstand en/of vertegenwoordiging en het recht op bijstand door vertalers en tolken geregeld. In het voorstel wordt ook verwezen naar het beginsel dat een persoon niet in bewaring wordt gehouden louter omdat hij internationale bescherming zoekt. Tevens voorziet het voorstel in uitbreiding van het recht inzake gezinshereniging en wordt ingespeeld op de behoeften van onbegeleide minderjarigen en andere kwetsbare groepen.

9.

In dit advies zullen vooral die wijzigingen in de tekst aan de orde komen die vanuit het oogpunt van de bescherming van persoonsgegevens het belangrijkst zijn:

10.

De EDPS schaart zich achter de doelstellingen van het Commissievoorstel, namelijk om het Dublinstelsel efficiënter te maken en ten behoeve van personen die overeenkomstig de procedure van Dublin internationale bescherming inroepen, hogere beschermingsnormen te verzekeren. Hij kan ook instemmen met de redenen waarom de Commissie besloten heeft tot herziening van het Dublinstelsel over te gaan.

11.

Een passend beschermingsniveau voor persoonsgegevens is een conditio sine qua non om te kunnen garanderen dat ook andere grondrechten daadwerkelijk worden uitgevoerd en een hoog beschermingsniveau wordt geboden. De EDPS is zich er bij zijn advies van bewust dat aan het voorstel belangrijke grondrechtenaspecten vastzitten, aangezien dit niet alleen betrekking heeft op de verwerking van persoonsgegevens, maar ook op vele andere rechten van onderdanen van derde landen en staatlozen, zoals in het bijzonder het recht op asiel, het recht op informatie in een brede betekenis, het recht op gezinshereniging, het recht van toegang tot de rechter, het recht op vrijheid en op vrijheid van beweging, de rechten van het kind en de rechten van niet-begeleide minderjarigen.

12.

Zowel in overweging 34 als in de toelichting wordt beklemtoond dat de wetgever zich heeft ingespannen om het voorstel in overeenstemming te brengen met het Handvest van de grondrechten. In dit verband wordt in de toelichting uitdrukkelijk verwezen naar de bescherming van persoonsgegevens en het recht op asiel. In de toelichting wordt eveneens onderstreept dat het voorstel grondig getoetst is op zijn verenigbaarheid met de grondrechten als algemene beginselen van zowel het Gemeenschapsrecht als het internationale recht. Gezien het mandaat van de EDPS echter heeft het onderhavige advies vooral betrekking op de gegevensbeschermingsaspecten van het voorstel. In dit verband is de EDPS ingenomen met de aanzienlijke aandacht die in het voorstel wordt gewijd aan dit grondrecht, aangezien alleen op deze wijze een efficiënte werking van de Dublinprocedure gepaard kan gaan aan volledige inachtneming van de eisen uit hoofde van de grondrechten.

13.

De EDPS constateert eveneens dat in het voorstel gestreefd wordt naar samenhang met andere rechtsinstrumenten betreffende de oprichting en/of de toepassing van andere grootschalige IT-systemen. In het bijzonder wil hij benadrukken dat zowel het delen van de verantwoordelijkheid ten aanzien van de databank als de manier waarop het toezicht volgens het voorstel moet werken, in overeenstemming is met het raamwerk van het Schengen-informatiesysteem II en het Visum-informatiesysteem.

14.

De EDPS is ingenomen met het feit dat nu ten aanzien van het toezicht zijn rol duidelijk omschreven is, hetgeen, vanzelfsprekend, in de voorafgaande tekst niet het geval was.

15.

Artikel 4, lid 1, punten f) en g), van het voorstel luiden als volgt:

„Zodra een verzoek om internationale bescherming is ingediend, stellen de bevoegde autoriteiten van de lidstaten de verzoeker in kennis van de toepassing van deze verordening, en met name van:

In artikel 4, lid 2, wordt beschreven hoe de in lid 1 bedoelde informatie aan de verzoeker moet worden verstrekt.

16.

Een daadwerkelijke uitvoering van het recht op informatie is onontbeerlijk voor een goede werking van de Dublinprocedure. In het bijzonder moet ervoor gezorgd worden dat de informatie op zodanige wijze wordt verstrekt dat de asielzoeker aan de hand daarvan zijn situatie en de omvang van zijn rechten volledig kan begrijpen en weet welke procedurele stappen hij kan nemen naar aanleiding van de administratieve besluiten die in zijn geval zijn genomen.

17.

Wat de praktische aspecten van de uitvoering van dit recht betreft, wijst de EDPS erop dat de lidstaten overeenkomstig artikel 4, lid 1, onder g), en lid 2 van het voorstel gebruik maken van een gemeenschappelijke brochure met onder andere „de contactgegevens van de nationale gegevensbeschermingsautoriteiten die bevoegd zijn kennis te nemen van verzoeken betreffende de bescherming van persoonsgegevens”. In dit verband benadrukt de EDPS dat, hoewel de nationale gegevensbeschermingsautoriteiten waarnaar in artikel 4, lid 2 van het voorstel wordt verwezen inderdaad bevoegd zijn om kennis te nemen van verzoeken betreffende de bescherming van persoonsgegevens, de formulering van het voorstel de verzoeker (de persoon op wie de gegevens betrekking hebben) niet mag verhinderen zich met zijn verzoek allereerst tot de voor de verwerking verantwoordelijke persoon te richten (in dit geval de bevoegde nationale autoriteiten die belast zijn met de Dublinsamenwerking). Thans lijkt de implicatie van het bepaalde in artikel 4, lid 2, dat de verzoeker zijn verzoek in alle gevallen rechtstreeks moet indienen bij de nationale gegevensbeschermingsautoriteiten, terwijl het de standaardprocedure en de normale gang van zaken in de lidstaten is dat een verzoeker zijn verzoek eerst indient bij de persoon die voor de verwerking van de gegevens verantwoordelijk is.

18.

De EDPS geeft eveneens in overweging de formulering van artikel 4, onder g), te wijzigen teneinde de rechten waarover de verzoeker beschikt te verduidelijken. De voorgestelde formulering is onduidelijk aangezien zij zodanig kan worden opgevat dat „het recht op het ontvangen van informatie over de procedures om die rechten te doen gelden […]” een onderdeel vormt van het recht van toegang tot gegevens en/of van het recht om onjuiste gegevens te laten rechtzetten. Voorts behoeven de lidstaten volgens de huidige formulering van deze bepaling de verzoeker niet te informeren over de inhoud van zijn rechten, maar slechts over „het bestaan” daarvan. Aangezien het hier meer om een stilistische kwestie lijkt te gaan, geeft de EDPS in overweging artikel 4, lid 1, onder g), als volgt te herschrijven:

„Zodra een verzoek om internationale bescherming is ingediend, stellen de bevoegde autoriteiten van de lidstaten de verzoeker in kennis van […]:

19.

Wat de methoden om de informatie aan de verzoekers te doen toekomen betreft, verwijst de EDPS naar de werkzaamheden van de Coördinatiegroep Eurodac-toezicht (8) (die is samengesteld uit vertegenwoordigers van de gegevensbeschermingsautoriteit van elk van de deelnemende staten plus de EDPS). Deze groep buigt zich in het kader van EURODAC thans over dit punt om zodra de resultaten van de nationale onderzoekingen beschikbaar en gebundeld zijn, dienstige richtsnoeren voor te stellen. Hoewel deze gecoördineerde onderzoekingen specifiek betrekking hebben op EURODAC, zullen de bevindingen daarvan hoogstwaarschijnlijk eveneens interessant zijn in verband met Dublin, aangezien zij ook betrekking hebben op zaken als talen en vertalingen, en de toetsing in hoeverre de asielzoeker de informatie daadwerkelijk begrepen heeft, enzovoorts.

20.

Wat de in artikel 33, lid 1, van het voorstel bedoelde autoriteiten betreft, stemt het de EDPS tot voldoening dat de Commissie een geconsolideerde lijst van deze autoriteiten in het Publicatieblad van de Europese Unie bekend zal maken. Indien zich hierin wijzigingen voordoen, werkt de Commissie de lijst eenmaal per jaar bij. Deze lijst wordt gepubliceerd, hetgeen de doorzichtigheid zal helpen bevorderen en het toezicht op de gegevensbeschermingsautoriteiten zal vergemakkelijken.

21.

De EDPS neemt nota van de invoering van het nieuwe mechanisme voor de uitwisseling van relevante informatie tussen de lidstaten voordat de overdracht wordt verricht (zie artikel 30 van het voorstel). Hij beschouwt het doel van deze informatie-uitwisseling als rechtmatig.

22.

De EDPS neemt eveneens nota van het bestaan van specifieke waarborgen inzake gegevensbescherming in het voorstel overeenkomstig artikel 8, leden 1 tot en met 3, van Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, zoals daar zijn: a) de verzoeker en/of diens vertegenwoordiger moet uitdrukkelijk toestemming verlenen; b) de overdragende lidstaat moet de gegevens onmiddellijk na de beëindiging van de overdracht wissen; en c) „Persoonlijke gezondheidsgegevens worden alleen verwerkt door gezondheidswerkers die, op grond van het nationale recht of op grond van voorschriften die door nationale bevoegde instanties zijn vastgesteld, onderworpen zijn aan het beroepsgeheim, of door andere personen voor wie een gelijkwaardige geheimhoudingsplicht geldt” (nadat ze een passende medische opleiding hebben genoten). Hij staat er ook achter dat de uitwisseling uitsluitend zal plaatsvinden via het beveiligde „DubliNet”-systeem en door de in een kennisgeving vermelde autoriteiten.

23.

Of dit mechanisme in overeenstemming is met de gegevensbeschermings regels zal grotendeels afhangen van de structuur ervan, in het bijzonder gelet op het feit dat ook bijzonder gevoelige persoonlijke gegevens zullen worden uitgewisseld, zoals bijvoorbeeld informatie over „eventuele bijzondere behoeften van de over te dragen verzoeker, waarbij het in sommige gevallen ook gaat om informatie over de fysieke of mentale gezondheidstoestand van de betrokkene”. In dit verband is de EDPS het volledig eens met artikel 36 van het voorstel, volgens hetwelk „de lidstaten alle nodige maatregelen moeten nemen om ervoor te zorgen dat elke vorm van misbruik van de gegevens […] wordt bestraft met volgens het nationale recht vastgestelde sancties, met inbegrip van administratieve en/of strafrechtelijke sancties”.

24.

In artikel 32 van het Commissievoorstel wordt de informatie-uitwisseling geregeld. De EDPS heeft in een eerdere fase al een bijdrage geleverd tot de totstandkoming van deze bepaling, en steunt de door de Commissie voorgestelde formulering.

25.

De EDPS benadrukt dat het van belang is dat de autoriteiten in de lidstaten bij de uitwisseling van informatie over natuurlijke personen gebruik maken van het DubliNet-netwerk. Dit komt niet alleen de veiligheid ten goede, maar maakt ook een betere traceerbaarheid van de overdrachten mogelijk. In dit verband verwijst de EDPS naar het begeleidende werkdocument van de Commissiediensten van 6 juni 2007 bij het Verslag van de Commissie aan het Europees Parlement en de Raad over de evaluatie van het Dublin-systeem (9), waarin de Commissie in herinnering brengt dat het gebruik van DubliNet altijd verplicht is, behalve voor de uitzonderingen die zijn neergelegd in artikel 15, lid 1, tweede alinea, van Verordening (EG) nr. 1560/2003 van de Commissie van 2 september 2003 houdende uitvoeringsbepalingen van Verordening (EG) nr. 343/2003 van de Raad tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een asielverzoek dat door een onderdaan van een derde land bij een van de lidstaten wordt ingediend (10) (hierna: „de Dublinuitvoeringsverordening”). De EDPS beklemtoont dat de in artikel 15, lid 1, geboden mogelijkheid om van het gebruik van DubliNet af te wijken, zeer beperkend dient te worden geïnterpreteerd.

26.

Met het oog hierop zijn verscheidene bepalingen in het voorstel opgenomen dan wel opnieuw geformuleerd, en de EDPS acht al deze inspanningen een goede zaak. Zo werd bijvoorbeeld artikel 33, lid 4, van het voorstel opnieuw geredigeerd teneinde te verduidelijken dat niet alleen de verzoeken maar ook de antwoorden en alle schriftelijke correspondentie onder de regels betreffende de totstandbrenging van veilige kanalen voor elektronische verzending komen te vallen (als bepaald in artikel 15, lid 1 van de Dublinuitvoeringsverordening). Daarnaast moet de schrapping van lid 2 in het nieuwe artikel 38 verduidelijken dat de lidstaten DubliNet ook moeten gebruiken voor de verzending van verzoeken en antwoorden, terwijl de lidstaten volgens de oude tekst (artikel 25) „iedere methode (konden) gebruiken die een ontvangstbewijs levert”.

27.

De EDPS merkt op dat in het Dublinsysteem ten aanzien van de uitwisseling van persoonsgegevens relatief weinig geregeld is. Hoewel in de Dublinuitvoeringsverordening bepaalde aspecten van de uitwisseling reeds werden geregeld, lijken nog niet alle aspecten van de uitwisseling van persoonsgegevens door de onderhavige verordening te worden bestreken, hetgeen betreurenswaardig is (11).

28.

In dit verband kan erop gewezen worden dat over de uitwisseling van informatie betreffende asielzoekers eveneens overleg heeft plaatsgevonden met de Coördinatiegroep Eurodac-toezicht. Zonder op de bevindingen van deze groep vooruit te willen lopen, wijst de EDPS er nu reeds op dat een van de mogelijke aanbevelingen is om een reeks voorschriften goed te keuren die vergelijkbaar zijn met die welke in het Sirene-handboek van de Schengenovereenkomst zijn opgenomen.

29.

De EPDS steunt het Commissievoorstel voor een verordening tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend. Ook hij heeft begrip voor de redenen om het bestaande systeem te herzien.

30.

De EDPS is ingenomen met de samenhang tussen het Commissievoorstel en de andere rechtsinstrumenten die het ingewikkelde rechtskader op dit terrein vormen.

31.

De EDPS is verheugd over de ruime aandacht die in het voorstel wordt geschonken aan de naleving van de grondrechten, in het bijzonder de bescherming van persoonsgegevens. Hij beschouwt deze benadering als een wezenlijke voorwaarde om de Dublinprocedure te kunnen verbeteren. Hij vestigt de aandacht van de wetgevers op de nieuwe systemen voor de uitwisseling van gegevens, waaronder de extreem gevoelige persoonsgegevens van asielzoekers.

32.

De EDPS zou eveneens willen verwijzen naar het belangrijke werk dat op dit terrein verricht is door de Coördinatiegroep Eurodac-toezicht, en meent dat de bevindingen van deze groep kunnen bijdragen tot een betere omschrijving van de kenmerken van het systeem.

33.

De EDPS meent dat sommige van de opmerkingen in zijn advies nader kunnen worden uitgewerkt in het licht van de praktische uitvoering van het herziene stelsel. In het bijzonder is het zijn bedoeling een bijdrage te leveren tot het opstellen van de uitvoeringsmaatregelen betreffende de uitwisseling van informatie via het DubliNet als vermeld in de punten 24 tot en met 27 van dit advies.

23.9.2009   

NL

Publicatieblad van de Europese Unie

C 229/6

1.

Op 3 december 2008 heeft de Commissie overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 de EDPS om advies gevraagd over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de instelling van „Eurodac” voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van Verordening (EG) nr. […/…] (tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend), (hierna: „het voorstel” of „het Commissievoorstel”). In de preambule van de verordening dient expliciet naar deze raadpleging te worden verwezen.

2.

Zoals opgemerkt in de toelichting heeft de EDPS in een eerdere fase aan dit voorstel meegewerkt, en met vele van de punten die hij daarbij informeel aan de orde heeft gesteld, is in de definitieve tekst van het Commissie voor stel rekening gehouden.

3.

Verordening (EG) nr. 2725/2000 van de Raad (3) betreffende de instelling van „Eurodac” (hierna: de „Eurodac-verordening”) is op 15 december 2000 in werking getreden. Eurodac, een informatietechnologiesysteem dat de gehele Gemeenschap omspant, is ingevoerd om de toepassing van de Overeenkomst van Dublin te vergemakkelijken, die ten doel had een duidelijke en werkbare methode aan te bieden om vast te stellen welke lidstaat verantwoordelijk is voor de behandeling van een asielverzoek dat in een van de lidstaten is ingediend. De Dublinovereenkomst werd nadien vervangen door een communautair rechtsinstrument, Verordening (EG) nr. 343/2003 van de Raad van 18 februari 2003 tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een asielverzoek dat door een onderdaan van een derde land bij een van de lidstaten wordt ingediend (4) (hierna: „de Dublinverordening”) (5). Eurodac is op 15 januari 2003 operationeel geworden.

4.

Het voorstel is een herziene versie van de Eurodac-verordening en de uitvoeringsverordening daarvan, Verordening nr. 407/2002/EG van de Raad, en heeft onder meer ten doel om:

5.

Onderstreept dient te worden dat een van de voornaamste doelstellingen van het voorstel is de grondrechten, in het bijzonder de bescherming van persoonsgegevens, beter te doen naleven. In dit advies wordt nagegaan in hoeverre dit voorstel in voldoende mate aan deze eis voldoet.

6.

In het voorstel wordt rekening gehouden met de bevindingen in het evaluatieverslag van Commissie over het Dublinsysteem van juni 2007 (hierna: het „evaluatieverslag”), dat handelt over de eerste drie jaar waarin Eurodac operationeel was (2003-2005).

7.

Terwijl in het evaluatieverslag van de Commissie wordt erkend dat het met de verordening ingevoerde stelsel over het algemeen bevredigend heeft gefunctioneerd, wordt hierin ook gewezen op bepaalde minpunten in verband met de doelmatigheid van de huidige bepalingen, en op de bepalingen die moeten worden aangepast om het Eurodac-stelsel te verbeteren en de toepassing van de Dublinverordening te vergemakkelijken. In het bijzonder wordt er in het evaluatieverslag op gewezen dat sommige lidstaten de vingerafdrukken te laat blijven toezenden. De Eurodac-verordening bevat momenteel slechts een zeer vage termijn voor de toezending van vingerafdrukken, hetgeen in de praktijk aanzienlijke vertragingen kan opleveren. Dit punt is cruciaal voor de doelmatigheid van het systeem, omdat iedere vertraging bij de toezending kan leiden tot een resultaat dat in strijd is met de in de Dublinverordening vastgelegde beginselen die moeten bepalen welke lidstaat verantwoordelijk is.

8.

In het evaluatieverslag werd eveneens beklemtoond dat het feit dat de lidstaten niet over een doeltreffende methode beschikken om elkaar over de status van een asielzoeker te informeren, er in vele gevallen toe geleid heeft dat de verwijdering van gegevens niet doelmatig wordt beheerd. De lidstaten die gegevens over een specifieke persoon hebben ingevoerd, weten vaak niet dat een andere lidstaat gegevens heeft verwijderd en beseffen daarom niet dat ook zij hun gegevens over dezelfde persoon moeten verwijderen. Bijgevolg kan niet voldoende gezorgd worden voor de inachtneming van het beginsel dat „gegevens niet langer mogen worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld”.

9.

Voorts vormt, volgens de analyse in het evaluatieverslag, het feit dat onvoldoende gespecificeerd is welke nationale autoriteiten toegang hebben tot Eurodac, een belemmering voor het toezicht door de Commissie en de Europese Toezichthouder voor gegevensbescherming (EDPS).

10.

Omdat de EDPS thans voor Eurodac de rol van toezichthoudende autoriteit vervult, heeft hij een bijzondere belangstelling voor het Commissievoorstel en voor de positieve uitkomst van de herziening van het Eurodac-stelsel in zijn geheel.

11.

De EDPS merkt op dat aan het voorstel diverse aspecten vastzitten die verband houden met de grondrechten van asielzoekers, zoals het recht op asiel, het recht op informatie in ruimere zin en het recht op de bescherming van persoonsgegevens. Gezien de taakomschrijving van de EDPS zal hij zich in dit advies vooral richten op de kwesties in verband met de bescherming van gegevens die in de herziene verordening aan de orde komen. In dit verband is de EDPS ingenomen met de aanzienlijke mate van aandacht die in het voorstel wordt geschonken aan het respect voor en de bescherming van persoonsgegevens. Hij neemt de gelegenheid te baat om te benadrukken dat het garanderen van een hoog niveau van bescherming van persoonsgegevens en een doelmatigere praktijkuitvoering daarvan beschouwd dienen te worden als een wezenlijke conditio sine qua non voor een betere werking van Eurodac.

12.

Dit advies heeft vooral betrekking op de volgende wijzigingen in de tekst omdat die vanuit het oogpunt van de bescherming van persoonsgegevens het meest relevant zijn:

13.

Het stemt de EDPS tot voldoening dat er met het voorstel gestreefd wordt samenhang te creëren met de andere rechtsinstrumenten die de oprichting en/of het gebruik van andere grootschalige IT-systemen beheersen. In het bijzonder is het verdelen van de verantwoordelijkheid voor de gegevensbank, evenals de manier waarop in het voorstel het toezicht geregeld is, in overeenstemming met de rechtsinstrumenten tot oprichting van het Schengeninformatiesysteem II (SIS II) en het Visa-informatiesysteem (VIS).

14.

De EDPS merkt op dat het voorstel in overeenstemming is met Richtlijn 95/46/EG en Verordening nr. 45/2001. In dit verband is de EDPS vooral ingenomen met de nieuwe overwegingen 17, 18 en 19, volgens welke Richtlijn 95/46/EG en Verordening nr. 45/2001 van toepassing zijn op de verwerking van persoonsgegevens overeenkomstig de voorgestelde verordening door respectievelijk de lidstaten en de betrokken communautaire instellingen en organen.

15.

Ten slotte wijst de EDPS op de noodzaak een volledige samenhang tussen de Eurodac- en de Dublinverordening te bewerkstelligen, en hij wenst van de gelegenheid die dit advies biedt gebruik te maken om ten aanzien van deze samenhang nadere aanwijzingen te verstrekken. Hij merkt op dat bepaalde aspecten met betrekking tot deze zaak in het voorstel reeds aan de orde komen, bijvoorbeeld in de toelichting, waarin voorzien is dat „met het oog op samenhang met de Dublinverordening (alsook met het oog op gegevensbescherming, met name de inachtneming van het evenredigheidsbeginsel) de opslagperiode voor gegevens over onderdanen van derde landen of staatlozen van wie vingerafdrukken zijn genomen in verband met het illegaal overschrijden van een buitengrens, zal worden afgestemd op het einde van de periode waarin een lidstaat volgens artikel 14, lid 1, van de Dublinverordening op basis van deze informatie verantwoordelijk is (d.w.z. een jaar)”.

16.

De EDPS staat achter de manier waarop in het voorstel het toezicht geregeld is, alsook achter de specifieke taken die hem krachtens artikel 25 en 26 van het voorstel zijn toevertrouwd. In artikel 25 worden de EDPS twee taken met betrekking tot het toezicht toebedeeld:

Artikel 26 handelt over de samenwerking tussen de nationale toezichthoudende autoriteiten en de EDPS.

17.

De EDPS neemt er ook nota van dat met het voorstel een gelijkaardige aanpak wordt gevolgd als met het SIS II en het VIS: een gelaagd systeem van toezicht waar de nationale gegevensbeschermingsautoriteiten (DPA's) en de EDPS toezien op respectievelijk het nationale en het EU-niveau, met daartussen een systeem dat de samenwerking garandeert. De samenwerking zoals die met het voorstel wordt beoogd, is in overeenstemming met de huidige, doelmatig gebleken praktijk, die een nauwe samenwerking tussen de EDPS en de DPA's heeft gestimuleerd. Derhalve waardeert de EDPS het zowel dat met dit voorstel deze praktijk thans formeel wordt vastgelegd, als dat de wetgever gezorgd heeft voor samenhang met de wijze waarop bij andere grootschalige IT-systemen het toezicht wordt uitgeoefend.

18.

De EDPS neemt er nota van dat in het voorstel niet wordt ingegaan op het uitbesteden van een deel van de taken van de Commissie aan een andere organisatie of entiteit (zoals een particuliere onderneming). Niettemin is het heel gebruikelijk dat de Commissie het beheer en de ontwikkeling van zowel systemen als communautaire infrastructuren uitbesteedt. Hoewel uitbesteding op zichzelf niet indruist tegen de eisen inzake gegevensbescherming, behoren er wel stevige garanties te worden ingebouwd dat bij het uitbesteden van activiteiten, Verordening (EG) nr. 45/2001, en daarmee het toezicht op de gegevensbescherming door de EDPS, steeds onverkort wordt toegepast. Daarnaast dienen op een meer technisch niveau aanvullende garanties te worden goedgekeurd.

19.

In dit verband geeft de EDPS in overweging bij de herziening van de Eurodac-verordening daarin gelijkaardige wettelijke garanties op te nemen als in de rechtsinstrumenten betreffende het SIS II, waarin bepaald is dat ook wanneer de Commissie het beheer van het systeem aan een andere instantie toevertrouwt, „deze delegatie niet ten koste mag gaan van effectieve controlemechanismen krachtens het Gemeenschapsrecht, ongeacht of het gaat om controle door het Hof van Justitie, de Rekenkamer of de Europese Toezichthouder voor gegevensbescherming” (artikel 15, lid 7, besluit en verordening inzake SIS II).

20.

Deze bepalingen zijn nog stringenter in artikel 47 van de SIS II-verordening, dat als volgt luidt: „Indien de Commissie […] haar taken aan een andere instantie of instanties delegeert, zorgt zij ervoor dat de Europese Toezichthouder voor gegevensbescherming het recht en de mogelijkheid heeft zijn taken volledig uit te voeren, met inbegrip van de mogelijkheid om verificaties ter plaatse te verrichten of de bevoegdheden uit te oefenen die de Europese Toezichthouder voor gegevensbescherming zijn toebedeeld op grond van artikel 47 van Verordening (EG) nr.45/2001.”.

21.

Deze beide bepalingen maken voldoende duidelijk wat er moet gebeuren wanneer de Commissie een deel van haar taken aan andere instanties uitbesteedt. De EDPS geeft daarom in overweging aan de tekst van het onderhavige Commissievoorstel bepalingen met dezelfde werking toe te voegen.

22.

In artikel 3, lid 5, komt de procedure voor het nemen van vingerafdrukken aan de orde. Volgens deze bepaling wordt „de procedure voor het nemen van vingerafdrukken bepaald en toegepast overeenkomstig de praktijk van de betrokken lidstaat en overeenkomstig de garanties die verankerd zijn in het Handvest van de grondrechten van de Europese Unie, het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en het VN-Verdrag inzake de rechten van het kind”. Als bepaald in artikel 6 van het voorstel is de minimumleeftijd voor het nemen van de vingerafdrukken van een verzoeker 14 jaar en worden de vingerafdrukken genomen uiterlijk binnen 48 uur na de indiening van het verzoek.

23.

Allereerst benadrukt de EDPS dat ervoor gezorgd moet worden dat het voorstel in overeenstemming is met de Dublinverordening. Het Eurodac-systeem is opgericht om de Dublinverordening effectief te kunnen toepassen. Dit betekent dat indien de resultaten van de lopende herziening van de Dublinverordening gevolgen hebben voor de toepassing daarvan op minderjarige asielzoekers, dit zijn weerslag moet krijgen in de Eurodac-verordening (6).

24.

Ten tweede zou de EDPS er ten aanzien van de vaststelling van de leeftijdgrenzen voor het nemen van vingerafdrukken in het algemeen op willen wijzen dat uit de meeste thans beschikbare documentatie opgemaakt lijkt te kunnen worden dat de nauwkeurigheid van identificatie op basis van vingerafdrukken afneemt met het ouder worden. In dit verband verdient het aanbeveling het onderzoek naar de toepassing van vingerafdrukken dat thans in het kader van de implementatie van het VIS wordt uitgevoerd, van nabij te volgen. Zonder op de resultaten van dit onderzoek vooruit te lopen wijst de EDPS er reeds nu op dat het, met betrekking tot alle gevallen waarin het nemen van vingerafdrukken onmogelijk is gebleken of tot onbetrouwbare resultaten zou leiden, belangrijk is te kunnen terugvallen op fall back procedures, die wel volledig met het respect voor de waardigheid van het individu in overeenstemming moeten zijn.

25.

Ten derde neemt de EDPS nota van de inspanningen die de wetgever zich getroost heeft om de bepalingen inzake het nemen van vingerafdrukken in overeenstemming te brengen met de internationale en Europese vereisten inzake de mensenrechten. Niettemin vestigt hij de aandacht op de problemen die zich in verscheidene lidstaten voordoen ten aanzien van de vaststelling van de leeftijd van jonge asielzoekers. Zeer vaak beschikken asielzoekers of illegale migranten niet over identiteitsdocumenten, en moet hun leeftijd dus worden bepaald ten einde vast te stellen of hun vingerafdrukken moeten worden afgenomen. Over de methoden die hiervoor worden gebruikt is in verschillende lidstaten veel te doen geweest.

26.

In dit verband vestigt de EDPS de aandacht op het feit dat de Coördinatiegroep Eurodac (7) ten aanzien van dit punt een gecoördineerde inspectieronde gestart is, waarvan de resultaten, die in de eerste helft van 2009 worden verwacht, naar verhoopt zullen bijdragen tot de totstandkoming van gezamenlijke procedures ter zake.

27.

Als afsluitende opmerking betreffende dit punt acht de EDPS het noodzakelijk dat de procedures voor het afnemen van vingerafdrukken op EU-niveau zo veel mogelijk worden gecoördineerd en geharmoniseerd.

28.

In artikel 4, lid 1, van het voorstel is het volgende bepaald: „Na een overgangsperiode wordt een beheersautoriteit, die uit de algemene begroting van de Europese Unie wordt gefinancierd, belast met het operationele beheer van Eurodac. De beheersautoriteit zorgt er in samenwerking met de lidstaten voor dat te allen tijde de beste voorhanden zijnde technologie wordt gebruikt voor het centraal systeem, onder voorbehoud van een kosten-batenanalyse.”. Hoewel de EDPS sympathiseert met de eis in artikel 4, lid 1, zou hij willen opmerken dat de uitdrukking „de beste voorhanden zijnde technologie” in bovenstaande bepaling beter vervangen kan worden door de zinsnede „beste beschikbare technieken”, waarmee zowel gedoeld wordt op de toegepaste technologie als op de manier waarop de installatie is ontworpen en gebouwd, en waarop zij wordt onderhouden en geëxploiteerd.

29.

In artikel 9, lid 1, komt de procedure voor het eerder verwijderen van gegevens aan de orde. Deze bepaling verplicht de lidstaat van oorsprong „gegevens over een persoon die vóór het verstrijken van de in artikel 8 gestelde termijn het burgerschap van een lidstaat heeft verkregen in het Centrale systeem te wissen” zodra de lidstaat van oorsprong er kennis van heeft genomen dat de persoon in kwestie dat burgerschap heeft verkregen. De EDPS acht de verplichting om de gegevens te wissen een goede zaak, aangezien deze goed spoort met het beginsel van kwaliteit van gegevens. Daarnaast meent de EDPS dat de herziening van deze bepaling een goede gelegenheid vormt om de lidstaten te stimuleren procedures in te voeren die zorgen voor het betrouwbaar en tijdig (indien mogelijk geautomatiseerd) wissen van data wanneer een persoon het burgerschap van een van de lidstaten verwerft.

30.

Verder wijst de EDPS erop dat artikel 9, lid 2, over het eerder verwijderen van gegevens opnieuw geformuleerd moet worden aangezien het in de voorgestelde bewoordingen onduidelijk is. Als stilistische opmerking geeft de EDPS in overweging in de Engelse versie het woord „it” te vervangen door „they” (hetgeen overigens geen gevolgen zou hebben voor de Nederlandse versie).

31.

Artikel 12 van het voorstel betreft de bewaring van gegevens. De EDPS acht het feit dat de bewaringsperiode voor gegevens is vastgesteld op een jaar (in tegenstelling tot de twee jaar in de huidige tekst van de verordening) een goede toepassing vormt van het beginsel van kwaliteit van gegevens, volgens hetwelk gegevens niet langer mogen worden bewaard dan nodig is voor het doel waarvoor zij zijn verwerkt. Dit is een welkome verbetering van de tekst.

32.

De EPDS is ingenomen met de bepaling volgens welke de beheersautoriteit een lijst publiceert van de autoriteiten die toegang tot Eurodac-gegevens hebben. Dit zal de transparantie bevorderen en zorgen voor een praktijkinstrument voor een beter toezicht op het systeem, bijvoorbeeld door de autoriteiten voor de gegevensbescherming (DPA's).

33.

Artikel 21 van het voorstel heeft betrekking op het registreren van alle gegevensverwerkingsverrichtingen in het centraal systeem. In artikel 21, lid 2, is bepaald dat de registratie uitsluitend mag worden gebruikt voor het toezicht op de toelaatbaarheid van de gegevensverwerking vanuit het oogpunt van gegevensbescherming […]. In dit verband zou kunnen worden verduidelijkt dat hieronder ook interne controlemaatregelen vallen.

34.

Artikel 23, lid 1, onder e) van het voorstel luidt als volgt:

„Onder deze verordening vallende personen worden door de lidstaat van oorsprong ingelicht over […]:

35.

De EDPS merkt op dat de goede werking van Eurodac staat of valt met een effectieve uitvoering van het informatierecht. Bovenal moet er voor worden gezorgd dat de informatie op zodanige wijze wordt verstrekt dat de asielzoeker volledig inzicht krijgt in zijn situatie en de omvang van zijn rechten, alsmede in de procedurele stappen die hij kan zetten naar aanleiding van de in zijn zaak reeds genomen administratieve beslissingen.

36.

Wat de praktische aspecten van de uitvoering van de rechten betreft zou de EDPS graag benadrukken dat de DPA's weliswaar bevoegd zijn voor het horen van verzoeken betreffende de bescherming van persoonsgegevens, maar dat de formulering van het voorstel de verzoeker (de persoon op wie de gegevens betrekking hebben) er niet van mag weerhouden zich met zijn verzoeken in de eerste plaats tot de verantwoordelijke voor de verwerking van de gegevens te richten. Het bepaalde in artikel 23, lid 1, onder e) lijkt in de huidige formulering in te houden dat de verzoeker zich met zijn verzoek — in alle gevallen en rechtstreeks — tot de DPA moet richten, terwijl de standaardprocedure en de praktijk in de lidstaten is dat de verzoeker zijn verzoek eerst richt tot de persoon die voor de verwerking verantwoordelijk is.

37.

De EDPS stelt ook voor artikel 23, lid 1, onder e), zodanig te herformuleren dat de rechten van de verzoeker echt duidelijk worden. De voorgestelde formulering is onhelder, aangezien hieruit ook kan worden opgemaakt dat „het recht op het ontvangen van informatie over de procedures om die rechten te doen gelden […]” een onderdeel vormt van het recht op toegang tot […] gegevens en van het recht te verzoeken om […] onjuiste gegevens recht te laten zetten. Voorts zijn, volgens de huidige formulering van deze bepaling, de lidstaten verplicht personen die onder de verordening vallen, te wijzen op het „bestaan” van hun rechten, maar niet op de inhoud daarvan. Aangezien het hier om een probleem van stilistische aard lijkt te gaan, geeft de EDPS in overweging artikel 23, lid 1, onder e), als volgt te lezen:

„Onder deze verordening vallende personen worden door de lidstaat van oorsprong […] ingelicht over […]:

38.

Op grond van dezelfde redenering dient artikel 23, lid 10, als volgt te worden gelezen: „In elke lidstaat verleent de nationale toezichthoudende autoriteit indien noodzakelijk (of: op verzoek van de betrokkene) overeenkomstig artikel 28, lid 4, van Richtlijn 95/46/EG de betrokkene bijstand bij de uitoefening van zijn rechten”. Ook hier zou de EDPS willen benadrukken dat het in beginsel niet nodig is dat de DPA's in actie komen. De voor de verwerker van de gegevens verantwoordelijke persoon dient daarentegen te worden aangemoedigd op passende wijze op de verzoeken van de betrokkenen te reageren. Hetzelfde geldt wanneer samenwerking tussen autoriteiten uit verschillende lidstaten nodig is. Het zijn de voor de verwerking van de gegevens verantwoordelijke personen die als eersten verantwoordelijk dienen te zijn voor de behandeling van de verzoeken, en voor de hiertoe noodzakelijke samenwerking.

39.

Wat artikel 23, lid 9, betreft, verwelkomt de EDPS niet alleen het doel van deze bepaling (namelijk om het gebruik van de „speciale zoekopdrachten” te controleren, zoals de gegevensbeschermingsautoriteiten in hun eerste verslag over de gecoördineerde inspecties hebben aanbevolen), maar neemt hij ook met voldoening kennis van de procedure die wordt voorgesteld om dit doel te bereiken.

40.

Wat de methoden om de verzoekers te informeren betreft, verwijst de EDPS naar het werk van de Coördinatiegroep Eurodac. Deze groep buigt zich thans over deze kwestie in het kader van Eurodac teneinde — zodra de resultaten van de nationale onderzoeken bekend en gebundeld zijn — passende richtsnoeren te kunnen voorstellen.

41.

De EDPS staat achter het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de instelling van „Eurodac” voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van Verordening (EG) nr. […/…] tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend.

42.

De EDPS is ingenomen met de manier waarop in het voorstel het toezicht geregeld is en met de rol en de taken die hem in het nieuwe systeem worden toevertrouwd. Het beoogde model is in overeenstemming met de huidige gang van zaken, die doelmatig is gebleken.

43.

De EDPS merkt op dat er met het voorstel naar wordt gestreefd samenhang te creëren met de andere rechtsinstrumenten die de oprichting en/of het gebruik van andere grootschalige IT-systemen beheersen.

44.

De EDPS is ingenomen met de aanzienlijke aandacht die in het voorstel wordt geschonken aan het respect voor de grondrechten, en in het bijzonder aan de bescherming van persoonsgegevens. Zoals de EDPS eveneens heeft opgemerkt in zijn advies over de herziening van de Dublinverordening, acht hij deze aanpak een onmisbare voorwaarde voor de verbetering van de asielprocedures in de Europese Unie.

45.

De EDPS merkt op dat gezorgd moet worden voor volledige consistentie tussen de Eurodac- en de Dublinverordening.

46.

De EDPS meent dat, zowel ten aanzien van asielzoekers als ten aanzien van andere personen die onder de Eurodac-procedure vallen, de procedures voor het afnemen van vingerafdrukken op EU-niveau beter gecoördineerd en geharmoniseerd moeten worden. Hij vraagt bijzondere aandacht voor het probleem van de leeftijdgrenzen voor het afnemen van vingerafdrukken, en in het bijzonder voor de problemen die zich in verscheidene lidstaten bij het vaststellen van de leeftijd van jeugdige asielzoekers voordoen.

47.

De EDPS dringt aan op verduidelijking van de bepalingen betreffende de rechten van de betrokkenen, waarbij hij in het bijzonder onderstreept dat in de eerste plaats de nationale verantwoordelijken voor de gegevensverwerking voor de toepassing van deze rechten verantwoordelijk zijn.

23.9.2009   

NL

Publicatieblad van de Europese Unie

C 229/12

1.

Het initiatief van de Franse Republiek met het oog op de aanneming van een besluit van de Raad inzake het gebruik van informatica op douanegebied, is verschenen in het Publicatieblad van 5 februari 2009 (4). Noch de initiatiefnemer, noch de Raad heeft het advies van de EDPS ingewonnen. De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement heeft echter, naar aanleiding van het advies dat het Europees Parlement zal uitbrengen, de EDPS wel om advies verzocht, op grond van artikel 41 van Verordening (EG) nr. 45/2001. Hoewel de EDPS in soortgelijke (5) gevallen op eigen initiatief advies uitbrengt, moet dit advies tevens worden beschouwd als een antwoord op het verzoek van het Europees Parlement.

2.

Volgens de EDPS dient het onderhavige advies in de preambule van het Raadsbesluit te worden vermeld, zoals dat eerder is gebeurd in regelgeving die op basis van een voorstel van de Commissie wordt aangenomen.

3.

Lidstaten die het initiatief nemen tot wetgeving op grond van titel VI van het EU-Verdrag zijn juridisch niet verplicht het advies van de EDPS in te winnen, maar het geldende recht sluit dit evenmin uit. De EDPS betreurt het dat de Franse Republiek noch de Raad dat in casu heeft gedaan.

4.

De EDPS wijst erop dat, in verband met de behandeling van het voorstel bij de Raad, het commentaar in dit advies de versie van 24 februari 2009 (doc. 5903/2/ REV 2) geldt, die op de website van het Europees Parlement staat (6).

5.

De EDPS vindt dat zowel het initiatief zelf als bepaalde artikelen en mechanismen daaruit nader moeten worden toegelicht en gemotiveerd. Helaas gaat het initiatief niet vergezeld van een Impact Assessment of toelichting — onmisbaar om tot een transparanter en, meer in het algemeen, beter wetgevingsproces te kunnen komen. Met behulp van een toelichting zou een aantal punten in het voorstel, bijvoorbeeld betreffende de vraag of en waarom Europol en Eurojust toegang moeten krijgen tot het DIS, gemakkelijker kunnen worden beoordeeld.

6.

De EDPS heeft rekening gehouden met het advies (09/03) dat de gemeenschappelijke controleautoriteit douane op 24 maart 2009 heeft uitgebracht over het ontwerpbesluit van de Raad inzake het gebruik van informatica op douanegebied.

7.

Het rechtskader van het douane-informatiesysteem („het DIS”) behoort thans zowel tot de eerste als tot de derde pijler. In de derde pijler bestaat het hoofdzakelijk uit de Overeenkomst van 26 juli 1995, opgesteld op grond van artikel K.3 van het Verdrag betreffende de Europese Unie, inzake het gebruik van informatica op douanegebied („de DIS-overeenkomst” (7), en de protocollen van respectievelijk 12 maart 1999 en 8 maart 2003.

8.

Op het gebied van gegevensbescherming is onder meer van toepassing het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens („Verdrag 108 van de Raad van Europa”). Ook Kaderbesluit 2008/977/JBZ zou volgens het voorstel op het DIS van toepassing zijn.

9.

In de eerste pijler berust het systeem op Verordening (EG) nr. 515/97 van de Raad van 13 maart 1997 betreffende de wederzijdse bijstand tussen de administratieve autoriteiten van de lidstaten en de samenwerking tussen deze autoriteiten en de Commissie met het oog op de juiste toepassing van de douane- en landbouwvoorschriften (8).

10.

De DIS-overeenkomst heeft volgens haar artikel 2, lid 2, tot doel „bij te dragen tot het voorkomen, het onderzoeken en het vervolgen van ernstige overtredingen van nationale wetten, door verbetering, via een snelle verspreiding van informatie, van de doeltreffendheid van de samenwerkings- en controleprocedures van de douaneadministraties van de lidstaten”.

11.

Voorts bepaalt de overeenkomst dat het douane-informatiesysteem uit een centrale gegevensbank bestaat en in elke lidstaat door middel van terminals toegankelijk is. Andere belangrijke kenmerken zijn:

12.

Het Franse initiatief, dat gebaseerd is op artikel 30, lid 1, onder a), en artikel 34, lid 2, van het Verdrag betreffende de Europese Unie, en strekt tot vervanging van de DIS-overeenkomst, het protocol van 12 maart 1999 en het protocol van 8 maart 2003, wil deze component in overeenstemming brengen met de regelgeving in de eerste pijler.

13.

Het voorstel reikt echter verder dan vervanging van de DIS-overeenkomst door een Raadsbesluit. Een groot aantal bepalingen van de overeenkomst wordt gewijzigd, en toegang tot het DIS wordt nu ook gegeven aan Europol en Eurojust. Vergelijkbare bepalingen uit de eerder genoemde Verordening (EG) nr. 766/2008, die betrekking hebben op de werking van het DIS — namelijk wat het referentiebestand van onderzoeksdossiers (hoofdstuk VI) betreft — zijn in het voorstel verwerkt.

14.

In het voorstel wordt ook rekening gehouden met nieuwe regelgeving, zoals Kaderbesluit 2008/977/JBZ en Kaderbesluit 2006/960/JBZ van de Raad van 13 december 2006 betreffende de vereenvoudiging van de uitwisseling van informatie en inlichtingen tussen de rechtshandhavingsautoriteiten van de lidstaten van de Europese Unie (10).

15.

Het voorgestelde besluit heeft onder meer ten doel:

16.

Volgens artikel 1 van het voorstel heeft het DIS ten doel „bij te dragen tot het voorkomen, het onderzoeken en het vervolgen van ernstige overtredingen van nationale wetten door deze gegevens sneller toegankelijk te maken en aldus de doeltreffendheid van de samenwerkings- en controleprocedures van de douaneadministraties van de lidstaten te verbeteren”. Dit stemt grotendeels overeen met het bepaalde in artikel 2, lid 2, van de DIS-overeenkomst.

17.

Te dien einde wordt volgens het voorstel het gebruik van DIS-gegevens uitgebreid met raadpleging van het systeem en de mogelijkheid van strategische of operationele analyse. De EDPS neemt er nota van dat de opzet is verruimd, dat er meer categorieën persoonsgegevens kunnen worden verzameld en verwerkt, en dat de lijst van betrokkenen met rechtstreekse toegang tot het DIS wordt uitgebreid.

18.

De EDPS, momenteel de autoriteit die toezicht houdt op het centrale onderdeel van de eerstepijlercomponent van het DIS, stelt bijzonder belang in het initiatief en de inhoudelijke innovaties bij de behandeling in Raadsverband. De EDPS benadrukt dat beide componenten volgens een coherente totaalaanpak op elkaar moeten worden afgestemd.

19.

Aan het voorstel zitten diverse aspecten vast die verband houden met grondrechten, met name het recht op bescherming van persoonsgegevens, het recht op informatie en andere rechten van de betrokkene.

20.

Wat de huidige gegevensbeschermingsregeling in de DIS-overeenkomst betreft, zou een aantal bepalingen moeten worden aangepast en geactualiseerd, omdat zij niet meer aan de eisen en normen voldoen. Immers, dat er wordt gezorgd voor een hoog niveau van persoonsgegevensbescherming en een efficiëntere toepassing daarvan in de praktijk, moet worden beschouwd als een essentiële voorwaarde om de werking van het systeem te kunnen verbeteren.

21.

Hieronder volgen enkele algemene opmerkingen, waarna de voor de persoonsgegevensbescherming relevante aangelegenheden worden behandeld, namelijk:

22.

Hierboven hebben wij gezegd vooral geïnteresseerd te zijn in wat er gaande is met betrekking tot de derdepijlercomponent van het DIS; in het centrale onderdeel van de eerstepijlercomponent heeft de EDPS namelijk al toezichtstaken, en wel op grond van de nieuwe Verordening (EG) nr. 766/2008 van het Europees Parlement en de Raad (11) met het oog op de juiste toepassing van de douane- en landbouwvoorschriften.

23.

In dit verband wijzen wij de wetgever erop dat de EDPS zich al in eerdere adviezen, met name dat van 22 februari 2007, heeft uitgesproken over het toezicht in de eerstepijlercomponent van het DIS (12).

24.

Wij citeren: „Door het opzetten en bijwerken van de verschillende instrumenten voor het verbeteren van de communautaire samenwerking, namelijk het DIS, het FIDE en het Europees gegevensbestand, worden meer in de lidstaten verzamelde en vervolgens met de bestuurlijke autoriteiten van de lidstaten en in sommige landen ook met derde landen uitgewisselde persoonsgegevens gedeeld. Het kan onder meer gaan om gegevens betreffende de vermeende of bewezen betrokkenheid van personen bij inbreuken op de douane- of landbouwwetgeving.(…) Dat belang wordt nog groter indien men rekening houdt met het type verzamelde en gedeelde gegevens, met name gegevens over personen die verdacht worden van medeplichtigheid aan inbreuken, en het globale doel en resultaat van de verwerking van deze gegevens.”.

25.

In tegenstelling tot Verordening (EG) nr. 766/2008, waarbij de eerstepijlercomponent van het DIS slechts op onderdelen werd gewijzigd, zou het onderhavige voorstel strekken tot algehele herziening van de DIS-overeenkomst, waardoor de wetgever de kans krijgt een meer omvattende visie te hanteren, volgens een coherente totaalaanpak.

26.

De EDPS is van mening dat deze aanpak ook toekomstgericht moet zijn. Wat de inhoud van het voorgestelde besluit betreft, zullen nieuwe elementen, zoals Kaderbesluit 2008/977/JBZ en de (mogelijke) inwerkingtreding van het Verdrag van Lissabon, terdege in beschouwing en aanmerking moeten worden genomen.

27.

Wat de inwerkingtreding van het Verdrag van Lissabon betreft, dient de wetgever zich te buigen over de vraag welke gevolgen de afschaffing van de pijlerstructuur zou kunnen hebben op het DIS, dat nu nog op een combinatie van eerste- en derdepijlerregelgeving berust. De EDPS betreurt het dat niet nader wordt ingegaan op deze belangrijke aangelegenheid, die van grote invloed zou kunnen zijn op het rechtskader dat het DIS zal beheersen. Meer in het algemeen rijst de vraag of de wetgever ter wille van de rechtszekerheid de herziening niet beter zou uitstellen totdat het Verdrag van Lissabon in werking is getreden.

28.

Met de algehele vervanging van de DIS-overeenkomst biedt zich een geschikte gelegenheid aan om DIS in overeenstemming te brengen met systemen en mechanismen die na de overeenkomst tot stand zijn gekomen. De EDPS wenst dat de DIS-regelgeving, ook wat het toezichtsmodel betreft, aansluit bij andere wetteksten, vooral die betreffende de oprichting van het Schengeninformatiesysteem II en het Visuminformatiesysteem.

29.

Aangezien de lidstaten in het DIS informatie uitwisselen, valt het toe te juichen dat in het voorstel rekening wordt gehouden met het kaderbesluit over de bescherming van persoonsgegevens. In artikel 20 van het voorstel staat uitdrukkelijk dat Kaderbesluit 2008/977/JBZ geldt voor de bescherming van de gegevensuitwisseling overeenkomstig dit besluit, tenzij in dit besluit anders is bepaald. Voorts zij opgemerkt dat ook op andere plaatsen in het voorstel naar het kaderbesluit wordt verwezen, bijvoorbeeld in artikel 4, lid 5, volgens hetwelk de in artikel 6 van Kaderbesluit 2008/977/JBZ bedoelde gegevens niet worden ingevoerd, in artikel 8, houdende het verbod gegevens uit het DIS douane-informatiesysteem te gebruiken voor een ander dan het in artikel 1, lid 2, omschreven doel, in artikel 22, over de persoonlijkheidsrechten met betrekking tot de in het DIS ingevoerde gegevens, en in artikel 29, over de verantwoordelijkheid en de aansprakelijkheid.

30.

De EDPS is van oordeel dat de begrippen en beginselen uit dit kaderbesluit ook geschikt zijn in het kader van het DIS, en daarom zowel uit rechtszekerheidsoverwegingen als ter wille van de juridische coherentie ook van toepassing zouden moeten zijn.

31.

Wel zou in het DIS-besluit de garantie moeten worden ingebouwd dat, in afwachting van de volledige implementatie — in overeenstemming met de slotbepalingen — van Kaderbesluit 2008/977/JBZ, de gegevensbeschermingsregeling niet kan worden omzeild. Met andere woorden, wij geven er de voorkeur aan dat de noodzakelijke en adequate garanties al voorhanden zijn voordat het nieuwe systeem van gegevensuitwisseling van start gaat.

32.

Een effectieve toepassing van het recht op gegevensbescherming en van het recht op informatie is van cruciaal belang om het douane-informatiesysteem naar behoren te kunnen laten functioneren. De gegevensbescherming moet niet alleen worden gewaarborgd om de personen die onder het DIS vallen daadwerkelijk te beschermen, maar ook om een behoorlijke en efficiëntere werking van het systeem te bevorderen.

33.

Dat die waarborgen sterk en efficiënt moeten zijn, is des te evidenter omdat het DIS een databank is die veeleer op „vermoedens” dan op veroordelingen of andere beslissingen van gerechtelijke of bestuursrechtelijke aard berust. Dit blijkt uit artikel 5 van het voorstel: „Gegevens met betrekking tot de in artikel 3 bedoelde categorieën mogen uitsluitend in het douane-informatiesysteem worden ingevoerd met het oog op melding van waarneming, onopvallende en gerichte controle en strategische of operationele analyse. Ten behoeve van de voorgestelde acties (…) mogen persoonsgegevens (…) uitsluitend in het douane-informatiesysteem worden ingevoerd indien er, in het bijzonder op grond van eerdere illegale handelingen, concrete aanwijzingen bestaan dat de desbetreffende persoon ernstige overtredingen van nationale wetten heeft begaan, bezig is deze te begaan, of nog zal begaan.”. Om die reden moeten in het voorstel evenwichtige, efficiënte en geactualiseerde waarborgen — in de zin van persoonsgegevensbescherming en controlemechanismen — worden ingebouwd.

34.

Wat de bepalingen in het voorstel betreft die specifiek betrekking hebben op de bescherming van persoonsgegevens, neemt de EDPS er nota van dat geprobeerd is meer waarborgen te bieden dan die welke in de DIS-overeenkomst zijn vervat. Er blijven echter ernstige bezwaren bestaan met betrekking tot de gegevensbeschermingsvoorschriften, in het bijzonder wat de toepassing van het doelbindingsbeginsel betreft.

35.

Ook zij hier opgemerkt dat wat in dit advies wordt gezegd over de gegevensbeschermingswaarborgen, niet alleen de bepalingen tot wijziging of uitbreiding van het toepassingsgebied van de DIS-overeenkomst geldt, maar ook de daaruit overgenomen bepalingen. Zoals immers in punt II te lezen staat, voldoen bepaalde regels uit de overeenkomst niet meer aan de huidige eisen op het gebied van gegevensbescherming; dankzij het Franse initiatief kan het gehele systeem nu opnieuw worden bekeken, en kan een adequaat gegevensbeschermingsniveau worden bewerkstelligd, dat gelijkwaardig is aan dat van de eerstepijlercomponent.

36.

De EDPS stelt met voldoening vast dat in het DIS alleen persoonsgegevens uit een beperkte, limitatieve lijst mogen worden ingevoerd. Ook het feit dat de term „persoonsgegevens” een ruimere inhoud krijgt dan in de overeenkomst stemt tot tevredenheid. In artikel 2, lid 2 worden „persoonsgegevens” gedefinieerd als iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon („betrokkene”); als identificeerbaar wordt beschouwd een persoon die rechtstreeks of onrechtstreeks kan worden geïdentificeerd, met name via een identificatienummer of een of meer specifieke gegevens in verband met zijn fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

37.

Een voorbeeld van een bepaling die uit het oogpunt van gegevensbescherming grote bezwaren oplevert, is artikel 8, volgens hetwelk „de lidstaten gegevens die zijn verkregen uit het DIS uitsluitend mogen gebruiken om het in artikel 1, lid 2, omschreven doel te bereiken. Met voorafgaande toestemming van de lidstaat die de gegevens in het systeem heeft ingevoerd en met inachtneming van de door die lidstaat gestelde voorwaarden, mogen zij deze gegevens evenwel ook voor administratieve of andere doeleinden gebruiken. Dit andere gebruik moet in overeenstemming zijn met de wetten, regelingen en procedures van de lidstaat die de gegevens wenst te gebruiken overeenkomstig artikel 3, lid 2, van Kaderbesluit 2008/977/JBZ.”. Deze bepaling betreffende het gebruik van de uit het DIS verkregen gegevens is van essentieel belang voor de opzet van het systeem en verdient daarom bijzondere aandacht.

38.

In artikel 8 van het voorstel wordt verwezen naar artikel 3, lid 2, van Kaderbesluit 2008/977/JBZ, over het „Beginsel van rechtmatigheid, evenredigheid en doelbinding”. Artikel 3 van het kaderbesluit luidt als volgt:

„1.   Persoonsgegevens mogen door de bevoegde autoriteiten alleen worden verzameld voor specifieke, uitdrukkelijke en rechtmatige doeleinden in het kader van hun taken en alleen worden verwerkt voor het doel waarvoor zij zijn verzameld. De verwerking van de gegevens moet rechtmatig, adequaat, ter zake dienend en niet excessief zijn in verhouding tot het doel waarvoor zij worden verzameld.

2.   Verdere verwerking voor een ander doel is toegestaan, mits

39.

Artikel 3, lid 2, van Kaderbesluit 2008/977/JBZ mag dan al voorzien in algemene voorwaarden waaraan de verwerking voor andere doeleinden moet voldoen, in artikel 8 van het voorstel wordt toegestaan dat de gegevens uit het DIS worden gebruikt voor alle mogelijke, niet nader omschreven administratieve en andere doeleinden, hetgeen bezorgdheid wekt omtrent de inachtneming van de gegevensbeschermingseisen, met name het doelbindingsbeginsel. Bovendien is in de eerstepijlercomponent algemeen gebruik niet toegestaan. De EDPS wenst daarom dat bepaald wordt voor welke doeleinden de gegevens mogen worden gebruikt. Dit is van wezenlijk belang voor de gegevensbescherming, omdat het de kern van het datagebruik in grootschalige systemen raakt: „gegevens mogen alleen worden gebruikt voor welbepaalde en duidelijk afgebakende, door het rechtskader beheerste doeleinden”.

40.

Artikel 8, lid 4, van het voorstel regelt de doorgifte van de gegevens aan derde landen en aan internationale organisaties: „Gegevens die zijn verkregen uit het douane-informatiesysteem kunnen, met voorafgaande toestemming van de lidstaat die de gegevens in het systeem heeft ingevoerd en met inachtneming van de eventueel door die staat gestelde voorwaarden, worden overgedragen voor gebruik door (…) niet-lidstaten, en internationale en regionale organisaties die de gegevens wensen te gebruiken. Elke lidstaat neemt speciale maatregelen ter beveiliging van zulke gegevens wanneer deze worden overgedragen aan instanties buiten zijn eigen grondgebied. Bijzonderheden van dergelijke maatregelen dienen te worden doorgegeven aan de in artikel 25 genoemde gemeenschappelijke controleautoriteit.”.

41.

De EDPS wijst erop dat in dit verband artikel 11 van het kaderbesluit persoonsgegevensbescherming van toepassing is. Artikel 8, lid 4, van het voorstel — dat de lidstaten in principe toestaat gegevens uit het DIS over te dragen aan niet-lidstaten, en internationale en regionale organisaties die de gegevens wensen te gebruiken — is echter zeer algemeen geformuleerd, en de geboden waarborgen zijn bij lange na niet voldoende om de gegevens te beschermen. De EDPS wenst dat in deze bepaling een eenvormige regeling wordt vervat, met een adequaat mechanisme om te beoordelen, bijvoorbeeld via het in artikel 26 bedoelde comité, of de waarborgen toereikend zijn.

42.

De EDPS neemt met voldoening kennis van de bepalingen over de wijziging van gegevens (hoofdstuk IV, artikel 13), die een belangrijk aspect van het gegevenskwaliteitsbeginsel vormen. Vooral het feit dat het toepassingsgebied wordt gewijzigd en uitgebreid ten opzichte van de DIS-overeenkomst, en nu ook het verbeteren en verwijderen van gegevens bevat, wordt toegejuicht. Zo bepaalt lid 2 van artikel 13 dat als de gegevensverstrekkende lidstaat of Europol opmerkt of erop wordt gewezen dat de door hem, respectievelijk door Europol, ingevoerde gegevens feitelijk onjuist zijn, of in strijd met het besluit zijn ingevoerd of opgeslagen, de lidstaat of Europol deze gegevens, naar gelang van het geval, wijzigt, aanvult, verbetert of verwijdert, en de andere lidstaten en Europol hiervan in kennis stelt.

43.

In de bepalingen van hoofdstuk V, over het bewaren van gegevens, waarvoor vooral is uitgegaan van de DIS-overeenkomst, zijn onder meer bewaartermijnen voor uit het DIS gekopieerde gegevens vastgesteld.

44.

Hoofdstuk IX (bescherming van persoonsgegevens) is een afspiegeling van een groot aantal bepalingen uit de DIS-overeenkomst. Een belangrijk verschil echter is dat nu het kaderbesluit persoonsgegevensbescherming van toepassing zou zijn op het DIS, en dat volgens artikel 22 van het voorstel „de rechten van personen met betrekking tot de persoonsgegevens in het douane-informatiesysteem, in het bijzonder het recht van toegang, verbetering, verwijdering of afscherming, worden uitgeoefend in overeenstemming met de wetten, regelingen en procedures van de lidstaat tot uitvoering van Kaderbesluit 2008/977/JBZ waarin op deze rechten een beroep wordt gedaan”. Belangrijk acht de EDPS het vooral dat de procedure, waarbij de betrokkenen in iedere lidstaat hun rechten kunnen laten gelden en toegang kunnen verlangen, wordt gehandhaafd. De EDPS zal er nauwlettend op toezien dat aan dit belangrijke recht de hand wordt gehouden.

45.

Ook wat het verbod op het kopiëren van gegevens uit het DIS naar andere, nationale bestanden betreft, wordt het toepassingsgebied uitgebreid. In artikel 14, lid 2, van de overeenkomst luidt het dat „gegevens die door andere lidstaten in het douane-informatiesysteem zijn ingevoerd, hieruit niet naar andere nationale databestanden worden gekopieerd”. Volgens artikel 21, lid 3, van het voorstel kunnen zij wel worden gekopieerd „naar systemen voor risicobeheer die gebruikt worden om nationale douanecontroles te sturen of naar een systeem voor operationele analyse dat gebruikt wordt om acties te coördineren.” De EDPS sluit zich in dit verband aan bij wat de gemeenschappelijke controleautoriteit in advies 09/03 heeft opgemerkt inzake de term „systemen voor risicobeheer” en inzake het feit dat nader bepaald moet worden wanneer en in welke omstandigheden kopiëren overeenkomstig artikel 21, lid 3, zou worden toegestaan.

46.

De bepalingen over beveiliging (hoofdstuk XII), die van essentieel belang zijn om het DIS efficiënt te kunnen laten functioneren, dragen onze goedkeuring weg.

47.

Nieuw zijn de bepalingen over het referentiebestand van onderzoeksdossiers (artikelen 16 tot en met 19), die beantwoorden aan wat in de eerstepijlercomponent is bepaald. De EDPS betwist niet dat er in het DIS behoefte is aan een dergelijk nieuw bestand, maar wijst erop dat het met adequate beschermingsgaranties moet worden omgeven. Dat de in artikel 21, lid 3, genoemde uitzondering niet geldt voor het referentiebestand van onderzoeksdossiers, is dan ook positief te noemen.

48.

Volgens het voorstel krijgen de Europese Politiedienst (Europol) en de Europese eenheid voor justitiële samenwerking (Eurojust) toegang tot het DIS.

49.

Om te beginnen zou duidelijk bepaald moeten worden met welk doel toegang wordt verleend, en bekeken moeten worden of deze uitbreiding noodzakelijk is en in verhouding staat tot het doel. Waarom zij noodzakelijk zou zijn, wordt niet uitgelegd. In het geval van toegang tot databanken met persoonsgegevens, en de desbetreffende functies en verwerking, is het zonder meer nodig vooraf na te gaan of er niet alleen sprake is van nuttigheid, maar ook van een reële, gedocumenteerde noodzaak. De EDPS benadrukt dat er geen motivering wordt gegeven.

50.

Voorts zou in de tekst duidelijk bepaald moeten worden voor welke taken Europol en Eurojust toegang kunnen krijgen tot de gegevens.

51.

Volgens artikel 11: „heeft Europol binnen de grenzen van zijn mandaat en voor de uitvoering van zijn taken het recht om de in het DIS ingevoerde gegevens op te vragen, deze rechtstreeks te raadplegen en gegevens aan het systeem toe te voegen”.

52.

De EDPS is ingenomen met de nieuwe beperkingen, in het bijzonder de volgende:

53.

Telkens als in het voorstel sprake is van de Europolovereenkomst, dient men het Raadsbesluit voor ogen te hebben op grond waarvan Europol op 1 januari 2010 een agentschap wordt.

54.

Artikel 12 van het voorstel handelt over de toegang van Eurojust tot het DIS: „Onverminderd hoofdstuk IX hebben de nationale leden van de Europese eenheid voor justitiële samenwerking (Eurojust) en hun assistenten binnen de grenzen van hun mandaat het recht om overeenkomstig de leden 1, 3, 4 ,5 en 6 de in het douane-informatiesysteem ingevoerde gegevens op te vragen en deze te raadplegen.”. Toelating wordt afhankelijk gesteld van de toestemming — volgens een procedure die te vergelijken is met die welke voor Europol wordt voorgesteld — van de lidstaat die de data heeft ingevoerd. Ook met betrekking tot Eurojust geldt dus dat moet worden aangegeven waarom toegang noodzakelijk is, en dat waar nodig adequate beperkingen moeten worden ingebouwd.

55.

Het schenkt de EDPS voldoening dat alleen de nationale leden, hun plaatsvervangers en hun assistenten tot het DIS worden toegelaten. Hij stelt echter vast dat in artikel 12, lid 1, alleen sprake is van de nationale leden en hun assistenten, terwijl elders in het artikel ook de plaatsvervangers van de nationale leden worden bedoeld. De wetgever moet hier zorgen voor duidelijkheid en coherentie.

56.

Wat het voorgestelde toezicht in de derdepijlercomponent betreft, dringt de EDPS erop aan dat het gehele systeem aan consistent toezicht wordt onderworpen. Het complexe rechtskader van het DIS, dat op twee grondslagen berust, moet in beschouwing worden genomen, en zowel ter wille van de rechtszekerheid als uit praktische overwegingen dient men te vermijden dat in twee verschillende vormen van toezicht wordt voorzien.

57.

Zoals gezegd, treedt de EDPS thans als toezichthouder op met betrekking tot het centrale onderdeel van de eerstepijlercomponent. Dit spoort met artikel 37 van Verordening (EG) nr. 515/97 van de Raad, „De Europese Toezichthouder voor gegevensbescherming ziet erop toe dat het DIS voldoet aan Verordening (EG) nr. 45/2001.”. In het toezichtsmodel uit het Franse voorstel wordt hiermee geen rekening gehouden. Dat model is gebaseerd op de rol van de gemeenschappelijke controleautoriteit van het DIS.

58.

De EDPS heeft waardering voor het werk van de gemeenschappelijke controleautoriteit van het DIS, maar vindt dat een gecoördineerd toezicht geboden is, in lijn met de huidige toezichtstaken van de EDPS in andere grootschalige systemen, en wel om twee redenen. Ten eerste zou een dergelijk model borg staan voor consistentie tussen de eerste- en de derdepijlercomponent van het systeem. Ten tweede zou het coherent zijn met het toezichtsmodel dat in andere grootschalige systemen geldt. De EDPS pleit er daarom voor dat op het DIS als geheel een model wordt toegepast dat te vergelijken is met het model van SIS II („gecoördineerd toezicht”, of „gelaagd model”). Zoals te lezen staat in het advies van de EDPS over de eerstepijlercomponent, „heeft de Europese wetgever in het kader van het SIS II ervoor gekozen het model van toezicht te rationaliseren door hetzelfde gelaagde model te hanteren als datgene dat hiervoor met betrekking tot de eerste pijler- en de derde pijleromgeving van het systeem is beschreven”.

59.

De meest aangewezen oplossing is een meer eenvormige toezichtregeling, namelijk het reeds beproefde drielagenmodel: de nationale gegevensbeschermingsautoriteiten op het nationale niveau, de EDPS op centraal niveau, en onderlinge coördinatie. De vervanging van de DIS-overeenkomst biedt een unieke kans voor de invoering van dit eenvoudiger en consistenter model, dat volledig in de lijn ligt van andere grootschalige systemen (VIS, SIS II, Eurodac).

60.

Tot slot doet het coördinatiemodel ook meer recht aan de veranderingen die het gevolg zullen zijn van de inwerkingtreding van het Verdrag van Lissabon en de afschaffing van de pijlerstructuur van de EU.

61.

Over de vraag of het coördinatiemodel impliceert dat de eerstepijlercomponent van het DIS, namelijk Verordening (EG) nr. 766/2008, wordt gewijzigd, wil de EDPS zich niet uitlaten, maar hij wijst erop dat de wetgever ook de juridische coherentie voor ogen moet houden.

62.

Artikel 7, lid 2, bepaalt dat elke lidstaat aan de andere lidstaten en aan het in artikel 26 bedoelde comité meedeelt welke autoriteiten met recht van toegang tot het DIS hij heeft aangewezen, en — per autoriteit — op welke gegevens en doeleinden dat recht betrekking heeft.

63.

De EDPS wijst erop dat volgens het voorstel de informatie welke autoriteiten toegang hebben tot het DIS uitsluitend wordt uitgewisseld tussen de lidstaten, die het in artikel 26 bedoelde comité op de hoogte moeten brengen; er wordt echter niet voorgesteld dat die lijst openbaar wordt gemaakt. Dit is te betreuren, omdat openbaarmaking de transparantie ten goede zou komen, en een praktisch middel is om het systeem te onderwerpen aan een effectieve controle, bijvoorbeeld door de bevoegde gegevensbeschermingsautoriteiten.

64.

De EDPS steunt het voorstel voor een besluit van de Raad inzake het gebruik van informatica op douanegebied. Hij benadrukt dat het wetgevingsproces bij de Raad nog gaande is, en hij zich dus niet op basis van de eindtekst over het voorstel kan uitspreken.

65.

Hij betreurt het dat het voorstel niet vergezeld gaat van een toelichting, waarin de nodige uitleg en informatie zou kunnen worden gegeven bij de doelstellingen en specifieke kenmerken van sommige bepalingen.

66.

In het voorstel zou meer aandacht moeten worden besteed aan het feit dat specifieke gegevensbeschermingswaarborgen nodig zijn. In bepaalde opzichten, met name wat de toepassing van het doelbindingsbeginsel bij het gebruik van in het DIS ingevoerde gegevens betreft, zou de implementatie van deze waarborgen beter moeten worden geregeld. Dit is volgens de EDPS een essentiële voorwaarde om het douane-informatiesysteem beter te kunnen laten functioneren.

67.

Het toezicht zou volgens een coördinatiemodel moeten worden georganiseerd. Momenteel oefent de EDPS toezicht uit in de eerstepijlercomponent van het systeem. De coherentie en de consistentie zijn er het beste mee gediend wanneer het coördinatiemodel ook in de derdepijlercomponent wordt toegepast. Waar nodig en passend zou dit model ook zorgen voor samenhang met andere regelgeving betreffende de oprichting en/of het gebruik van andere grootschalige it-systemen.

68.

De EDPS wenst dat beter wordt toegelicht waarom en in welke mate Eurojust en Europol toegangsrecht moet worden verleend. Hij onderstreept dat het voorstel wat dat betreft te wensen overlaat.

69.

Artikel 8, lid 4, over de gegevensoverdracht aan niet-lidstaten of internationale organisaties, zou moeten worden aangescherpt. Dit houdt in dat volgens een eenvormige regeling moet worden beoordeeld of de overdracht voldoet aan de normen.

70.

De EDPS wenst dat in het voorstel een bepaling over openbaarmaking van de lijst van autoriteiten met recht van toegang tot het DIS wordt opgenomen, om het systeem transparanter te maken en er gemakkelijker toezicht op te kunnen uitoefenen.

23.9.2009   

NL

Publicatieblad van de Europese Unie

C 229/19

1.

De Commissie heeft op 10 december 2008 twee voorstellen aangenomen tot wijziging van Verordening (EG) nr. 726/2004 en Richtlijn 2001/83/EG. (3) Bij Verordening (EG) nr. 726/2004 worden communautaire procedures voor het verlenen van vergunningen en het toezicht op geneesmiddelen voor menselijk en diergeneeskundig gebruik vastgesteld en wordt een Europees Geneesmiddelenbureau (hierna genoemd „het EMEA”) opgericht. (4) Richtlijn 2001/83/EG (5) bevat voorschriften inzake het communautair wetboek betreffende geneesmiddelen voor menselijk gebruik, die betrekking hebben op specifieke procedures in de lidstaten. De voorgestelde wijzigingen betreffen de gedeelten van die twee rechtsinstrumenten die betrekking hebben op de bewaking van geneesmiddelen voor menselijk gebruik.

2.

Geneesmiddelenbewaking kan worden omschreven als de wetenschap en de activiteiten die verband houden met de opsporing, beoordeling, kennis en preventie van bijwerkingen van geneesmiddelen. (6) Het huidige geneesmiddelenbewakingssysteem in Europa biedt de patiënten en de beroepsbeoefenaren in de gezondheidszorg de mogelijkheid bijwerkingen van geneesmiddelen te melden aan de betrokken publieke en particuliere instanties op nationaal en Europees niveau. Een Europabreed netwerk (de EudraVigilance-databank) wordt door het EMEA beheerd als centraal punt voor het beheer en het melden van vermoedelijke bijwerkingen van geneesmiddelen.

3.

Geneesmiddelenbewaking wordt gezien als noodzakelijke aanvulling op het communautair systeem voor het verlenen van vergunningen voor geneesmiddelen, dat dateert van 1965 toen de Raad Richtlijn 65/65/EEG heeft aangenomen. (7)

4.

Zoals blijkt uit de toelichting en de effectbeoordeling bij de voorstellen vertoont het huidige systeem voor geneesmiddelenbewaking een aantal tekortkomingen, waaronder onduidelijkheid over de rol en de verantwoordelijkheid van de verschillende betrokken actoren, ingewikkelde procedures voor het melden van bijwerkingen, de behoefte aan meer transparantie en betere communicatie op het gebied van de geneesmiddelenveiligheid en aan rationalisering van de planning van het risicomanagement van geneesmiddelen.

5.

De twee voorstellen zijn in het algemeen dan ook bedoeld om deze gebreken te verhelpen en het communautaire geneesmiddelenbewakingssysteem te verbeteren en te versterken met als algemene doelstellingen de volksgezondheid beter te beschermen, de interne markt naar behoren te doen functioneren en de huidige regels en procedures te vereenvoudigen. (8)

6.

De algehele werking van het huidige geneesmiddelenbewakingssysteem is gebaseerd op de verwerking van persoonsgegevens. Deze gegevens worden opgenomen in de rapportage over bijwerkingen en kunnen worden beschouwd als gegevens betreffende de gezondheid („gezondheidsgegevens”) van de betrokkene aangezien zij informatie verstrekken over het geneesmiddelengebruik en de achterliggende gezondheidsproblemen. De verwerking van dergelijke gegevens is onderworpen aan stringente voorschriften inzake gegevensbescherming vervat in artikel 10 van Verordening (EG) nr. 45/2001 en artikel 8 van Richtlijn 45/46/EG. (9) Het Europees Hof voor de Rechten van de Mens heeft de jongste tijd herhaaldelijk onderstreept hoe belangrijk het is dat deze gegevens worden beschermd in het kader van artikel 8 van het Europees Verdrag voor de rechten van de mens: „De bescherming van persoonsgegevens, meer bepaald medische gegevens, is van fundamenteel belang om het recht van personen op respect voor hun privéleven en gezins- en familieleven, vastgelegd in artikel 8 van het Verdrag, te verzekeren.” (10)

7.

Desalniettemin wordt gegevensbescherming in de huidige tekst van Verordening nr. 726/2004 en Richtlijn 2001/83/EG niet vermeld, op een specifieke verwijzing in de verordening na, die we hierna in punt 21 en volgende bespreken.

8.

De Europese Toezichthouder voor gegevensbescherming („EDPS”) betreurt dat gegevensbeschermingsaspecten in de voorgestelde wijzigingen niet aan bod komen en dat hij niet formeel is geraadpleegd over de beide wijzigingsvoorstellen, overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001. Het onderhavige advies is derhalve gebaseerd op artikel 41, lid 2, van die verordening. De EDPS beveelt aan in de preambule van de beide voorstellen naar dit advies te verwijzen.

9.

De EDPS wijst erop dat de praktische toepassing van het centrale EudraVigilance-systeem van de Gemeenschap duidelijk vragen inzake gegevensbescherming doet rijzen, doch dat dit aspect noch in de huidige wetgeving inzake geneesmiddelenbewaking noch in de voorstellen voldoende aandacht krijgt. Daarom heeft het EMEA de EDPS in juni 2008 kennis gegeven van het huidige EudraVigilance-systeem voor een voorafgaande controle overeenkomstig artikel 27 van Verordening (EG) nr. 45/2001.

10.

Enige mate van overlapping tussen dit advies en de conclusies van de EDPS over de voorafgaande controle (die later dit jaar zullen worden bekendgemaakt) is onvermijdelijk. De twee instrumenten hebben echter een andere invalshoek. Terwijl het advies hoofdzakelijk betrekking heeft op het algemeen juridisch raamwerk van het systeem als vervat in Verordening (EG) nr. 726/2004 en Richtlijn 2001/83/EG en de desbetreffende wijzigingsvoorstellen, bestaat de voorafgaande controle uit een gedetailleerde analyse op het gebied van de gegevensbescherming, die toegespitst is op de wijze waarop de huidige voorschriften in latere instrumenten (bv. besluiten en richtsnoeren) van het EMEA of van de Commissie en het EMEA gezamenlijk uitgewerkt zijn en hoe het EudraVigilance-systeem in de praktijk werkt.

11.

In dit advies wordt eerst een vereenvoudigde schets gegeven van het geneesmiddelenbewakingssysteem in de EU dat gebaseerd is op Verordening (EG) nr. 726/2004 en Richtlijn 2001/83/EG in hun huidige vorm. Daarna wordt nagegaan of het in het kader van de geneesmiddelenbewaking noodzakelijk is persoonsgegevens te verwerken. Tot slot worden de Commissievoorstellen ter verbetering van de huidige en de beoogde wetgeving besproken en worden aanbevelingen geformuleerd om de gegevensbeschermingsnormen te verbeteren.

12.

Diverse actoren zijn betrokken bij het verzamelen en verspreiden van informatie over bijwerkingen van geneesmiddelen in de Europese Unie. Op nationaal niveau zijn de twee voornaamste actoren de vergunninghouders (bedrijven die een vergunning hebben om geneesmiddelen op de markt te brengen) en de nationale bevoegde autoriteiten (autoriteiten die verantwoordelijk zijn voor het verlenen van marktvergunningen). De nationale bevoegde autoriteiten verlenen productvergunningen middels nationale procedures waaronder de „procedure van wederzijdse erkenning” en de „gedecentraliseerde procedure”. (11) Voor producten die middels de zogenaamde „gecentraliseerde procedure” worden toegelaten, kan ook de Europese Commissie optreden als bevoegde autoriteit. Daarnaast is het EMEA op Europees niveau een belangrijke speler. Een van de taken van dit bureau bestaat erin te zorgen voor de verspreiding van gegevens over de bijwerkingen van in de Gemeenschap toegelaten geneesmiddelen door middel van een databank, de reeds genoemde EudraVigilance-databank.

13.

In Richtlijn 2001/83/EG wordt in algemene termen verwezen naar de verplichting van de lidstaten om een geneesmiddelenbewakingssysteem in te voeren waarin informatie wordt verzameld die „nuttig is voor het toezicht op geneesmiddelen” (artikel 102). Conform de artikelen 103 en 104 van Richtlijn 2001/83/EG (zie tevens de artikelen 23 en 24 van Verordening (EG) nr. 726/2004) moeten vergunninghouders beschikken over een eigen systeem van geneesmiddelenbewaking om zich te kwijten van hun verantwoordelijkheid en aansprakelijkheid voor hun producten op de markt en ervoor te zorgen dat in voorkomend geval passende maatregelen worden genomen. Er wordt rechtstreeks informatie verzameld bij de beroepsbeoefenaren in de gezondheidszorg of de patiënten. De vergunninghouder moet alle informatie die dienstig is voor de evaluatie van de balans tussen de werkzaamheid en de schadelijkheid van een geneesmiddel elektronisch meedelen aan de bevoegde autoriteit.

14.

In Richtlijn 2001/83/EG zelf wordt niet erg duidelijk vermeld welk soort informatie over bijwerkingen op nationaal niveau moet worden verzameld, hoe deze moet worden opgeslagen en op welke wijze ze moet worden meegedeeld. In de artikelen 104 en 106 wordt enkel gewag gemaakt vandere „verslagen” die moeten worden opgesteld. Gedetailleerder voorschriften betreffende deze verslagen zijn te vinden in de richtsnoeren die de Commissie, na raadpleging van het EMEA, de lidstaten en de belanghebbende partijen overeenkomstig artikel 106 heeft opgesteld. In deze richtsnoeren inzake geneesmiddelenbewaking van geneesmiddelen voor menselijk gebruik (hierna „de richtsnoeren” genoemd) wordt verwezen naar de zogenaamde veiligheidsrapporten over individuele gevallen (Individual Case Safety Reports, hierna „ICSR’s” genoemd), d.w.z. verslagen over de bijwerkingen van een geneesmiddel bij een specifieke patiënt. (12) Uit de richtsnoeren blijkt dat een element van de minimuminformatie die de ICSR’s moeten bevatten een „identificeerbare patiënt” is. (13) Vermeld wordt dat een patiënt kan worden geïdentificeerd aan de hand van initialen, een patiëntnummer, geboortedatum, gewicht, lengte en geslacht, een ziekenhuisdossiernummer, informatie over de medische voorgeschiedenis of over de ouders van de patiënt. (14)

15.

Aangezien wordt benadrukt dat de patiënt identificeerbaar moet zijn, valt de verwerking van deze informatie duidelijk onder de gegevensbeschermingsvoorschriften van Richtlijn 95/46/EG. Hoewel de patiënt niet bij naam wordt genoemd, kan zijn identiteit in bepaalde gevallen (bv. gesloten gemeenschappen of kleine oorden) immers worden achterhaald door verschillende gegevens te combineren (bv. ziekenhuis, geboortedatum en initialen). Daarom dient informatie die in het kader van de geneesmiddelenbewaking wordt verwerkt in principe te worden beschouwd als informatie die betrekking heeft op een identificeerbare natuurlijke persoon in de zin van artikel 2, onder a), van Richtlijn 95/46/EG (15). Hoewel dit noch in de verordening noch in de richtlijn duidelijk wordt gemaakt, wordt dit in de richtsnoeren erkend: „the information should be as complete as possible, taking into account EU legislation on data protection” (de informatie dient zo volledig mogelijk te zijn, rekening houdend met de EU-wetgeving inzake gegevensbescherming). (16)

16.

Het dient te worden onderstreept dat het melden van bijwerkingen op nationaal niveau ondanks de richtsnoeren verre van eenvormig is. Dit zal nader worden besproken in de punten 24 en 25.

17.

Een essentiële rol in het geneesmiddelenbewakingssysteem van de EU is weggelegd voor de EudraVigilance-databank die door het EMEA wordt beheerd. Zoals reeds gezegd, is de EudraVigilance-databank een gecentraliseerd netwerk voor gegevensverwerking en een beheersysteem voor het melden en beoordelen van vermoedelijke bijwerkingen tijdens de ontwikkelingsfase en na de verlening van de vergunning voor het in de handel brengen van geneesmiddelen in de Europese Gemeenschap en de landen die tot de Europese Economische Ruimte behoren. De rechtsgrondslag van de EudraVigilance-databank is artikel 57, lid 1, onder d), van Verordening (EG) nr. 726/2004.

18.

De EudraVigilance-databank bestaat op dit moment uit twee gedeelten, namelijk 1) informatie uit klinische proeven (die plaatsvinden voordat het geneesmiddel op de markt wordt gebracht, vandaar de naam „fase vóór de vergunningverlening”) en 2) informatie uit meldingen van bijwerkingen (a posteriori verzameld, vandaar de naam „fase na de vergunningverlening”). Het zwaartepunt van dit advies ligt bij de „fase na de vergunningverlening” omdat de voorgestelde wetswijzigingen daarop betrekking hebben.

19.

De EudraVigilance-databank bevat patiëntgegevens die afkomstig zijn uit de ICSR’s. Het EMEA krijgt de ICSR’s van de bevoegde nationale autoriteiten (zie artikel 102 van Richtlijn 2001/83/EG en artikel 22 van Verordening (EG) nr. 726/2004) en in sommige gevallen rechtstreeks van de vergunninghouders (zie artikel 104 van Richtlijn 2001/83/EG en artikel 24 van Verordening (EG) nr. 726/2004).

20.

In dit advies ligt de nadruk op de verwerking van persoonsgegevens van patiënten. Er zij echter op gewezen dat de EudraVigilance-databank ook persoonsgegevens bevat van werknemers van de nationale bevoegde autoriteiten en van vergunninghouders indien zij de informatie voor de databank aanleveren. De volledige naam, het adres, de contactgegevens en de gegevens van het identificatiedocument van deze personen worden in het systeem opgeslagen. Een andere categorie persoonsgegevens zijn de gegevens over de zogenaamde „gekwalificeerde, voor de geneesmiddelenbewaking verantwoordelijke personen” die door de vergunninghouders worden aangewezen overeenkomstig artikel 103 van Richtlijn 2001/83/EG. De rechten en plichten uit hoofde van Verordening (EG) nr. 45/2001 gelden natuurlijk onverkort voor de verwerking van deze gegevens.

21.

In artikel 57, lid 1, onder d), van Verordening (EG) nr. 726/2004 wordt bepaald dat de databank door alle lidstaten permanent moet kunnen worden geraadpleegd. Voorts moeten beroepsbeoefenaars in de gezondheidszorg, houders van een vergunning voor het in de handel brengen en het publiek een passende toegang tot deze databank hebben, waarbij de bescherming van de persoonsgegevens wordt gewaarborgd; Zoals reeds vermeld in punt 7, is dit de enige bepaling in de verordening en in Richtlijn 2001/83/EG waarin gegevensbescherming wordt vermeld.

22.

Artikel 57, lid 1, onder d), heeft tot de volgende toegangsregeling geleid: als het EMEA een ICSR ontvangt, wordt deze onmiddellijk ingevoerd in de EudraVigilance-gateway waartoe het EMEA, de nationale bevoegde autoriteiten en de Commissie volledig toegang hebben. Nadat de ICSR door het EMEA gevalideerd is (gecontroleerd op authenticiteit en uniciteit) wordt de informatie uit het ICSR naar de eigenlijke databank doorgestuurd. Het EMEA, de nationale bevoegde autoriteiten en de Commissie hebben volledige toegang tot de databank, terwijl voor de vergunninghouders de beperking geldt dat zij alleen toegang hebben tot de gegevens die zij zelf hebben ingevoerd. Ten slotte wordt geaggregeerde informatie over de ICRS's op de EudraVigilance-website geplaatst waartoe het publiek, waaronder de beroepsbeoefenaren in de gezondheidszorg, toegang heeft.

23.

Het EMEA heeft op 19 december 2008 een concept-toegangsbeleid op zijn website voor het publiek beschikbaar gesteld (17). Uit dit document blijkt dat het EMEA voornemens is artikel 57, lid 1, onder d), van Verordening (EG) nr. 726/2004 ten uitvoer te leggen. De EDPS zal hierop vanaf punt 48 kort terugkomen.

24.

Uit de effectbeoordeling van de Commissie blijkt dat het huidige geneesmiddelenbewakingssysteem van de EU, dat complex en onduidelijk wordt genoemd, een aantal tekortkomingen vertoont. Het ingewikkelde systeem voor het verzamelen, opslaan en uitwisselen van gegevens door verschillende actoren op nationaal en Europees niveau wordt als een van de belangrijkste gebreken gezien. Het feit dat Richtlijn 2001/83/EG in de lidstaten op uiteenlopende wijzen is omgezet, maakt de zaak nog ingewikkelder. (18) Daardoor krijgen de nationale bevoegde autoriteiten en het EMEA vaak te maken met onvolledige of overlappende case-reports over bijwerkingen. (19)

25.

Dit is te wijten aan het feitdat in de bovengenoemde richtsnoeren weliswaar wordt omschreven wat er in de ICSR’s moet staan, maar dat de nationale invulling daarvan aan de lidstaten wordt overgelaten. Dat geldt zowel voor de wijze waarop de vergunninghouders en de nationale bevoegde autoriteiten hun meldingen doorgeven als voor de feitelijke informatie die erin wordt opgenomen (er is geen standaardformulier voor meldingen binnen Europa). Voorts hanteren sommige bevoegde nationale autoriteiten specifieke kwaliteitscriteria voor de meldingen (met betrekking tot de inhoud, de volledigheid, enz.) terwijl dit in andere landen niet per definitie het geval is. Het is duidelijk dat de nationale aanpak van de rapportage en de kwaliteitsbeoordeling van de ICSR’s rechtstreeks invloed heeft op de wijze waarop aan het EMEA en derhalve in de EudraVigilance-databank wordt gerapporteerd.

26.

De EDPS wenst te onderstrepen dat de bovengenoemde tekortkomingen niet alleen praktische ongemakken meebrengen, maar ook een aanzienlijke bedreiging vormen voor de bescherming van de gezondheidsgegevens van de burgers. Hoewel, zoals in de vorige punten is aangetoond, in diverse fasen van de geneesmiddelenbewaking gezondheidsgegevens worden verwerkt, bestaan er op dit moment geen voorschriften inzake gegevensbescherming. De enige uitzondering is de algemene verwijzing naar gegevensbescherming in artikel 57, lid 1, onder d), van Verordening (EG) nr. 726/2004 die alleen betrekking heeft op de laatste fase van de gegevensverwerking, namelijk de toegankelijkheid van de gegevens in de EudraVigilance-databank. Het gebrek aan duidelijkheid met betrekking tot de rol en de verantwoordelijkheid van de diverse betrokken actoren en het ontbreken van specifieke normen voor de verwerking zelf brengt de vertrouwelijkheid, de integriteit en „accountability” van de verwerkte persoonsgegevens in het gedrang.

27

Daarom wenst de EDPS te onderstrepen dat het gebrek aan grondige analyse van de gegevensbeschermingsaspecten, dat weerspiegeld wordt in het wetgevingskader waarop het gegevensbeschermingssysteem in de EU steunt, ook moet worden beschouwd als een van de gebreken van het huidige systeem. Dit tekort moet worden verholpen door de huidige wetgeving aan te passen.

28.

Vooraf en in het algemeen wenst de EDPS de vraag aan de orde te stellen of het wel noodzakelijk is om in alle fasen van het geneesmiddelenbewakingssysteem (zowel op nationaal niveau als op Europees niveau) gezondheidsgegevens over identificeerbare natuurlijke personen te verwerken.

29.

Zoals hierboven uiteengezet, wordt de patiënt in de ICSR’s niet bij naam genoemd en niet als dusdanig geïdentificeerd. In bepaalde gevallen kan het echter wel mogelijk zijn de patiënt te identificeren door verschillende gegevens in de ICSR’s te combineren. Op grond van de richtsnoeren wordt in bepaalde gevallen een specifiek patiëntnummer toegekend, wat inhoudt dat het systeem als geheel het mogelijk maakt de betrokkene op te sporen. Noch in de verordening noch in de richtlijn staat echter dat de traceerbaarheid van personen deel uitmaakt van de doelstelling van het geneesmiddelenbewakingssysteem.

30.

De EDPS verzoekt de wetgever derhalve te verduidelijken of traceerbaarheid als een doelstelling van de geneesmiddelenbewaking op de diverse verwerkingsniveaus en meer in het bijzonder in het kader van de EudraVigilance-databank moet worden beschouwd.

31.

In dit verband is een vergelijking met het beoogde systeem op het gebied van orgaandonatie en -transplantatie leerzaam. (20) In het kader van de orgaantransplantatie is de traceerbaarheid van een orgaan van donor tot ontvanger van het allergrootste belang, met name in het geval van ernstige ongewenste voorvallen of bijwerkingen.

32.

De EDPS beschikt echter over onvoldoende aanwijzingen dat traceerbaarheid in het kader van de geneesmiddelenbewaking altijd echt nodig is. Geneesmiddelenbewaking heeft betrekking op het melden van bijwerkingen van geneesmiddelen die door een (meestal) onbekend aantal personen worden en zullen worden gebruikt. Er bestaat dus, vooral in de „fase na de vergunningverlening” een minder automatische en individuele samenhang tussen de informatie over de bijwerkingen en de betrokken persoon, dan tussen de informatie over organen en de personen die betrokken zijn bij de transplantatie van een specifiek orgaan. Patiënten die een bepaald geneesmiddel hebben gebruikt en bijwerkingen hebben gemeld hebben er natuurlijk belang bij het resultaat van een mogelijke verdere beoordeling te kennen. Dit houdt echter niet in dat de gerapporteerde informatie in alle gevallen en gedurende het gehele proces van geneesmiddelenbewaking aan die specifieke persoon gekoppeld moet zijn. Vaak kan het voldoende zijn dat de informatie over bijwerkingen aan het geneesmiddel zelf gekoppeld is, zodat de betrokken actoren in staat zijn, eventueel via beroepsbeoefenaren in de gezondheidszorg, de patiënten in het algemeen te informeren over de gevolgen van bepaalde geneesmiddelen die zij innemen of ingenomen hebben.

33.

Mocht traceerbaarheid toch worden overwogen, dan wenst de EDPS te attenderen op de analyse die is vervat in zijn advies over het voorstel van de Commissie voor een richtlijn inzake kwaliteits- en veiligheidsnormen voor menselijke organen, bestemd voor transplantatie. In dat advies heeft hij de samenhang tussen traceerbaarheid, identificeerbaarheid, anonimiteit en vertrouwelijkheid uiteengezet. Identificeerbaarheid is een sleutelterm in de gegevensbeschermingswetgeving. (21) De voorschriften inzake gegevensbescherming zijn van toepassing op gegevens betreffende personen die geïdentificeerd of identificeerbaar zijn (22). Traceerbaarheid van gegevens naar een specifieke persoon kan worden gelijkgesteld met identificeerbaarheid. In de gegevensbeschermingswetgeving is anonimiteit het tegendeel van identificeerbaarheid en dus van traceerbaarheid. Alleen als het onmogelijk is de persoon waarop gegevens betrekking hebben te identificeren (of op te sporen), kunnen deze als anoniem worden beschouwd. Het begrip „anonimiteit” betekent dus iets anders dan in het dagelijkse spraakgebruik, namelijk dat een persoon op basis van de gegevens als dusdanig niet kan worden geïdentificeerd, bijvoorbeeld omdat zijn naam verwijderd is. In dat geval spreekt men veeleer van de vertrouwelijkheid van de gegevens, wat inhoudt dat de gegevens alleen (volledig) toegankelijk zijn voor diegenen die een toegangsmachtiging hebben. Terwijl traceerbaarheid en anonimiteit elkaar bijten, is dat met traceerbaarheid en vertrouwelijkheid niet het geval.

34.

Naast traceerbaarheid kan ook de goede werking van het systeem een argument zijn om ervoor te zorgen dat de patiënten in het gehele proces van geneesmiddelenbewaking identificeerbaar zijn. De EDPS erkent dat informatie die betrekking heeft op een identificeerbare en dus specifiek persoon het voor de betrokken bevoegde autoriteiten (bv. de bevoegde nationale autoriteiten of het EMEA) gemakkelijker maakt om de inhoud van een ICSR te monitoren en te controleren (bv. te controleren op dubbelmeldingen). Hoewel de EDPS inziet dat deze controlemechanismen nodig zijn, is hij er niet van overtuigd dat dit op zichzelf een voldoende reden is om de identificeerbaarheid van de gegevens in alle fasen van het geneesmiddelenbewakingsproces en in het bijzonder in de EudraVigilance-databank te handhaven. Dubbelmeldingen kunnen al op het nationale niveau worden voorkomen door het meldsysteem beter te structureren en te coördineren, bijvoorbeeld door middel van decentralisatie, zoals in de punten 42 en volgende wordt uiteengezet.

35.

De EDPS erkent dat het in specifieke gevallen onmogelijk is om gegevens te anonimiseren, bijvoorbeeld wanneer geneesmiddelen door een zeer kleine groep mensen worden gebruikt. Voor die gevallen kan in bijzondere garanties worden voorzien om de verplichtingen uit hoofde van de gegevensbeschermingswetgeving na te leven.

36.

Concluderend twijfelt de EDPS zeer aan de noodzaak van traceerbaarheid of van het gebruik van gegevens over identificeerbare patiënten in iedere fase van het proces van geneesmiddelenbewaking. De EDPS is zich ervan bewust dat het vermoedelijk onmogelijk is het verwerken van identificeerbare gegevens in iedere fase uit te sluiten, in het bijzonder op nationaal niveau waar de gegevens over bijwerkingen worden vergaard. Op grond van de voorschriften inzake gegevensbescherming mogen gezondheidsgegevens echter alleen worden verwerkt als dat strikt noodzakelijk is. Het gebruik van identificeerbare gegevens moet daarom zoveel mogelijk worden beperkt. Indien het niet nodig wordt geacht, moet het zo vroeg mogelijk worden verhinderd of stopgezet. De EDPS dringt er derhalve bij de wetgever op aan de noodzaak van deze informatie zowel op Europees als op nationaal niveau opnieuw te bekijken.

37.

Indien het echt nodig is om identificeerbare gegevens te verwerken of indien de gegevens niet kunnen worden geanonimiseerd (zie punt 35), moet worden nagegaan of het technisch mogelijk is de betrokkenen onrechtstreeks te identificeren, bijvoorbeeld door middel van „pseudonimisering”. (23)

38.

De EDPS beveelt daarom aan in Verordening (EG) nr. 726/2004 en Richtlijn 2001/83/EG een nieuw artikel op te nemen waarin wordt bepaald dat Verordening (EG) nr. 726/2004 en Richtlijn 2001/83/EG geen afbreuk doen aan de rechten en plichten uit hoofde van Verordening (EG) nr. 45/2001 en Richtlijn 95/46/EG, en met name artikel 10 van Verordening (EG) nr. 45/2001 en artikel 8 van Richtlijn 95/46/EG. Voorts dient te worden bepaald dat identificeerbare gezondheidsgegevens alleen mogen worden verwerkt als dat strikt noodzakelijk is en dat de betrokken partijen de noodzaak ervan in iedere fase van het geneesmiddelenbewakingsproces moeten beoordelen.

39.

Hoewel in de wijzigingsvoorstellen nauwelijks aandacht wordt besteed aan gegevensbescherming, is een grondige analyse van het voorstel toch nuttig omdat zij laat zien dat bepaalde voorgestelde wijzigingen het effect op de gegevensbescherming en derhalve ook het risico voor de gegevensbescherming vergroten.

40.

De algemene bedoeling van de twee voorstellen bestaat erin de samenhang tussen de voorschriften te verbeteren, de verantwoordelijkheden te verduidelijken, het meldsysteem te vereenvoudigen en de EudraVigilance-databank te versterken (24).

41.

De Commissie heeft er duidelijk naar gestreefd de verantwoordelijkheden te verduidelijken want zij heeft voorgesteld om de huidige bepalingen zodanig te wijzigen dat in de wetgeving zelf explicieter wordt aangegeven wie wat moet doen. Klaarheid scheppen omtrent de betrokken actoren en hun respectievelijke verplichtingen inzake de melding van bijwerkingen verbetert de transparantie van het systeem en is dus ook positief vanuit het oogpunt van de gegevensbescherming. Algemeen gesteld dienen patiënten uit de wetgeving te kunnen opmaken wanneer en door wie hun persoonsgegevens zullen worden verwerkt. De voorgestelde verduidelijking van de plichten en verantwoordelijkheden moet echter ook uitdrukkelijk worden gekoppeld aan de plichten en verantwoordelijkheden die voortvloeien uit de gegevensbeschermingswetgeving.

42.

De vereenvoudiging van het meldsysteem dient te worden bewerkstelligd door het beroep op nationale webportalen voor geneesmiddelenveiligheid die gekoppeld zijn aan het Europese webportaal voor geneesmiddelenveiligheid (zie het nieuwe artikel 106 van Richtlijn 2001/83/EG en artikel 26 van Verordening (EG) nr. 726/2004). De nationale webportalen zullen voor het publiek beschikbare formulieren voor het melden van vermoedelijke bijwerkingen door beroepsbeoefenaren in de gezondheidszorg en patiënten bevatten (zie het nieuwe artikel 106, lid 3, van Richtlijn 2001/83/EG en artikel 25 van Verordening (EG) nr. 726/2004). Ook het Europese webportaal zal informatie bevatten over de wijze waarop bijwerkingen kunnen worden gemeld, waaronder standaardformulieren voor meldingen via internet door patiënten en beroepsbeoefenaren in de gezondheidszorg.

43.

De EDPS wenst erop te wijzen dat het gebruik van deze webportalen en standaardformulieren de doeltreffendheid van het meldsysteem weliswaar zal verbeteren, maar dat het ook de risico's voor de gegevensbescherming in het systeem zal vergroten. De EDPS dringt er bij de wetgever op aan om de ontwikkeling van dit meldsysteem onder de gegevensbeschermingswetgeving te brengen. Zoals reeds betoogd, houdt dit in dat bij iedere stap van het meldproces terdege wordt nagegaan of de verwerking van persoonsgegevens noodzakelijk is. Dit dient tot uiting te komen in de wijze waarop de nationale meldprocedure en het doorsturen van informatie aan het EMEA en de EudraVigilance-databank georganiseerd zijn. In ruimere zin beveelt de EDPS ook sterk aan om op nationaal niveau eenvormige formulieren te ontwikkelen teneinde uiteenlopende praktijken en dus ook uiteenlopende niveaus van gegevensbescherming te voorkomen.

44.

Het beoogde systeem lijkt in te houden dat patiënten rechtstreeks melding kunnen doen aan het EMEA en misschien zelfs aan de EudraVigilance-databank. Zoals de EudraVigilance-databank nu werkt, zou dit betekenen dat de informatie in de EMEA-gateway wordt geplaatst waartoe de Commissie en de nationale bevoegde autoriteiten, zoals in de punten 21 en 22 is uitgelegd, volledig toegang hebben.

45.

In het algemeen is de EDPS een groot voorstander van een gedecentraliseerd meldsysteem. De communicatie met het Europese webportaal moet gecoördineerd worden door middel van nationale webportalen die onder de verantwoordelijkheid van de nationale bevoegde autoriteiten vallen. Onrechtstreekse meldingen van patiënten, d.w.z. via beroepsbeoefenaren in de gezondheidszorg (al dan niet met gebruik van webportalen) zijn ook te verkiezen boven rechtstreekse meldingen van patiënten aan de EudraVigilance-databank.

46.

Een systeem van melding via webportalen vraagt in ieder geval om stringente veiligheidsvoorschriften. In dit verband wenst de EDPS te verwijzen naar zijn bovengenoemd advies inzake het wetgevingsvoorstel betreffende de grensoverschrijdende gezondheidszorg, in het bijzonder het gedeelte over de beveiliging van gegevens in de lidstaten en de privacy bij e-gezondheidsapplicaties (25). In dat advies heeft de EDPS er al op gewezen dat privacy en beveiliging deel moeten uitmaken van het opzet en de implementatie van iedere e-gezondheidsapplicatie („privacy by design”). (26) Deze overweging geldt ook ten aanzien van de beoogde webportalen.

47.

De EDPS beveelt derhalve aan in de voorgestelde nieuwe artikelen 25 en 26 van Verordening (EG) nr. 726/2004 en in artikel 106 van Richtlijn 2001/83/EG die betrekking hebben op het opzetten van een meldsysteem voor bijwerkingen door middel van het gebruik van webportalen, de verplichting op te nemen om gedegen privacy- en veiligheidsmaatregelen te nemen. De beginselen van vertrouwelijkheid, integriteit, verantwoordingsplicht en beschikbaarheid van gegevens, kunnen ook worden vermeld als belangrijkste beveiligingsdoelstellingen die in alle lidstaten in dezelfde mate moeten worden gegarandeerd. Daaraan kunnen het gebruik van passende technische normen en middelen, zoals encryptie en de authentificatie van digitale handtekeningen worden toegevoegd.

48.

Het voorgestelde nieuwe artikel 24 van Verordening (EG) nr. 726/2004 heeft betrekking op de EudraVigilance-databank. Uit dit artikel blijkt duidelijk dat de versterking van de databank inhoudt dat de diverse betrokken partijen de databank intensiever gebruiken, zowel wat het verstrekken als het raadplegen van informatie betreft. Twee leden van artikel 24 zijn bijzonder belangrijk.

49.

Artikel 24, lid 2, heeft betrekking op de toegankelijkheid van de databank. Het vervangt het huidige artikel 57, lid 1, onder d), van Verordening (EG) nr. 726/2004, dat al besproken is als de enige huidige bepaling waarin de gegevensbescherming wordt vermeld. De verwijzing naar de gegevensbescherming is gehandhaafd, maar het aantal actoren waarvoor de verplichtingen gelden, is kleiner geworden. Terwijl in de huidige tekst wordt bepaald dat beroepsbeoefenaars in de gezondheidszorg, houders van een vergunning voor het in de handel brengen en het publiek een passende toegang tot de databank hebben, waarbij de bescherming van de persoonsgegevens wordt gewaarborgd, stelt de Commissie nu voor de vergunninghouders uit dit rijtje te schrappen en te bepalen dat de databank toegankelijk is voor de houders van vergunningen voor het in de handel brengen, „voor zover nodig om deze in staat te stellen aan hun geneesmiddelenbewakingsverplichtingen te voldoen” zonder dat op enigerlei wijze wordt verwezen naar gegevensbescherming. De redenen daarvoor zijn niet duidelijk.

50.

Voorts bevat het derde lid van artikel 24 voorschriften betreffende de toegang tot de ICSR’s. Het publiek kan om toegang verzoeken en die wordt binnen negentig dagen gegeven, „tenzij openbaarmaking de anonimiteit van de bij de melding betrokken personen in het gedrang zou brengen”. De EDPEÜTS steunt het idee achter deze bepaling, namelijk dat alleen anonieme gegevens kunnen worden verstrekt. Zoals reeds uiteengezet, wenst hij echter te onderstrepen dat anonimiteit moet worden begrepen als de volslagen onmogelijkheid om de persoon die de bijwerkingen heeft gemeld te identificeren (zie tevens punt 33).

51.

De toegang tot het EudraVigilance-systeem dient in het algemeen opnieuw te worden bekeken in het licht van de voorschriften inzake gegevensbescherming. Dit heeft ook rechtstreekse gevolgen voor het in punt 23 vermelde concept voor een toegangsbeleid dat het EMEA in december 2008 heeft bekendgemaakt. (27) Voor zover de informatie in de EudraVigilance-databank noodzakelijkerwijs betrekking heeft op identificeerbare natuurlijke personen, dient de toegang tot deze gegevens zo beperkt mogelijk te zijn.

52.

De EDPS beveelt derhalve aan in het voorgestelde artikel 24, lid 2, van Verordening (EG) nr. 726/2004 een zin op te nemen waarin wordt bepaald dat de toegang van de EudraVigilance-databank wordt geregeld met inachtneming van de rechten en plichten uit hoofde van de communautaire wetgeving inzake gegevensbescherming.

53.

De EDPS wenst te onderstrepen dat, indien identificeerbare gegevens worden verwerkt, diegene die verantwoordelijk is voor de verwerking de voorschriften van de communautaire wetgeving inzake gegevensbescherming moet naleven. Dit houdt met name in dat de betrokkene behoorlijk wordt geïnformeerd over wat er met zijn gegevens zal geschieden en wie ze zal verwerken en, dat hem alle nodige verdere informatie wordt verstrekt overeenkomstig artikel 11 van Verordening (EG) nr. 45/2001 en/of artikel 10 van Richtlijn 95/46/EG. De betrokkene moet tevens de mogelijkheid hebben zijn rechten op nationaal en op Europees niveau te doen gelden, zoals het recht van toegang (artikel 12 van Richtlijn 95/46/EG en artikel 13 van Verordening (EG) nr. 45/2001), het recht van bezwaar (artikel 18 van Verordening (EG) nr. 45/2001 en artikel 14 van Richtlijn 95/46/EG), enz.

54.

Daarom suggereert de EDPS om aan het voorgestelde artikel 101 van Richtlijn 2001/83/EG een lid toe te voegen waarin wordt bepaald dat de personen wier persoonsgegevens worden verwerkt daarvan overeenkomstig artikel 10 van Richtlijn 95/46/EG naar behoren in kennis moeten worden gesteld.

55.

Het vraagstuk van de toegang van personen tot de hen betreffende informatie in de EudraVigilance-databank is in de huidige en in de voorgestelde wetgeving niet aan de orde. De EDPS wijst erop dat de betrokkene, indien het nodig wordt geacht persoonsgegevens van een patiënt in de databank op te slaan, de mogelijkheid moet hebben zijn recht van toegang tot zijn persoonsgegevens uit te oefenen conform artikel 13 van Verordening (EG) nr. 45/2001. De EDPS doet derhalve de aanbeveling aan het voorgestelde artikel 24 een lid toe te voegen waarin wordt bepaald dat maatregelen zullen worden genomen om ervoor te zorgen dat de betrokkene zijn recht van toegang tot zijn eigen persoonsgegevens, als bepaald in artikel 13 van Verordening (EG) nr. 45/2001, kan uitoefenen.

56.

Volgens de EDPS is een van de minpunten van het huidige wetgevingskader in Verordening (EG) nr. 726/2004 en Richtlijn 2001/83/EG dat de gevolgen van de geneesmiddelenbewaking voor de gegevensbescherming niet terdege zijn beoordeeld. De voorgestelde wijziging van deze beide rechtsinstrumenten moet worden aangegrepen om gegevensbescherming tot een volwaardig en belangrijk onderdeel van de geneesmiddelenbewaking te maken.

57.

Een algemene vraag die daarbij moet worden beantwoord, is de vraag of het wel nodig is in alle fasen van het geneesmiddelenbewakingsproces persoonlijke gezondheidsgegevens te verwerken. Zoals in dit advies is uiteengezet, betwijfelt de EDPS dat sterk en hij dringt er bij de wetgever op aan de noodzaak daarvan in de verschillende fasen van het proces opnieuw te bekijken. Het is duidelijk dat het doel van de geneesmiddelenbewaking vaak kan worden bereikt door het uitwisselen van informatie over bijwerkingen die „anoniem” zijn in de zin van de gegevensbeschermingswetgeving. Dubbelmeldingen kunnen worden voorkomen door al op nationaal niveau goed gestructureerde meldprocedures te hanteren.

58.

De voorgestelde wijzingen beogen het meldsysteem te vereenvoudigen en de EudraVigilance-databank te versterken. De EDPS heeft uitgelegd dat deze wijzigingen een groter risico voor de gegevensbescherming inhouden, vooral wanneer patiënten rechtstreekse melding doen aan het EMEA of aan de EudraVigilance-databank. Derhalve pleit de EDPS met klem voor een decentraal en onrechtstreeks meldsysteem waarbij de communicatie met het Europees webportaal gecoördineerd wordt middels nationale webportalen. Tevens benadrukt de EDPS dat privacy en veiligheid deel moeten uitmaken van het opzet en de implementatie van het meldsysteem door middel van het gebruik van webportalen (ingebouwde privacy).

59.

Tevens onderstreept de EDPS dat, zodra gezondheidsgegevens van geïdentificeerde of identificeerbare natuurlijke personen verwerkt worden, de persoon die verantwoordelijk is voor de verwerking de communautaire gegevensbeschermingswetgeving moet naleven.

60.

Meer in het bijzonder beveelt de EDPS aan:

23.9.2009   

NL

Publicatieblad van de Europese Unie

C 229/27

23.9.2009   

NL

Publicatieblad van de Europese Unie

C 229/28

1.

Barcs–Terezino Polje

2.

Beremend–Baranjsko Petrovo Selo

3.

Berzence–Gola

4.

Drávaszabolcs–Donji Miholjac

5.

Drávaszabolcs (rivier, op verzoek) (1)

6.

Gyékényes–Koprivnica (spoorweg)

7.

Letenye–Goričan I

8.

Letenye–Goričan II (snelweg)

9.

Magyarboly–Beli Manastir (spoorweg)

10.

Mohács (rivier)

11.

Murakeresztúr–Kotoriba (spoorweg)

12.

Udvar–Dubosevica

1.

Bácsalmás–Bajmok (2)

2.

Hercegszántó–Bački Breg

3.

Kelebia–Subotica (spoorweg)

4.

Mohács (rivier)

5.

Röszke–Horgoš (snelweg)

6.

Röszke–Horgoš (spoorweg)

7.

Szeged (rivier) (2)

8.

Tiszasziget–Đjala (Gyála) (2)

9.

Tompa–Kelebija

1.

Ágerdőmajor (Tiborszállás)–Carei (spoorweg)

2.

Ártánd–Borș

3.

Battonya–Turnu

4.

Biharkeresztes–Episcopia Bihorului (spoorweg)

5.

Csengersima–Petea

6.

Gyula–Vărșand

7.

Kiszombor–Cenad

8.

Kötegyán–Salonta (spoorweg)

9.

Létavértes–Săcuieni (3)

10.

Lőkösháza–Curtici (spoorweg)

11.

Méhkerék–Salonta

12.

Nagylak–Nădlac

13.

Nyírábrány–Valea Lui Mihai (spoorweg)

14.

Nyírábrány–Valea Lui Mihai

15.

Vállaj–Urziceni

1.

Barabás–Kosino (4)

2.

Beregsurány–Luzhanka

3.

Eperjeske–Salovka (spoorweg)

4.

Lónya–Dzvinkove (5)

5.

Tiszabecs–Vylok

6.

Záhony–Čop (spoorweg)

7.

Záhony–Čop

1.

Budapest Nemzetközi Repülőtér

2.

Debrecen Repülőtér

3.

Sármellék

1.

Békéscsaba

2.

Budaörs

3.

Fertőszentmiklós

4.

Győr–Pér

5.

Kecskemét

6.

Nyíregyháza

7.

Pápa

8.

Pécs–Pogány

9.

Siófok–Balatonkiliti

10.

Szeged

11.

Szolnok

23.9.2009   

NL

Publicatieblad van de Europese Unie

C 229/30