1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/1

1.

Op 20 september 2010 heeft de Europese Commissie een voorstel aangenomen voor een verordening over het op de markt brengen en het gebruik van precursoren van explosieven, (3) („het voorstel”). Op 11 november 2010 is het voorstel, zoals aangenomen door de Commissie, naar de EDPS gestuurd voor advies, in overeenstemming met artikel 28, lid 2, van Verordening (EG) nr. 45/2001. De EDPS is ingenomen met het feit dat hij door de Commissie is geraadpleegd en dat in de overwegingen van het voorstel melding wordt gemaakt van deze raadpleging.

2.

De voorgestelde maatregelen zijn vooral bedoeld om het risico van aanslagen van terroristen en andere criminelen met zelfgemaakte explosieven te verkleinen. Daartoe stelt het voorstel beperkingen aan de beschikbaarheid voor het publiek van bepaalde chemische stoffen die kunnen worden misbruikt als precursor van zelfgemaakte explosieven. Daarnaast voorziet het voorstel in een meldplicht voor verdachte transacties en diefstallen, waardoor de verkoop van dergelijke stoffen strenger wordt gecontroleerd.

3.

In het onderhavige advies vestigt de EDPS de aandacht van de wetgevers op een aantal relevante kwesties in verband met gegevensbescherming en doet hij aanbevelingen die moeten verzekeren dat het grondrecht op de bescherming van persoonsgegevens is gegarandeerd.

4.

Het voorstel behandelt het probleem van misbruik van bepaalde chemische stoffen die op ruime schaal op de markt voor het publiek beschikbaar zijn als precursoren van zelfgemaakte explosieven. De artikelen 4 en 5 van het voorstel regelen het verbod op de verkoop van deze stoffen aan het publiek, dat wordt gecombineerd met een vergunningsregeling en een registratieplicht voor alle transacties waarvoor een vergunning is verleend. Artikel 6 schrijft voor dat marktdeelnemers verdachte transacties en diefstallen moeten melden. Artikel 7, tot slot, gaat in op de noodzaak van gegevensbescherming.

5.

De verkoop aan particulieren van bepaalde chemische stoffen boven vastgelegde concentratiegrenswaarden wordt verboden. De verkoop van stoffen in hogere concentraties dan de vastgelegde grenswaarde wordt alleen toegestaan voor gebruikers die met schriftelijk bewijs kunnen aantonen dat zij de stof voor een rechtmatig doel nodig hebben.

6.

Het toepassingsgebied van dit verbod wordt beperkt tot een lijst van chemische stoffen en mengsels van deze stoffen (zie bijlage I van het voorstel) en de verkoop ervan aan het publiek. De beperkingen gelden niet voor beroepsmatig gebruik of voor transacties tussen bedrijven. Voorts wordt de algemene beschikbaarheid van de stoffen op de lijst alleen beperkt voor zover de stoffen een bepaald concentratieniveau overschrijden. Zij blijven echter verkrijgbaar na overleg van een vergunning van een overheidsinstantie waarmee het rechtmatig gebruik ervan wordt gestaafd. Een uitzondering wordt gemaakt voor landbouwers, die ook zonder vergunning ammoniumnitraat mogen kopen voor gebruik als meststof, ongeacht de concentratie ervan.

7.

Een vergunning is ook verplicht wanneer een particulier de op de lijst vermelde stoffen in de Europese Unie wil invoeren.

8.

Een marktdeelnemer die een stof of mengsel aanbiedt aan een lid van het publiek dat over een vergunning beschikt, moet de vergunning controleren en de transactie registreren.

9.

Elke lidstaat is gehouden om regels vast te stellen voor de afgifte van bedoelde vergunning. De bevoegde autoriteit van de lidstaat moet de vergunning weigeren wanneer er redelijke gronden zijn om te twijfelen aan de rechtmatigheid van het beoogde gebruik. Afgegeven vergunningen zijn geldig in alle lidstaten. De Commissie kan richtsnoeren opstellen over de technische details van de vergunningen, teneinde bij te dragen aan de wederzijdse erkenning ervan.

10.

Voor een groter scala van chemische probleemstoffen (naast de stoffen in bijlage I, waarvoor al een vergunningsplicht geldt, ook de in bijlage II genoemde stoffen) zal gelden dat verdachte transacties en diefstal moeten worden gemeld.

11.

De voorgestelde verordening schrijft voor dat elke lidstaat een nationaal contactpunt aanwijst (met een duidelijk aangegeven telefoonnummer en e-mailadres) voor het melden van verdachte transacties en diefstallen. Marktdeelnemers zijn verplicht om verdachte transacties en diefstallen onmiddellijk te melden, zo mogelijk met vermelding van de identiteit van de klant.

12.

De Commissie stelt richtsnoeren op om marktdeelnemers te helpen bij het herkennen en melden van verdachte transacties. Deze richtsnoeren zullen regelmatig worden geactualiseerd. De richtsnoeren zullen ook een regelmatig bijgewerkte lijst bevatten van aanvullende stoffen die noch in bijlage I noch in bijlage II zijn opgenomen en ten aanzien waarvan wordt aangemoedigd om verdachte transacties en diefstal vrijwillig te melden.

13.

Ingevolge overweging 11 en artikel 7 moet het verwerken van persoonsgegevens in het kader van de toepassing van de verordening steeds gebeuren overeenkomstig de EU-wetgeving inzake gegevensbescherming, in het bijzonder Richtlijn 95/46/EG (4) en de nationale wetten waarmee deze richtlijn wordt omgezet. Het voorstel bevat geen verdere bepalingen inzake gegevensbescherming.

14.

De meldplicht voor verdachte transacties en diefstallen en de vergunnings- en registratieregeling waarin de verordening voorziet, maken het noodzakelijk om persoonsgegevens te verwerken. Zowel de meldplicht als de vergunnings- en registratieregeling brengen in meer of mindere mate met zich mee dat inbreuk wordt gepleegd op de persoonlijke levenssfeer van mensen en op het recht op bescherming van persoonsgegevens, en vereisen dus adequate waarborgen.

15.

De EDPS is ingenomen met het feit dat het voorstel een afzonderlijke bepaling inzake gegevensbescherming (artikel 7) bevat. Eén enkele en daarenboven zeer algemene bepaling komt echter onvoldoende tegemoet aan de zorgen met betrekking tot gegevensbescherming die de voorgestelde maatregelen oproepen. Daarnaast zijn de andere relevante artikelen van het voorstel (artikelen 4, 5 en 6) ook te summier in hun beschrijving van de voorziene gegevensverwerkingshandelingen.

16.

De voorgestelde verordening schrijft ten aanzien van vergunningverlening voor dat marktdeelnemers de transacties moeten registreren waarvoor een vergunning is verleend, zonder precies te vermelden welke persoonsgegevens geregistreerd moeten worden, hoe lang ze bewaard moeten worden en aan wie en onder welke voorwaarden ze openbaar kunnen worden gemaakt. Evenmin is aangegeven welke gegevens bij het afhandelen van vergunningaanvragen worden verzameld.

17.

Wat betreft de eis om verdachte transacties en diefstallen te melden, voert het voorstel een meldplicht in, zonder echter precies aan te geven wanneer sprake is van een „verdachte transactie”, welke persoonsgegevens moeten worden gemeld, hoe lang de gemelde gegevens moeten worden bewaard en aan wie en onder welke voorwaarden ze openbaar kunnen worden gemaakt. Het voorstel verschaft evenmin nadere bijzonderheden over de „nationale contactpunten” die moeten worden aangewezen, of over een eventuele nationale databank die deze contactpunten kunnen opzetten of een databank die eventueel op EU-niveau kan worden opgezet.

18.

Uit het oogpunt van gegevensbescherming is het verzamelen van gegevens over verdachte transacties het meest gevoelige onderdeel van het voorstel. De relevante bepalingen moeten worden verduidelijkt, zodat de gegevensverwerking proportioneel blijft en misbruik wordt voorkomen. Om dat te bereiken, moet duidelijk worden aangegeven wat de voorwaarden voor gegevensverwerking zijn en moeten adequate waarborgen worden toegepast.

19.

Het is belangrijk dat gegevens niet voor andere doeleinden worden gebruikt dan het bestrijden van terrorisme (en andere misdrijven die gepaard gaan met misbruik van chemische stoffen voor de vervaardiging van zelfgemaakte explosieven). Ook zouden gegevens niet voor langere tijd mogen worden bewaard, zeker niet wanneer het aantal potentiële of feitelijke ontvangers groot is en/of de gegevens voor datamining worden gebruikt. Dat is des te belangrijker in gevallen waarin de oorspronkelijke verdenking ongegrond blijkt. In die gevallen moet er een specifieke rechtvaardiging zijn om gegevens langer te mogen bewaren. Als voorbeeld kan de uitspraak van het Europees Hof voor de Rechten van de Mens in S. en Marper v. het Verenigd Koninkrijk (2008) (5) dienen. Het Hof oordeelde in deze zaak dat het langdurig bewaren van het DNA van personen die niet zijn veroordeeld voor een misdrijf volgens artikel 8 van het Europees Verdrag voor de Rechten van de Mens een schending van hun recht op privacy vormt.

20.

Om deze redenen doet de EDPS de aanbeveling om de artikelen 5, 6 en 7 van het voorstel uit te breiden met aanvullende en meer specifieke bepalingen inzake gegevensbescherming, teneinde naar behoren tegemoet te komen aan bezwaren op dit terrein. Hieronder worden enkele concrete aanbevelingen gedaan.

21.

Daarnaast moet de mogelijkheid worden overwogen om op basis van de artikelen 10, 11 en 12 van het voorstel specifieke en meer gedetailleerde bepalingen voor de aanpak van andere praktische problemen met betrekking tot gegevensbescherming in een uitvoeringsbesluit van de Commissie neer te leggen.

22.

Tot slot beveelt de EDPS de Commissie aan om in haar richtsnoeren betreffende respectievelijk verdachte transacties en de technische details van vergunningen, aanvullende specifieke aanwijzingen voor gegevensverwerking en -bescherming op te nemen. Beide richtsnoeren, alsook een eventueel uitvoeringsbesluit op het terrein van gegevensbescherming, moeten worden aangenomen na raadpleging van de EDPS en — wanneer implementatie op nationaal niveau aan de orde is — de Groep gegevensbescherming van artikel 29. De verordening zelf zou hier duidelijk in moeten voorzien en een lijst moeten bevatten van de belangrijkste vraagstukken die in de richtsnoeren/het uitvoeringsbesluit aan de orde moeten komen.

23.

De EDPS doet de aanbeveling om in artikel 5 van de voorgestelde verordening een maximale bewaartijd aan te geven (prima facie niet langer dan twee jaar) alsook de categorieën van persoonsgegevens die moeten worden geregistreerd (niet meer dan naam, vergunningnummer en gekochte artikelen). Deze aanbeveling vloeit voort uit het noodzaak- en proportionaliteitsbeginsel: het verzamelen en bewaren van persoonsgegevens moet worden beperkt tot wat strikt noodzakelijk is voor het bereiken van de gestelde doelen (zie artikel 6, onder c) en e), van Richtlijn 95/46/EG). Wanneer het invullen van dergelijke bijzonderheden wordt overgelaten aan de nationale wetgever of aan gewoonte, zal dat in de praktijk onnodige onzekerheid en ongelijke behandeling van vergelijkbare gevallen tot gevolg hebben.

24.

Voorts zou artikel 5 van de verordening ook een uitdrukkelijk verbod moeten stellen op het verzamelen en verwerken in het kader van de vergunningprocedure van „speciale gegevenscategorieën” (zoals gedefinieerd in artikel 8 van Richtlijn 95/46/EG), zoals persoonsgegevens over ras of etnische herkomst, politieke opvattingen of godsdienstige of levensbeschouwelijke overtuiging.

25.

Dit zou aanvragers de zekerheid moeten geven dat zij niet worden gediscrimineerd op grond van bijvoorbeeld hun ras, nationaliteit of politieke of godsdienstige overtuiging. De EDPS benadrukt in dit verband dat het verzekeren van een hoge mate van gegevensbescherming ook bijdraagt aan het bestrijden van racisme, vreemdelingenhaat en discriminatie, wat weer bijdraagt aan het voorkomen van radicalisering en rekrutering door terroristische organisaties.

26.

De voorgestelde verordening bepaalt dat een vergunningaanvraag moet worden afgewezen als er redelijke gronden zijn om te twijfelen aan de rechtmatigheid van het beoogde gebruik. In verband hiermee zou het nuttig zijn als in de richtsnoeren of het uitvoeringsbesluit precies werd aangegeven welke gegevens de vergunningsinstantie in verband met een vergunningaanvraag mag verzamelen.

27.

In de richtsnoeren of het uitvoeringsbesluit moet worden aangegeven dat de desbetreffende gegevens alleen openbaar mogen worden gemaakt aan bevoegde handhavingsinstanties die onderzoek doen naar terroristische activiteiten of naar ander gebruik van precursoren van explosieven waarbij het vermoeden van een misdrijf bestaat. De gegevens mogen niet voor andere doeleinden worden gebruikt (zie artikel 6, onder b), van Richtlijn 95/46/EG).

28.

De EDPS doet verder de aanbeveling om in de richtsnoeren of het uitvoeringsbesluit aan te geven dat de vergunningsinstantie — die in de beste positie verkeert om dat te doen — de vergunninghouders ervan in kennis moet stellen dat hun aankopen worden geregistreerd en, wanneer ze „verdacht” zijn, aan de bevoegde autoriteiten worden gemeld (zie de artikelen 10 en 11 van Richtlijn 95/46/EG).

29.

De EDPS beveelt aan om in het voorstel duidelijkheid te verschaffen over de functie en het karakter van de nationale contactpunten. De in punt 6.33 genoemde „effectbeoordeling” duidt erop dat deze contactpunten niet alleen „rechtshandhavingsinstanties” maar ook „verenigingen” kunnen zijn. De wetgevingsdocumenten bevatten geen verdere informatie hierover. Dit zou met name moeten worden verduidelijkt in artikel 6, lid 2, van het voorstel. De gegevens in kwestie zouden in beginsel moeten worden bewaard door handhavingsinstanties. Als dat niet het geval zal zijn, moet dat heel duidelijk worden gemotiveerd.

30.

Bovendien moet in artikel 6 van het voorstel precies worden aangegeven welke persoonsgegevens moeten worden geregistreerd (niet meer dan naam, vergunningnummer, gekochte artikelen en reden van de verdenking). Deze aanbeveling vloeit voort uit het noodzaak- en proportionaliteitsbeginsel: het verzamelen van persoonsgegevens moet worden beperkt tot wat strikt noodzakelijk is voor het bereiken van de gestelde doelen (zie artikel 6, onder c), van Richtlijn 95/46/EG). In dit verband gelden soortgelijke overwegingen als in punt 23.

31.

Artikel 6 van het voorstel zou — in het kader van de meldingsprocedure — ook een uitdrukkelijk verbod moeten bevatten op het verzamelen en verwerken van „speciale gegevenscategorieën” (zoals gedefinieerd in artikel 8 van Richtlijn 95/46/EG), zoals persoonsgegevens over ras of etnische herkomst, politieke opvattingen of godsdienstige of levensbeschouwelijke overtuiging (zie ook de punten 24 en 25).

32.

Tot slot zou artikel 6 een maximale bewaartijd moeten stellen, waarbij rekening dient te worden gehouden met het doel waarvoor de gegevens worden bewaard. De EDPS beveelt aan om alle gemelde verdachte transacties en diefstallen na een bepaalde periode uit de databank te verwijderen (prima facie uiterlijk twee jaar na de datum van melding), tenzij een verdachte transactie of diefstal heeft geleid tot een concreet onderzoek en dat onderzoek nog steeds loopt. Mede hierdoor wordt voorkomen dat in gevallen waarin de verdenking niet hard kan worden gemaakt (of er zelfs geen onderzoek naar is gedaan), onschuldige personen onnodig lang op een „zwarte lijst” blijven staan of „verdacht” blijven (zie artikel 6, onder e), van Richtlijn 95/46/EG). Te grote verschillen in bewaartermijnen tussen de lidstaten zouden in ieder geval moeten worden voorkomen.

33.

Deze beperking is ook nodig op grond van het beginsel van de kwaliteit van gegevens (zie artikel 6, onder d), van Richtlijn 95/46/EG), alsook op grond van andere belangrijke rechtsbeginselen, zoals het vermoeden van onschuld. Dit resulteert niet alleen in een hoger niveau van bescherming voor de personen in kwestie, maar biedt handhavingsdiensten tegelijkertijd de mogelijkheid om zich meer te concentreren op de ernstigere zaken en zaken waarbij de kans groter is dat de verdenking uiteindelijk wordt bevestigd.

34.

In het voorstel wordt niet aangegeven wat voor soort transacties mogelijk „verdacht” zijn. Wel bepaalt artikel 6, lid 6, onder a, dat de Commissie richtsnoeren vaststelt en bijwerkt en informatie verschaft „voor het onderkennen en aangeven van verdachte transacties”.

35.

De EDPS verwelkomt het voorstel dat de Commissie richtsnoeren moet opstellen. Deze richtsnoeren moeten voldoende duidelijk en concreet zijn en voorkomen dat het begrip „verdachte transactie” te ruim wordt uitgelegd, zodat de overdracht van persoonsgegevens aan handhavingsinstanties zo beperkt mogelijk blijft en arbitraire of discriminerende praktijken op grond van bijvoorbeeld ras, nationaliteit of politieke of godsdienstige overtuiging, worden voorkomen.

36.

In de richtsnoeren of de uitvoeringsvoorschriften moet verder worden aangegeven dat de gegevens veilig bewaard en vertrouwelijk behandeld moeten worden en alleen openbaar mogen worden gemaakt aan bevoegde handhavingsinstanties die onderzoek doen naar terroristische activiteiten of ander gebruik van precursoren van explosieven waarbij het vermoeden van een misdrijf bestaat. De gegevens mogen niet voor andere doeleinden worden gebruikt, bijvoorbeeld voor onderzoek naar niet gerelateerde zaken door belasting- of immigratiediensten.

37.

In de richtsnoeren of de uitvoeringsvoorschriften moet ook worden aangegeven wie toegang hebben tot de gegevens die door de nationale contactpunten zijn ontvangen (en worden bewaard). Toegang/openbaarmaking zou moeten worden beperkt tot personen voor wie een noodzaak van kennisneming geldt. Ook moet worden overwogen om een lijst van mogelijke ontvangers te publiceren.

38.

De richtsnoeren/het uitvoeringsbesluit dienen te voorzien in toegangsrechten voor datasubjecten, waaronder begrepen het recht om de eigen gegevens waar nodig te corrigeren of uit de databank te laten verwijderen (zie de artikelen 12-14 van Richtlijn 95/46/EG). Het bestaan van deze rechten, of een uitzondering als bedoeld in artikel 13, kan belangrijke implicaties hebben. Zo heeft een datasubject volgens de algemene voorschriften ook het recht om te weten of zijn of haar transactie als „verdacht” is aangemeld. De uitoefening van dit recht zou een verkoper van precursoren van explosieven ervan kunnen weerhouden een verdachte transactie te melden. Eventuele uitzonderingen op deze rechten moeten daarom duidelijk worden gemotiveerd en omschreven, bij voorkeur in de verordening, maar in ieder geval in de richtsnoeren/het uitvoeringsbesluit. Ook moet worden voorzien in een beroepsmogelijkheid, met de betrokkenheid van de nationale contactpunten.

39.

De EDPS is ingenomen met het feit dat het voorstel in artikel 16 voorziet in een evaluatie van de verordening (vijf jaar na aanneming). De EDPS is van mening dat bij elk nieuw instrument regelmatig moet worden beoordeeld of het nog steeds een effectief middel vormt voor het bestrijden van terrorisme (en andere criminele activiteiten). De EDPS doet daarom de aanbeveling om in het voorstel uitdrukkelijk op te nemen dat bij een dergelijke evaluatie ook moet worden gekeken naar de effectiviteit van de verordening, alsook naar de gevolgen voor de grondrechten, waaronder het recht op de bescherming van persoonsgegevens.

40.

De EDPS beveelt aan om het voorstel uit te breiden met meer specifieke bepalingen inzake gegevensbescherming, teneinde naar behoren tegemoet te komen aan bezwaren op dit terrein. Verder zou de Commissie ook in haar richtsnoeren betreffende verdachte transacties en technische details van vergunningen — en in een eventueel uitvoeringsbesluit betreffende gegevensbescherming — aanvullende specifieke aanwijzingen voor gegevensverwerking en -bescherming moeten opnemen. De richtsnoeren (en een eventueel uitvoeringsbesluit) moeten worden aangenomen na raadpleging van de EDPS en, voor zover van toepassing, de Groep gegevensbescherming van artikel 29, bestaande uit vertegenwoordigers van nationale autoriteiten belast met gegevensbescherming.

41.

In artikel 5 van de voorgestelde verordening zou voor geregistreerde transacties een maximale bewaartijd moeten worden aangegeven (prima facie niet langer dan twee jaar), alsook de categorieën van persoonsgegevens die moeten worden geregistreerd (niet meer dan naam, vergunningnummer en gekochte waren). Het verwerken van speciale gegevenscategorieën moet uitdrukkelijk worden verboden.

42.

In artikel 6 moet duidelijkheid worden verschaft over de functie en het karakter van de contactpunten. Ook in dit artikel zou een maximale bewaartijd moeten worden aangegeven voor de gegevens die in verband met verdachte transacties worden gemeld (prima facie niet langer dan twee jaar), alsook de persoonsgegevens die moeten worden geregistreerd (niet meer dan naam, vergunningnummer, gekochte waren en reden van de verdenking). Het verwerken van speciale gegevenscategorieën moet uitdrukkelijk worden verboden.

43.

Voorts zouden de richtsnoeren/het uitvoeringsbesluit moeten aangeven welke gegevens de vergunningsinstanties in verband met een vergunningaanvraag mogen verzamelen. In de richtsnoeren/het uitvoeringsbesluit zouden ook duidelijke beperkingen moeten worden gesteld aan het doel waarvoor de gegevens kunnen worden gebruikt. Soortgelijke bepalingen zouden ook moeten gelden voor gegevens over verdachte transacties. In de richtsnoeren/het uitvoeringsbesluit moet worden aangegeven dat de vergunningsinstantie vergunninghouders moet informeren dat hun aankopen worden geregistreerd en, wanneer deze „verdacht” zijn, aan de bevoegde autoriteiten worden gemeld. Ook moet daarin worden aangegeven wie toegang hebben tot de gegevens die door de nationale contactpunten zijn ontvangen (en worden bewaard). Toegang/openbaarmaking moet worden beperkt tot personen voor wie een noodzaak van kennisneming geldt. Tot slot zouden zij moeten voorzien in passende toegangsrechten voor datasubjecten en eventuele uitzonderingen hierop moeten duidelijk worden omschreven en gemotiveerd.

44.

De voorziene maatregelen moeten regelmatig op hun effectiviteit worden beoordeeld, waarbij tegelijkertijd naar de gevolgen voor de persoonlijke levenssfeer moet worden gekeken.

1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/6

1.

Op 22 november 2010 heeft de Commissie een Mededeling aangenomen met de titel „EU-interneveiligheidsstrategie in actie: vijf stappen voor een veiliger Europa” (hierna „Mededeling” genoemd) (3). Deze Mededeling is naar de EDPS gestuurd voor raadpleging.

2.

Het verheugt de EDPS dat de Commissie hem heeft geraadpleegd. Reeds voor de aanneming van de Mededeling heeft de EDPS informele opmerkingen gegeven over de ontwerptekst. Een deel van zijn opmerkingen zijn in acht genomen in de definitieve versie van de Mededeling.

3.

De EU-interneveiligheidsstrategie, waarop de Mededeling betrekking heeft, is goedgekeurd op 23 februari 2010 onder het Spaanse voorzitterschap (4). De strategie beschrijft een Europees veiligheidsmodel, dat onder andere maatregelen op het gebied van rechtshandhaving, justitiële samenwerking, grensbeheer en civiele bescherming omvat, met het nodige respect voor de gedeelde Europese waarden, zoals de fundamentele rechten. De belangrijkste doelstellingen zijn:

4.

Het doel van de EU-interneveiligheidsstrategie is iets te doen aan de meest dringende bedreigingen en uitdagingen voor de veiligheid van de EU, zoals zware en georganiseerde misdaad, terrorisme en cybercriminaliteit, het beheer van de buitengrenzen van de EU, en te zorgen voor meer veerkracht bij natuurrampen en bij door de mens veroorzaakte calamiteiten. In de strategie zijn algemene richtsnoeren, beginselen en aanwijzingen in verband met de reactie van de EU op deze problemen vastgelegd en wordt de Commissie verzocht om tijdgebonden maatregelen voor te stellen voor de tenuitvoerlegging van de strategie.

5.

Verder is het belangrijk in deze context te verwijzen naar de op 8-9 november 2010 aangenomen conclusies van de Raad Justitie en Binnenlandse Zaken over de totstandbrenging en uitvoering van een EU-beleidscyclus voor georganiseerde en zware internationale criminaliteit (5) (hierna „Conclusies van november 2010” genoemd). Dit document volgt de conclusie van de Raad over de architectuur van de interne veiligheid van 2006 (6), en verzoekt de Raad en de Commissie om een uitvoerige EU-interneveiligheidsstrategie te definiëren op basis van de gemeenschappelijke waarden en beginselen van de EU, zoals bevestigd in het Handvest van de grondrechten van de EU (7).

6.

Onder de aanwijzingen en doelstellingen die de tenuitvoerlegging van de EU-interneveiligheidsstrategie zouden moeten voortdrijven, wordt in de Conclusies van november 2010 verwezen naar de reflectie over een proactieve en op inlichtingen gebaseerde benadering, nauwe samenwerking tussen de organen van de Unie en een verdere verbetering van hun informatie-uitwisseling, de bewustmaking van de burgers van het belang van het werk van de Unie voor hun bescherming. In de Conclusies wordt de Commissie bovendien verzocht om samen met de deskundigen van de betrokken agentschappen/bureaus en lidstaten een strategisch meerjarenplan (MASP) voor elke prioriteit uit te werken, waarin de meest dienstige strategie voor de aanpak van het probleem wordt geformuleerd. De Commissie wordt verder verzocht om via overleg met de deskundigen van de lidstaten en de EU-agentschappen/bureaus een onafhankelijk mechanisme op poten te zetten dat de uitvoering van het MASP moet evalueren. De EDPS zal deze thema’s later in dit advies behandelen, aangezien deze nauw verband houden met of een aanzienlijke invloed hebben op de bescherming van persoonsgegevens, de persoonlijke levenssfeer en andere gerelateerde fundamentele rechten en vrijheden.

7.

In de Mededeling worden vijf strategische doelstellingen voorgesteld die allemaal verband houden met de persoonlijke levenssfeer en gegevensbescherming:

8.

De in de Mededeling voorgestelde EU-interneveiligheidsstrategie in actie omvat een gedeelde agenda voor de lidstaten, het Europees Parlement, de Commissie, de Raad, EU-organen en andere partijen, waaronder het maatschappelijk middenveld en lokale autoriteiten, en beschrijft hoe ze allemaal moeten samenwerken in de volgende vier jaar om de doelstellingen van de EU-interneveiligheidsstrategie te realiseren.

9.

De Mededeling bouwt voort op het Verdrag van Lissabon en erkent de richtsnoeren van het programma van Stockholm (en het bijbehorende actieplan) waarin in hoofdstuk 4.1 de noodzaak van een uitvoerige EU-interneveiligheidsstrategie op basis van respect voor de fundamentele rechten, internationale bescherming en de rechtsstaat wordt benadrukt. Bovendien bepaalt het programma van Stockholm dat het ontwikkelen, monitoren en invoeren van de interneveiligheidsstrategie één van de prioritaire taken moet worden van het Permanent Comité binnenlandse veiligheid (COSI) dat is opgericht krachtens artikel 71 VWEU. Voor een doeltreffende handhaving van de EU-interneveiligheidsstrategie moet deze ook veiligheidsaspecten omvatten van een geïntegreerd grensbeheer en, waar nodig, justitiële samenwerking in strafzaken indien van belang voor de operationele samenwerking op het gebied inzake interne veiligheid. Het is in deze context ook belangrijk erop te wijzen dat het programma van Stockholm vraagt om een geïntegreerde benadering van de EU-interneveiligheidsstrategie, die ook rekening houdt met de door de EU ontwikkelde externeveiligheidsstrategie en andere EU-beleidsgebieden, met name degene die betrekking hebben op de interne markt.

10.

De Mededeling heeft betrekking op verschillende beleidsterreinen die deel uitmaken van of invloed hebben op de „interne veiligheid” van de Europese Unie in ruime zin.

11.

Het is niet de bedoeling in dit advies alle beleidsterreinen en specifieke thema’s die aan bod komen in de Mededeling te analyseren, maar wel om:

12.

De EDPS zal dat doen door met name de verbanden tussen de EU-interneveiligheids- en de informatiebeheerstrategie en het werk inzake het alomvattende kader voor gegevensbescherming te beklemtonen. Bovendien zal de EDPS verwijzen naar concepten als beste beschikbare technieken en „privacy by design”, beoordeling van het effect op privacy- en gegevensbescherming en rechten van de betrokkenen, die een directe invloed hebben op het ontwerp en de tenuitvoerlegging van de EU-interneveiligheidsstrategie. Het advies bevat ook opmerkingen betreffende een aantal geselecteerde beleidsterreinen zoals geïntegreerd grensbeheer, waaronder EUROSUR en de verwerking van persoonsgegevens door FRONTEX, alsmede andere gebieden zoals cyberspace en TFTP.

13.

Momenteel worden er op basis van het Verdrag van Lissabon en het programma van Stockholm op EU-niveau verschillende EU-strategieën besproken en voorgesteld die de gegevensbescherming direct of indirect beïnvloeden. De EU-interneveiligheidsstrategie is hier één van en houdt nauw verband met andere strategieën (die al behandeld zijn in recente mededelingen van de Commissie of die gepland zijn voor de nabije toekomst) zoals de EU-informatiebeheersstrategie en het Europees model voor informatie-uitwisseling, de strategie voor de tenuitvoerlegging van het Handvest van de grondrechten van de Europese Unie, het alomvattend kader voor gegevensbescherming en het EU-beleid inzake terrorismebestrijding. In dit advies besteedt de EDPS bijzondere aandacht aan de verbanden met de informatiebeheersstrategie en het alomvattend kader voor gegevensbescherming op basis van artikel 16 VWEU, die de duidelijkste beleidsverbanden hebben met de EU-interneveiligheidsstrategie uit het oogpunt van de gegevensbescherming.

14.

Al deze strategieën vormen een onoverzichtelijke „lappendeken” van onderling verweven beleidslijnen, programma’s en actieplannen, zodat een alomvattende en geïntegreerde aanpak op EU-niveau noodzakelijk is.

15.

Meer algemeen zou deze benadering van „verbanden leggen tussen de strategieën”, indien toegepast bij toekomstige acties, laten zien dat er een visie is op EU-niveau wanneer het gaat om EU-strategieën. Ook zou het laten zien dat deze strategieën en de onlangs goedgekeurde mededelingen die daarop betrekking hebben, nauw op elkaar aansluiten, aangezien ze allemaal het programma van Stockholm als gemeenschappelijk referentiepunt hebben. Dit zou ook leiden tot positieve synergie-effecten tussen verschillende beleidsgebieden binnen de ruimte van vrijheid, veiligheid en rechtvaardigheid en zou eventueel dubbel werk en inspanningen op dit gebied voorkomen. Even belangrijk is dat deze benadering zou leiden tot een doeltreffendere en coherentere toepassing van gegevensbeschermingsregels in de context van alle onderling verbonden strategieën.

16.

De EDPS beklemtoont dat een van de pijlers van de EU-interneveiligheidsstrategie een efficiënt informatiebeheer in de Europese Unie is, waarbij de informatie-uitwisseling gerechtvaardigd moet zijn op grond van de beginselen van noodzakelijkheid en evenredigheid.

17.

Bovendien, zoals vermeld in het advies van de EDPS over de Mededeling over informatiebeheer (8), benadrukt de EDPS dat nieuwe wetgevingsmaatregelen die de opslag en uitwisseling van persoonsgegevens toestaan, alleen mogen worden voorgesteld als de noodzaak daarvan concreet is aangetoond (9). Deze wettelijke vereiste moet worden omgezet in een proactieve beleidsbenadering bij de tenuitvoerlegging van de EU-interneveiligheidsstrategie. De noodzaak van een alomvattende benadering van de EU-interneveiligheidsstrategie leidt onvermijdelijk ook tot de noodzaak alle bestaande middelen en instrumenten op het gebied van interne veiligheid te evalueren voordat er nieuwe worden voorgesteld.

18.

In dit verband stelt de EDPS ook voor frequenter gebruik te maken van clausules die voorzien in een periodieke evaluatie van de bestaande instrumenten, zoals opgenomen in de richtlijn gegevensbewaring die op dit moment wordt beoordeeld. (10)

19.

De Mededeling verwijst naar de bescherming van persoonsgegevens in de paragraaf „Veiligheidsbeleid op basis van gemeenschappelijke waarden”, waar wordt gesteld dat de instrumenten en maatregelen ter uitvoering van de interneveiligheidsstrategie moeten worden gebaseerd op gemeenschappelijke waarden als de rechtsstaat en eerbiediging van de grondrechten zoals verankerd in het Handvest van de grondrechten van de Europese Unie. Verder stelt de Mededeling: „Waar informatie-uitwisseling doeltreffende rechtshandhaving in de EU mogelijk maakt, moeten we ook de persoonlijke levenssfeer beschermen en het grondrecht op bescherming van persoonsgegevens waarborgen”.

20.

Deze uitspraak verheugt de EDPS. Op zich volstaat ze echter niet om de kwestie van de gegevensbescherming in de EU-interneveiligheidsstrategie af te handelen. Ook in de Mededeling wordt niet dieper ingegaan op gegevensbescherming (11) of uitgelegd hoe de inachtneming van de persoonlijke levenssfeer en de bescherming van persoonsgegevens in de praktijk zal worden verzekerd in de acties voor de invoering van de EU-interneveiligheidsstrategie.

21.

De EDPS is van mening dat de EU-interneveiligheidsstrategie in actie minstens als één van haar doelstellingen een bescherming in ruime zin zou moeten hebben die zorgt voor het juiste evenwicht tussen enerzijds de bescherming van burgers tegen de bedreigingen en anderzijds de bescherming van de persoonlijke levenssfeer en het recht op de bescherming van persoonsgegevens. Met andere woorden: er moet evenveel belang worden gehecht aan veiligheid als aan privacy bij de ontwikkeling van de EU-interneveiligheidsstrategie die is afgestemd op het programma van Stockholm en de conclusies van de Raad.

22.

Kortom, het scheppen van veiligheid en de eerbiediging van de privacy en gegevensbescherming zouden moeten worden vermeld als een doelstelling van de EU-interneveiligheidsstrategie. Dit moet tot uiting komen in alle maatregelen die de lidstaten en EU-instellingen nemen om de strategie ten uitvoer te leggen.

23.

In deze context verwijst de EDPS naar Mededeling (2010) 609 over een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie. (12) De EDPS zal binnenkort een advies uitbrengen over deze Mededeling, maar benadrukt hier dat er geen efficiënte EU-interneveiligheidsstrategie kan worden ingevoerd zonder de aanvulling van een solide gegevensbeschermingsregeling die zorgt voor wederzijds vertrouwen en meer efficiëntie.

24.

Het is duidelijk dat sommige acties die voortkomen uit de EU-interneveiligheidsstrategie, de risico’s voor de privacy van individuen en de gegevensbescherming kunnen vergroten. Om deze risico’s te compenseren, wil de EDPS de aandacht vestigen op concepten als „ingebouwde privacy” („privacy by design”), beoordeling van de gevolgen voor de persoonlijke levenssfeer en de gegevensbeveiliging, rechten van de betrokkenen en beste beschikbare technieken (BBT’s). Met al deze concepten moet worden rekening gehouden bij de tenuitvoerlegging van de EU-interneveiligheidsstrategie. Ze kunnen een nuttige bijdrage leveren aan beleidsbeslissingen op dit gebied die de persoonlijke levenssfeer en de gegevensbeveiliging beter in acht nemen.

25.

De EDPS heeft op verschillende gelegenheden en in verschillende adviezen gepleit voor het concept van de „ingebouwde” („privacy by design” of „privacy by default”). Dit concept wordt momenteel zowel voor de particuliere als voor de overheidssector ontwikkeld en moet derhalve ook een belangrijke rol spelen in de interne veiligheid van de EU en op het gebied van politie en justitie (13).

26.

Dit concept wordt niet vermeld in de Mededeling. De EDPS stelt voor naar dit concept te verwijzen in de acties die zullen worden voorgesteld en ondernomen om de EU-interneveiligheidsstrategie ten uitvoer te leggen, met name in de context van doelstelling 4 „Veiligheid verbeteren door grensbeheer”, waar er duidelijk sprake is van een intensiever gebruik van nieuwe technologie voor grenscontroles en grensbewaking.

27.

De EDPS spoort de Commissie aan om — als deel van het toekomstige werk inzake het ontwerp en de invoering van de EU-interneveiligheidsstrategie op basis van de Mededeling — stil te staan bij de vraag wat werkelijk onder een „beoordeling van de gevolgen voor de persoonlijke levenssfeer en de gegevensbeveiliging” (PIA) moet worden verstaan op het gebied van vrijheid, veiligheid en rechtvaardigheid, en inzonderheid in de EU-interneveiligheidsstrategie.

28.

De Mededeling verwijst naar dreigings- en risicoanalyses. Dit is verheugend. Er wordt echter — in geen enkel punt — iets gezegd over de beoordeling van de gevolgen voor de persoonlijke levenssfeer en de gegevensbeveiliging. De EDPS is van mening dat de werkzaamheden in het kader van de tenuitvoerlegging van de Mededeling over de EU-interneveiligheidsstrategie een goede gelegenheid bieden om zo’n beoordeling van de gevolgen voor de persoonlijke levenssfeer en de gegevensbeveiliging uit te werken in het kader van de interne veiligheid. De EDPS constateert dat dit aspect noch in de Mededeling beschreven algemene richtsnoeren noch in de richtsnoeren voor effectbeoordeling van de Commissie (14) nader wordt uitgewerkt of tot een beleidsbeginsel wordt verheven.

29.

Derhalve beveelt de EDPS aan om bij de tenuitvoerlegging van toekomstige instrumenten een meer specifieke en grondige beoordeling van de gevolgen voor de persoonlijke levenssfeer en de gegevensbeveiliging uit te voeren, ofwel in de vorm van een aparte beoordeling of als onderdeel van de algemene effectbeoordeling inzake de grondrechten door de Commissie. Deze effectbeoordeling mag zich niet beperken tot het vermelden van algemene beginselen of het analyseren van beleidsopties, zoals momenteel het geval is, maar moet ook specifieke en concrete waarborgen aanbevelen.

30.

Er moeten bijgevolg specifieke indicatoren en kenmerken worden geformuleerd om ervoor te zorgen dat elk voorstel dat een gevolg heeft voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens op het gebied van de EU-interneveiligheidsstrategie aan een diepgaande beschouwing wordt onderworpen, met inbegrip van aspecten als evenredigheid, noodzakelijkheid en het beginsel van doelbinding.

31.

Daarnaast zou het in dit verband van nut kunnen zijn om te verwijzen naar artikel 4 van de aanbeveling inzake RFID-toepassingen (15) waarin de Commissie de lidstaten aanspoort ervoor te zorgen dat de industrie, samen met de relevante belanghebbenden uit het maatschappelijke middenveld, een kader ontwikkelt voor effectbeoordeling op het gebied van persoonlijke levenssfeer en beveiliging. In de resolutie van Madrid, die in november 2009 werd aangenomen door de International Conference of Privacy and Data Protection Commissioners, werd er eveneens toe opgeroepen PIA’s uit te voeren voorafgaand aan de invoering van nieuwe informatiesystemen en -technologieën voor de verwerking van persoonsgegevens en voorafgaand aan substantiële wijzigingen in bestaande verwerkingsprocessen.

32.

De EDPS stelt vast dat de Mededeling niet specifiek ingaat op de belangrijke kwestie van de rechten van de betrokkenen, die een essentieel element van de gegevensbescherming vormen en die een weerslag zouden moeten hebben op het ontwerp van de EU-interneveiligheidsstrategie. Het is van cruciaal belang ervoor te zorgen dat bij alle systemen en instrumenten die betrekking hebben op de EU-interneveiligheidsstrategie, de eraan onderworpen personen steeds dezelfde rechten genieten wat betreft de manier waarop hun persoonsgegevens worden verwerkt.

33.

Voor vele systemen die in de Mededeling worden genoemd, zijn specifieke regels vastgesteld inzake de rechten van de betrokkenen (gericht op categorieën als slachtoffers, vermoedelijke criminelen of migranten) maar de verschillen tussen de systemen en instrumenten zijn op dit punt groot en lijken ongegrond.

34.

Derhalve verzoekt de EDPS de Commissie in de nabije toekomst meer aandacht te besteden aan de harmonisatie van de rechten van de betrokkenen in de EU in de context van de EU-interneveiligheids- en informatiebeheersstrategie.

35.

Daarbij zou bijzondere aandacht moeten worden besteed aan de rechtsmiddelen. De EU-interneveiligheidsstrategie moet garanderen dat telkens wanneer de rechten van een individu niet volledig zijn geëerbiedigd, de voor de gegevensverwerking verantwoordelijken instaan voor klachtenprocedures die gemakkelijk toegankelijk, efficiënt en betaalbaar zijn.

36.

De tenuitvoerlegging van de EU-interneveiligheidsstrategie zal onvermijdelijk gebaseerd zijn op het gebruik van een IT-infrastructuur die de in de Mededeling geplande acties ondersteunt. Men zou kunnen stellen dat de beste beschikbare technieken (BBT’s) het juiste evenwicht mogelijk maken tussen het verwezenlijken van de doelstellingen van de EU-interneveiligheidsstrategie en de eerbiediging van de rechten van individuen. In dit verband wil de EDPS de aanbeveling herhalen die hij heeft gedaan in eerdere adviezen (16) met betrekking tot de noodzaak voor de Commissie om samen met de belanghebbenden van de sector concrete maatregelen voor de toepassing van BBT’s te bepalen en te bevorderen. Een dergelijke toepassing stemt overeen met het meest efficiënte en verst gevorderde stadium in de ontwikkeling van activiteiten en hun werkmethodes, die aangeven in hoeverre specifieke technieken de beoogde resultaten op een efficiënte manier kunnen opleveren in overeenstemming met het EU-kader voor privacy en gegevensbescherming. Deze benadering strookt volledig met de eerder vermelde benadering van „ingebouwde privacy”.

37.

Waar relevant en doenbaar moeten referentiedocumenten over BBT’s worden opgesteld om te dienen als richtsnoeren en een grotere rechtszekerheid te bieden voor de eigenlijke tenuitvoerlegging van de maatregelen in het kader van de EU-interneveiligheidsstrategie. Dit zou ook bevorderlijk kunnen zijn voor de harmonisering van deze maatregelen in de verschillende lidstaten. Ten slotte zal het definiëren van BBT’s die de persoonlijke levenssfeer en de gegevensbeveiliging eerbiedigen de toezichthoudende rol van gegevensbeschermingsautoriteiten vergemakkelijken doordat ze beschikken over technische referenties die stroken met de persoonlijke levenssfeer en de gegevensbeveiliging en die zijn goedgekeurd door de voor de gegevensverwerking verantwoordelijken.

38.

De EDPS wijst ook op het belang van een correcte afstemming van de EU-interneveiligheidsstrategie op de activiteiten die al worden uitgevoerd op grond van het zevende kaderprogramma voor onderzoek en technologische ontwikkeling en het kaderprogramma Veiligheid en bescherming van de vrijheden. Een gemeenschappelijke visie die erop gericht is BBT’s ter beschikking te stellen, zal vernieuwing mogelijk maken van de kennis en capaciteiten die vereist zijn om de burgers te beschermen en tegelijkertijd de fundamentele rechten in acht te nemen.

39.

Ten slotte wijst de EDPS op de rol die het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) kan spelen in het opstellen van richtsnoeren en de beoordeling van de veiligheidscapaciteiten die vereist zijn om in te staan voor de integriteit en beschikbaarheid van de IT-systemen en ook de bevordering van deze BBT’s. Daarom verheugt het de EDPS dat dit agentschap een belangrijke rol heeft toebedeeld gekregen in de verbetering van de capaciteiten om cyberaanvallen aan te pakken en cybermisdaad te bestrijden (17).

40.

In dit verband is er meer duidelijkheid nodig over de actoren die deel uitmaken van of bijdragen aan de architectuur van de EU-interneveiligheidsstrategie. De Mededeling verwijst naar de verschillende actoren en belanghebbenden, zoals burgers, rechterlijke macht, EU-agentschappen, nationale autoriteiten, politie en bedrijven. De specifieke rollen en bevoegdheden van deze actoren moeten beter worden beschreven in de specifieke acties die worden voorgesteld voor de tenuitvoerlegging van de EU-interneveiligheidsstrategie.

41.

In de Mededeling wordt erop gewezen dat nu het Verdrag van Lissabon van kracht is, de EU de synergie tussen grensbeheersmaatregelen voor personen en goederen beter kan benutten: „Wat betreft personenverkeer kan de EU migratiebeheer en criminaliteitsbestrijding opvatten als twee complementaire doelstellingen van de strategie voor geïntegreerd grensbeheer”. In het document wordt grensbeheer beschouwd als een mogelijk krachtig instrument om ernstige en georganiseerde misdaad te ontwrichten (18).

42.

De EDPS stelt ook vast dat de Mededeling drie strategische elementen aanvoert: 1) intensiever gebruik van nieuwe technologie voor grenscontroles (SIS II, VIS, inreis-/uitreissysteem en programma voor geregistreerde reizigers); 2) intensiever gebruik van nieuwe technologie voor grensbewaking (Europees grensbewakingssysteem EUROSUR) en 3) intensievere coördinatie van de lidstaten via FRONTEX.

43.

De EDPS wenst dit advies te benutten om te herinneren aan zijn in een aantal vroegere adviezen geformuleerde verzoek om een duidelijk beleid inzake grensbeheer — met volledige inachtneming van de regels inzake gegevensbescherming — in te voeren op EU-niveau. De EDPS is van mening dat de huidige werkzaamheden inzake de EU-interneveiligheidsstrategie en het informatiebeheer zeer goede gelegenheden zijn om concrete stappen te zetten in de richting van een coherent beleid op deze gebieden.

44.

De EDPS wijst erop dat de Mededeling niet alleen betrekking heeft op grootschalige systemen die al bestaan of in de nabije toekomst in gebruik zullen worden genomen (zoals SIS, SIS II en VIS), maar — in het verlengde hiervan — ook op systemen die in de toekomst zouden kunnen worden voorgesteld door de Commissie en waarover op dit moment nog geen beslissing is genomen (zoals het programma voor geregistreerde reizigers en het inreis-/uitreissysteem). In deze context moet herinnerd worden aan het feit dat de doelstellingen en de legitimiteit van de invoering van deze systemen nog moeten worden gespecificeerd en aangetoond, ook in het licht van de resultaten van specifieke effectbeoordelingen door de Commissie. Indien dit niet gebeurt, zou men kunnen stellen dat de Mededeling vooruitloopt op het besluitvormingsproces, en bijgevolg geen rekening houdt met het feit dat de definitieve beslissing over de invoering van het programma voor geregistreerde reizigers en het inreis-/uitreissysteem in de Europese Unie nog niet is genomen.

45.

De EDPS stelt daarom voor in de toekomstige werkzaamheden betreffende de tenuitvoerlegging van de EU-interneveiligheidsstrategie dergelijke anticipaties te vermijden. Zoals eerder vermeld mag er slechts na een gepaste evaluatie van alle bestaande systemen met de nodige aandacht voor de beginselen van noodzakelijkheid en evenredigheid een beslissing worden genomen over de invoering van nieuwe grootschalige systemen die de persoonlijke levenssfeer kunnen aantasten.

46.

In de Mededeling wordt gesteld dat de Commissie een wetgevingsvoorstel zal indienen voor de oprichting van EUROSUR in 2011 ten behoeve van de interne veiligheid en de criminaliteitsbestrijding. Er wordt ook gezegd dat EUROSUR zal gebruikmaken van de nieuwe technologieën die worden ontwikkeld dankzij door de EU gefinancierde onderzoeksprojecten en -activiteiten, zoals satellietbeelden om doelen aan de zeegrens op te sporen en te volgen, bijv. snelle vaartuigen waarmee drugs de EU worden binnengebracht.

47.

In deze context wijst de EDPS erop dat het nog niet duidelijk is of en in hoeverre het wetgevingsvoorstel inzake EUROSUR dat zal worden ingediend door de Commissie in 2011, ook betrekking zal hebben op de verwerking van persoonsgegevens in het kader van EUROSUR. De Commissie heeft hieromtrent geen duidelijk standpunt ingenomen in de Mededeling. Deze kwestie is van nog groter belang daar de Mededeling een duidelijk verband legt tussen EUROSUR en FRONTEX op tactisch, operationeel en strategisch niveau (zie onderstaande opmerking met betrekking tot FRONTEX) en vraagt om nauwe samenwerking tussen de twee.

48.

De EDPS heeft een advies uitgebracht over de herziening van de FRONTEX-Verordening van 17 mei 2010 (19) waarin hij oproept tot een echt debat en grondige reflectie over de gegevensbeschermingskwestie in de context van de versterking van de bestaande taken van FRONTEX en de toekenning van nieuwe verantwoordelijkheden.

49.

De Mededeling verwijst naar de noodzaak de bijdrage van FRONTEX aan de buitengrenzen te vergroten onder doelstelling 4 „Veiligheid verbeteren door grensbeheer”. Hieromtrent wordt in de Mededeling aangevoerd dat gelet op eerdere ervaringen en op de algemene benadering van de EU op het gebied van informatiebeheer, de Commissie van mening is dat een belangrijke bijdrage kan worden geleverd tot de ontmanteling van criminele organisaties door FRONTEX deze informatie, in beperkte mate en overeenkomstig duidelijke regels inzake het beheer van persoonsgegevens, te laten verwerken en gebruiken. Dit is een nieuwe benadering in vergelijking met het voorstel van de Commissie over de herziening van de FRONTEX-Verordening, die momenteel besproken wordt in het Europees Parlement en de Raad, waarin niets werd gezegd over de verwerking van persoonsgegevens.

50.

Tegen deze achtergrond is de EDPS verheugd over het feit dat de Mededeling een indicatie bevat omtrent de omstandigheden waarin een dergelijke verwerking noodzakelijk kan blijken (bijv. risicoanalyse, betere prestaties bij gezamenlijke operaties of informatie-uitwisseling met Europol). In de Mededeling wordt uitgelegd dat de informatie over criminelen die betrokken zijn bij smokkelnetwerken — die FRONTEX ontdekt — niet verder kan worden gebruikt voor risicoanalyses of om toekomstige gezamenlijke operaties beter te richten. Bovendien komen relevante gegevens voor verder onderzoek over verdachte criminelen niet aan bij de bevoegde nationale autoriteiten of Europol.

51.

Toch stelt de EDPS vast dat de Mededeling niet verwijst naar het lopende debat over de herziening van het FRONTEX-wetgevingskader, waarin, zoals eerder vermeld, deze kwestie behandeld wordt om tot wetgevende oplossingen te komen. Bovendien kan de formulering in de Mededeling waarin de rol van FRONTEX in het kader van de ontmanteling van criminele organisaties wordt benadrukt, worden opgevat als een uitbreiding van de bevoegdheid van FRONTEX. De EDPS stelt voor dat er met dit punt rekening wordt gehouden in zowel de herziening van de FRONTEX-Verordening als de tenuitvoerlegging van de EU-interneveiligheidsstrategie.

52.

De EDPS vestigt ook de aandacht op de noodzaak ervoor te zorgen dat er geen dubbel werk wordt verricht door Europol en FRONTEX. In dat verband verheugt het de EDPS dat de Mededeling vermeldt dat overlapping van taken tussen FRONTEX en Europol moet worden voorkomen. Deze kwestie moet echter duidelijker worden behandeld in zowel de herziene FRONTEX-Verordening als de acties voor de tenuitvoerlegging van de EU-interneveiligheidsstrategie die voorzien in een nauwe samenwerking tussen FRONTEX en EUROPOL. Dit is van bijzonder belang gelet op de beginselen van doelbeperking en gegevenskwaliteit. Deze opmerking geldt ook voor de toekomstige samenwerking met agentschappen als het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) of het Europees Ondersteuningsbureau voor asielzaken.

53.

In de Mededeling wordt niet nader ingegaan op het actuele fenomeen van het toenemende gebruik van biometrische gegevens op het gebied van vrijheid, veiligheid en rechtvaardigheid, met name in grootschalige IT-systemen van de EU en andere instrumenten voor grensbeheer.

54.

De EDPS neemt deze gelegenheid derhalve te baat om te herinneren aan zijn voorstel (20) om deze uit het oogpunt van de gegevensbescherming uiterst gevoelige aangelegenheid, ernstig in aanmerking te nemen bij de tenuitvoerlegging van de EU-interneveiligheidsstrategie, met name in de context van het grensbeheer.

55.

De EDPS beveelt ook aan om inzake het gebruik van biometrische gegevens op het gebied van vrijheid, veiligheid en recht een duidelijk en strikt beleid te ontwikkelen dat is gebaseerd op een grondige evaluatie en beoordeling per geval van de noodzaak om dergelijke gegevens te gebruiken in de context van de EU-interneveiligheidsstrategie, en dat de fundamentele beginselen van gegevensbescherming zoals evenredigheid, noodzakelijkheid en doelbinding volledig in acht neemt.

56.

In de Mededeling wordt aangekondigd dat de Commissie in 2011 een EU-beleid wil ontwikkelen voor het opvragen en analyseren van gegevens betreffende het financiële berichtenverkeer op het eigen grondgebied. In deze context verwijst de EDPS naar zijn advies van 22 juni 2010 inzake de verwerking en doorgifte van gegevens betreffende het betalingsberichtenverkeer van de EU naar de VS ten behoeve van het Programma voor het traceren van financiering van terrorisme (TFTP II) (21). Alle kritische opmerkingen in dat advies zijn hier evenzeer van toepassing en gelden ook voor de geplande werkzaamheden voor de EU-kaderregeling inzake gegevens betreffende het betalingsberichtenverkeer. Daarom moeten ze ook in aanmerking worden genomen bij de bespreking van deze aangelegenheid. Er moet bijzondere aandacht worden besteed aan de evenredigheid van het opvragen en verwerken van grote hoeveelheden van gegevens van mensen die geen verdachten zijn, en aan de kwestie van een doeltreffend toezicht door onafhankelijke autoriteiten en door de rechterlijke macht.

57.

De EDPS is verheugd over het belang dat in de Mededeling gehecht wordt aan preventieve acties op EU-niveau en is van mening dat het versterken van de veiligheid van IT-netwerken een essentiële voorwaarde is voor een goed functionerende informatiemaatschappij. De EDPS is ook voorstander van de specifieke acties om de capaciteiten om cyberaanvallen te bestrijden op te voeren, de capaciteit van de rechtshandhavingsautoriteiten en de rechterlijke macht op te bouwen en samen te werken met de sector om bedrijven en burgers meer macht te geven. Ook de rol van ENISA als facilitator van talrijke acties in het kader van deze doelstelling is verheugend.

58.

In de EU-interneveiligheidsstrategie in actie wordt echter niet verder ingegaan op de in cyberspace geplande rechtshandhavingsacties en hoe deze activiteiten een gevaar zouden kunnen vormen voor individuele rechten en welke maatregelen er nodig zijn als bescherming hiertegen. De EDPS verzoekt om een meer ambitieuze benadering inzake gepaste waarborgen. Deze benadering moet de fundamentele rechten beschermen van alle individuen, ook van degenen die getroffen kunnen worden door acties die zijn ontworpen om eventuele criminele activiteiten op dit gebied tegen te gaan.

59.

De EDPS vraagt om verbanden te leggen tussen de verschillende EU-strategieën en mededelingen die ontstaan in het proces van de tenuitvoerlegging van de EU-interneveiligheidsstrategie. Deze benadering moet worden gevolgd door een concreet actieplan op basis van een echte behoefteanalyse die moet resulteren in een alomvattend, geïntegreerd en goed gestructureerd EU-beleid inzake EU-interneveiligheidsstrategie.

60.

De EDPS neemt deze gelegenheid ook te baat om het belang te benadrukken van de wettelijke verplichting om alle bestaande instrumenten die zullen worden gebruikt in het kader van de EU-interneveiligheidsstrategie en gegevensuitwisseling te evalueren alvorens nieuwe voor te stellen. In dat opzicht wordt de goedkeuring van bepalingen die regelmatige beoordelingen van de efficiëntie van de instrumenten vereisen, warm aanbevolen.

61.

De EDPS stelt voor om bij de opstelling van het strategisch meerjarenplan, waarom wordt verzocht in de conclusies van de Raad van november 2010, rekening te houden met de lopende werkzaamheden ten behoeve van het alomvattende kader voor gegevensbescherming op basis van artikel 16 VWEU, met name Mededeling (2009) 609.

62.

De EDPS doet een aantal voorstellen inzake noties en concepten die van belang zijn in de optiek van gegevensbescherming en waarmee rekening moet worden gehouden op het gebied van EU-interneveiligheidsstrategie, zoals ingebouwde privacy (“privacy by design”), beoordeling van het effect op de persoonlijke levenssfeer en de gegevensbeveiliging, beste beschikbare technieken.

63.

De EDPS beveelt aan om bij de tenuitvoerlegging van toekomstige instrumenten een beoordeling van het effect op de persoonlijke levenssfeer en de gegevensbeveiliging uit te voeren, ofwel in de vorm van een aparte beoordeling ofwel als onderdeel van de algemene effectbeoordeling inzake de grondrechten door de Commissie.

64.

Tevens verzoekt hij de Commissie een coherenter en consequenter beleid te ontwikkelen betreffende de voorwaarden voor het gebruik van biometrische gegevens op het gebied van de EU-interneveiligheidsstrategie, en op EU-niveau voor een grotere harmonisatie van de rechten van de betrokkenen te zorgen.

65.

De EDPS maakt ten slotte nog enkele opmerkingen inzake de verwerking van persoonsgegevens in de context van grensbeheer en met name door FRONTEX en eventueel in de context van EUROSUR.

1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/14

1.

Op 11 oktober 2010 heeft de Europese Commissie haar goedkeuring gehecht aan een gewijzigd voorstel voor een verordening van het Europees Parlement en de Raad betreffende de instelling van „Eurodac” voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van Verordening (EG) nr. (…/…) (tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend) („het voorstel”) (3). Het door de Commissie goedgekeurde voorstel is dezelfde dag nog naar de Europese Toezichthouder voor gegevensbescherming (EDPS) gezonden voor advies overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001. De EDPS is verheugd dat hij door de Commissie wordt geraadpleegd en hij beveelt aan dat van deze raadpleging melding wordt gemaakt in de overwegingen bij het voorstel.

2.

Eurodac is ingesteld bij Verordening (EG) nr. 2725/2000 betreffende de instelling van „Eurodac” voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van de Overeenkomst van Dublin (4). In december 2008 heeft de Commissie een herschikkingsvoorstel tot wijziging van de Eurodac-verordening aangenomen (5) (hierna „het voorstel van december 2008” genoemd). De EDPS heeft commentaar op dat voorstel geleverd in een advies van februari 2009 (6).

3.

Het voorstel van december 2008 moest leiden tot een efficiëntere toepassing van de Dublin-verordening en tot een adequate aanpak van gegevensbeschermingsproblemen. Het zorgde er ook voor dat het IT-beheerskader werd afgestemd op dat van de SIS II- en de VIS-verordening door te bepalen dat de taken inzake het operationele beheer van Eurodac zouden worden overgenomen door het toekomstige agentschap voor het operationele beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (7) (hierna „het IT-agentschap” genoemd) (8).

4.

In september 2009 heeft de Commissie een gewijzigd voorstel goedgekeurd waarin de rechtshandhavingsinstanties van de lidstaten en Europol toegang tot de centrale gegevensbank van Eurodac werd verleend met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten.

5.

Met dat voorstel werd in het bijzonder een overbruggingsclausule ingevoerd om toegang voor rechtshandhavingsdoeleinden mogelijk te maken; voorts werden de nodige begeleidende bepalingen opgenomen en werd het voorstel van december 2008 gewijzigd. Het voorstel werd tegelijk ingediend met het voorstel voor een besluit van de Raad betreffende verzoeken van rechtshandhavingsinstanties van de lidstaten en Europol om vergelijking met Eurodac-gegevens ten behoeve van rechtshandhaving (9) (hierna „het besluit van de Raad” genoemd), waarin de nadere regels inzake deze vorm van toegang zijn opgenomen. In december 2009 heeft de EDPS advies uitgebracht over dit voorstel (10).

6.

Met de inwerkingtreding van het Verdrag van Lissabon en de afschaffing van het pijlersysteem is het voorstel voor een besluit van de Raad ongeldig geworden; het moest formeel worden ingetrokken en worden vervangen door een nieuw voorstel om rekening te houden met het nieuwe kader van het VWEU.

7.

In de toelichting bij het voorstel wordt uiteengezet dat, om de onderhandelingen over het asielpakket (11) te bespoedigen en gemakkelijker tot overeenstemming te kunnen komen over de Eurodac-verordening, de Commissie het verstandiger acht om de bepalingen over de toegang voor rechtshandhavingsdoeleinden te schrappen uit de Eurodac-verordening.

8.

De Commissie verwacht dat door het schrappen van dit (enigszins controversiële) deel van het voorstel de nieuwe Eurodac-verordening sneller kan worden aangenomen en dat dit ook een gunstig effect zal hebben op de tijdige oprichting van het agentschap voor het operationele beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, aangezien dat agentschap ook het beheer van Eurodac op zich zou moeten nemen.

9.

Hoewel het voorliggende voorstel twee nieuwe technische bepalingen bevat, is het in de eerste plaats bedoeld om het vorige voorstel (van september 2009) te wijzigen door er de toegangsmogelijkheden voor rechtshandhavingsdoeleinden uit te schrappen. Daarom werd het niet nodig geacht om voor dit voorstel een nieuwe effectbeoordeling te verrichten.

10.

Zoals hierboven vermeld, heeft de EDPS reeds verscheidene adviezen ter zake uitgebracht. Dit advies heeft tot doel aanbevelingen te doen om het voorstel te verbeteren. Deze aanbevelingen zijn gebaseerd op nieuwe ontwikkelingen of op eerder gedane, maar nog niet overgenomen aanbevelingen, wanneer de EDPS meent dat zijn argumenten niet voldoende in acht zijn genomen of dat deze aanbevelingen worden ondersteund door nieuwe argumenten.

11.

Dit advies spitst zich toe op de volgende punten:

12.

Het verheugt de EDPS dat de mogelijkheid om rechtshandhavingsinstanties toegang tot Eurodac te verlenen uit het voorliggende voorstel is geschrapt. De EDPS betwist niet dat overheden gepaste instrumenten nodig hebben om de veiligheid van hun burgers te waarborgen, maar had toch sterke twijfels over de wettigheid van dit voorstel en wel op basis van de volgende overwegingen.

13.

Maatregelen om terroristische misdrijven en andere ernstige strafbare feiten kunnen een rechtmatige reden zijn om de verwerking van persoonsgegevens toe te staan — ook al is dat in strijd met de doeleinden waarvoor de gegevens oorspronkelijk zijn verzameld — op voorwaarde dat de noodzaak voor deze inbreuk op de privacy wordt ondersteund door duidelijke en onweerlegbare elementen en dat de evenredigheid van de verwerking wordt aangetoond. Dat is des te meer nodig omdat de voorstellen betrekking hebben op een kwetsbare groep van mensen die gevlucht zijn uit vrees voor vervolging en dus meer bescherming behoeven. Er moet rekening worden gehouden met hun precaire situatie bij het beoordelen van de noodzaak en evenredigheid van de voorgestelde maatregel. De EDPS heeft meer bepaald benadrukt dat de noodzaak zou moeten blijken uit voldoende bewijs dat er een verband is tussen asielzoekers en terrorisme en/of andere ernstige strafbare feiten. Dat bewijs was niet geleverd in de voorstellen.

14.

Meer in het algemeen heeft de EDPS er in verschillende adviezen en commentaren voor gepleit om alle bestaande instrumenten voor de uitwisseling van informatie te beoordelen alvorens nieuwe instrumenten voor te stellen. Met bijzondere nadruk deed hij dit in de recente adviezen over het „overzicht van het informatiebeheer op het gebied van vrijheid, veiligheid en recht” (12) en over „het terrorismebestrijdingsbeleid van de EU: belangrijkste resultaten en nieuwe uitdagingen” (13).

15.

Het is immers van essentieel belang dat zowel de doeltreffendheid van bestaande maatregelen als het effect op de privacy van geplande nieuwe maatregelen wordt beoordeeld. Dit zou bepalend moeten zijn voor het optreden van de Europese Unie op dit gebied, in overeenstemming met de door het programma van Stockholm voorgestelde aanpak. In dit geval zou bijvoorbeeld bijzondere aandacht moeten worden besteed aan de uitwisseling van gegevens overeenkomstig het Verdrag van Prüm. Dat behelst ook de uitwisseling van vingerafdrukken en er zou moeten worden aangetoond dat het systeem ernstige gebreken vertoont die de toegang tot een gegevensbank als Eurodac rechtvaardigen.

16.

Ten slotte beveelt de EDPS in deze adviezen, zoals in vele eerdere adviezen, aan om bijzondere aandacht te schenken aan die voorstellen die leiden tot het verzamelen van persoonsgegevens van brede categorieën van burgers en niet alleen van verdachten. Specifieke consideratie en verantwoording is ook vereist voor die gevallen waarbij persoonsgegevens kunnen worden verwerkt voor andere doeleinden dan deze waarvoor ze oorspronkelijk zijn verzameld, bijvoorbeeld in Eurodac.

17.

Concluderend kan worden gezegd dat de EDPS verheugd is over het schrappen van dit element uit het voorliggende voorstel.

18.

Het verzamelen en verder verwerken van vingerafdrukken vormt uiteraard een belangrijk element van het Eurodac-systeem. Er dient te worden benadrukt dat de verwerking van biometrische gegevens als vingerafdrukken specifieke problemen meebrengt en risico's inhoudt die moeten worden ondervangen. In de context van het voorstel wil de EDPS met name wijzen op het probleem van personen van wie, om welke reden ook, geen bruikbare vingerafdrukken kunnen worden genomen („failure to enrol”).

19.

Deze situatie kan zich voordoen bij mensen wier vingertoppen of handen tijdelijk of blijvend beschadigd zijn. Dat kan te wijten zijn aan verschillende factoren, zoals ziekte, invaliditeit, verwondingen en brandwonden. In sommige gevallen kan het ook verband houden met de etniciteit of het beroep van de betrokkenen. Zo blijkt een niet onbelangrijk aantal landarbeiders en bouwvakkers vingerafdrukken te hebben die soms dermate beschadigd zijn, dat ze onleesbaar zijn. Het gebeurt ook — hoe vaak precies is moeilijk uit te maken — dat vluchtelingen zichzelf verminken om te voorkomen dat hun vingerafdrukken worden genomen.

20.

Het EDPS erkent dat het moeilijk kan zijn om te bepalen welke onderdanen van derde landen hun vingerafdrukken opzettelijk hebben beschadigd om het identificatieproces te dwarsbomen en welke werkelijk onleesbare vingerafdrukken hebben.

21.

Het is evenwel van het grootste belang dat gewaarborgd wordt dat onbruikbare vingerafdrukken niet automatisch leiden tot het ontzeggen van rechten aan asielzoekers. Het zou bijvoorbeeld onaanvaardbaar zijn dat onbruikbare vingerafdrukken systematisch worden beschouwd als een poging tot bedrog, met als gevolg dat een asielaanvraag niet wordt onderzocht of een asielzoeker geen hulp meer krijgt. Dat zou immers betekenen dat het hebben van leesbare vingerafdrukken een van de criteria is om de status van asielzoeker te kunnen krijgen. Het doel van Eurodac is de toepassing van de Overeenkomst van Dublin te vergemakkelijken, en niet een extra criterium („bruikbare vingerafdrukken hebben”) in te voeren voor het verlenen van de status van asielzoeker. Dat zou indruisen tegen het doelbindingsbeginsel en op zijn minst tegen de geest van het recht op asiel.

22.

Ten slotte benadrukt de EDPS ook dat het voorstel consistent dient te zijn met de andere relevante richtlijnen ter zake. Met name de erkenningsrichtlijn bepaalt dat elke aanvraag op haar eigen waarde moet worden beoordeeld en vermeldt onbruikbare vingerafdrukken zeker niet als een criterium voor het onderzoeken van de asielaanvraag (14).

23.

In artikel 6.1 en artikel 6.2 van het voorliggende voorstel wordt reeds gedeeltelijk verwezen naar de onbruikbaarheid van vingerafdrukken (15)

24.

In deze bepalingen gaat het echter alleen over een tijdelijke onmogelijkheid om vingerafdrukken te nemen, terwijl die onmogelijkheid in een aanzienlijk aantal gevallen blijvend zal zijn. Artikel 1 van de verordening tot wijziging van de gemeenschappelijke visuminstructies (16) vermeldt zulke gevallen en bepaalt het volgende: (…) De lidstaten zorgen ervoor dat er passende procedures zijn ter waarborging van de waardigheid van de aanvrager in het geval dat er moeilijkheden zijn bij het opnemen van gegevens. Als het nemen van vingerafdrukken fysiek onmogelijk is, dan mag dit geen invloed hebben op de verlening of weigering van een visum.

25.

De EDPS beveelt aan om, naar het voorbeeld van deze bepalingen, rekening te houden met deze gevallen in de context van Eurodac en aan artikel 6 een bepaling toe te voegen die als volgt zou kunnen luiden: „De tijdelijke of blijvende onmogelijkheid om bruikbare vingerafdrukken te nemen mag geen ongunstig effect hebben op de rechtspositie van de betrokken persoon. Het kan in geen geval een voldoende reden zijn om een asielaanvraag af te wijzen of te weigeren deze te onderzoeken.”

26.

De EDPS merkt op dat de goede werking van Eurodac staat of valt met een effectieve uitvoering van het recht op informatie. Bovenal moet ervoor worden gezorgd dat de informatie op zodanige wijze wordt verstrekt dat de asielzoeker volledig inzicht krijgt in zijn situatie en de omvang van zijn rechten, alsmede in de procedurele stappen die hij kan zetten naar aanleiding van de in zijn zaak reeds genomen administratieve beslissingen. De EDPS herinnert er ook aan dat het recht op toegang een hoeksteen vormt van de gegevensbescherming, zoals met name wordt vermeld in artikel 8 van het Europese Handvest van de grondrechten.

27.

Het EDPS heeft dit reeds onderstreept in een eerder advies over Eurodac. Aangezien de voorgestelde wijziging niet is aanvaard, wil de EDPS met nadruk wijzen op het belang van deze kwestie.

28.

Artikel 24 van het voorstel luidt als volgt:

Onder deze verordening vallende personen worden door de lidstaat van oorsprong schriftelijk en, in voorkomend geval, mondeling in een taal die zij begrijpen of waarvan redelijkerwijs kan worden geacht dat zij die begrijpen ingelicht over:

(…)

29.

De EDPS stelt voor de rechten van de betrokkenen duidelijker te verwoorden door artikel 24 anders te formuleren. De verwoording van het voorstel is onduidelijk en kan zo worden geïnterpreteerd dat „het recht informatie te krijgen over de procedures om die rechten te doen gelden” losstaat van „het recht van toegang” en/of „het recht te verzoeken onjuiste gegevens recht te zetten”. Bovendien moeten de lidstaten, volgens de huidige formulering van de bovengenoemde bepaling, onder de verordening vallende personen niet inlichten over de inhoud van de rechten, maar over „het bestaan” ervan. Aangezien dit laatste alleen een kwestie van stijl lijkt, stelt de EDPS voor om artikel 24 als volgt te wijzigen: Onder deze verordening vallende personen worden door de lidstaat van oorsprong (…) ingelicht over: (…) (g) het recht van toegang tot de hen betreffende gegevens en het recht te verzoeken om hen betreffende onjuiste gegevens recht te zetten of hen betreffende onrechtmatig verwerkte gegevens te verwijderen.

30.

In artikel 4, lid 1, van het voorstel is het volgende bepaald: Na een overgangsperiode wordt een beheersautoriteit, die uit de algemene begroting van de Europese Unie wordt gefinancierd, belast met het operationele beheer van Eurodac. De beheersautoriteit zorgt er in samenwerking met de lidstaten voor dat te allen tijde de beste voorhanden zijnde technologie wordt gebruikt voor het centraal systeem, onder voorbehoud van een kosten-batenanalyse. Hoewel de EDPS de eis in artikel 4, lid 1, toejuicht, zou hij willen opmerken dat de uitdrukking „de beste voorhanden zijnde technologie” in bovenstaande bepaling beter vervangen kan worden door „de beste beschikbare technieken”, waarmee zowel gedoeld wordt op de toegepaste technologie als op de manier waarop de installatie is ontworpen en gebouwd en waarop zij wordt onderhouden en geëxploiteerd.

31.

Dit is belangrijk omdat „de beste beschikbare technieken” een breder concept is en verschillende aspecten omvat die bijdragen tot de toepassing van het beginsel „ingebouwde privacy”, dat een essentieel uitgangspunt vormt voor de herziening van het EU-rechtskader voor gegevensbescherming. Hiermee wordt onderstreept dat gegevensbescherming kan worden toegepast via verschillende middelen, die niet alle technologisch van aard hoeven te zijn. Het is inderdaad belangrijk dat niet alleen de technologie wordt onderzocht, maar ook de wijze waarop de technologie wordt gebruikt als een instrument om het doel van de gegevensverwerking te bereiken. Bedrijfsprocessen moeten gericht zijn op het bereiken van dit doel, dat omgezet wordt in procedures en organisatiestructuren.

32.

Zoals hij al in eerdere adviezen (17) heeft gedaan, zou de EDPS in dit verband, en meer in het algemeen, de aanbeveling willen doen dat de Commissie samen met belanghebbenden uit het bedrijfsleven „beste beschikbare technieken” vaststelt en bevordert volgens dezelfde procedure als door de Commissie is goedgekeurd op milieugebied (18). Onder „beste beschikbare technieken” (BBT's) wordt verstaan het meest doeltreffende en geavanceerde ontwikkelingsstadium van de technologie en exploitatiemethoden, waarbij de praktische bruikbaarheid van speciale technieken is aangetoond om een bepaalde detectiedrempel vast te stellen in overeenstemming met het EU-rechtskader inzake privacy en gegevensbescherming. Deze BBT's moeten de met deze gegevensverwerking gepaard gaande veiligheidsrisico's voorkomen of, wanneer dit niet kan, tot een aanvaardbaar niveau herleiden en de gevolgen ervan voor de privacy zoveel mogelijk beperken.

33.

Dit proces zou ook referentiedocumenten over „beste beschikbare technieken” moeten opleveren die heel nuttige richtsnoeren voor het beheer van andere grootschalige Europese IT-systemen kunnen verschaffen. Het zal ook de harmonisering van zulke maatregelen in de Europese Unie bevorderen. Ten slotte maar niet in het minst zal de vaststelling van privacy- en veiligheidsvriendelijke BBT's de toezichthoudende rol van de gegevensbeschermingsautoriteiten vergemakkelijken door technische referenties te verstrekken die voldoen aan de voorschriften inzake gegevensbescherming en goedgekeurd zijn door de voor de gegevensverwerking verantwoordelijken.

34.

De EDPS merkt op dat in het voorstel niet wordt ingegaan op de uitbesteding van een deel van de taken van de Commissie (19) aan een andere organisatie of entiteit (zoals een particuliere onderneming). Toch is het heel gebruikelijk dat de Commissie het beheer en de ontwikkeling van zowel systemen als communicatie-infrastructuren uitbesteedt. Hoewel uitbesteding op zich niet indruist tegen de eisen inzake gegevensbescherming, behoren er wel stevige garanties te worden ingebouwd opdat Verordening (EG) nr. 45/2001, en daarmee het toezicht op de gegevensbescherming door de EDPS, steeds onverkort wordt toegepast bij het uitbesteden van activiteiten. Daarnaast dienen op een meer technisch niveau aanvullende garanties te worden goedgekeurd.

35.

In dat verband stelt de EDPS voor om bij de herziening van de Eurodac-verordening daarin mutatis mutandis soortgelijke wettelijke garanties op te nemen als in de rechtsinstrumenten betreffende het SIS II, waarin bepaald is dat ook wanneer de Commissie een deel van haar taken aan een andere instantie of organisatie uitbesteedt, zij ervoor zorgt dat de EDPS het recht en de mogelijkheid heeft zijn taken volledig uit te voeren, met inbegrip van de mogelijkheid om verificaties ter plaatse te verrichten, en de bevoegdheden uit te oefenen die hem zijn toebedeeld op grond van artikel 47 van Verordening (EG) nr. 45/2001.

36.

De EDPS is verheugd dat hij door de Commissie wordt geraadpleegd en hij beveelt aan dat van deze raadpleging melding wordt gemaakt in de overwegingen bij het voorstel.

37.

Het verheugt de EDPS dat de mogelijkheid om rechtshandhavingsinstanties toegang tot Eurodac te verlenen uit het voorliggende voorstel is geschrapt.

38.

Het verzamelen en verder verwerken van vingerafdrukken vormt een belangrijk element van het Eurodac-systeem. De EDPS benadrukt dat de verwerking van biometrische gegevens als vingerafdrukken specifieke problemen meebrengt en risico's inhoudt die moeten worden ondervangen. Inzonderheid wijst de EDPS op het probleem van de personen van wie, om welke reden ook, geen bruikbare vingerafdrukken kunnen worden genomen („failure to enrol”). Onbruikbare vingerafdrukken mogen niet automatisch leiden tot het ontzeggen van rechten aan asielzoekers.

39.

De EDPS beveelt aan om aan artikel 6 van het voorstel een bepaling toe te voegen die als volgt zou kunnen luiden: „De tijdelijke of blijvende onmogelijkheid om bruikbare vingerafdrukken te nemen mag geen ongunstig effect hebben op de rechtspositie van de betrokken persoon.. Het kan in geen geval een voldoende reden zijn om een asielaanvraag af te wijzen of te weigeren deze te onderzoeken.”

40.

De EDPS merkt op dat de goede werking van Eurodac staat of valt met een effectieve uitvoering van het recht op informatie. Er moet voor worden gezorgd dat de informatie op zodanige wijze wordt verstrekt dat de asielzoeker volledig inzicht krijgt in zijn situatie en de omvang van zijn rechten, alsmede in de procedurele stappen die hij kan zetten naar aanleiding van de in zijn zaak reeds genomen administratieve beslissingen. De EDPS stelt voor de rechten van de asielzoekers duidelijker te verwoorden door artikel 24 anders te formuleren.

41.

De EDPS beveelt aan om de uitdrukking „de beste voorhanden zijnde technologie” in artikel 4, lid 1, van het voorstel te wijzigen in „de beste beschikbare technieken”. Met „beste beschikbare technieken” wordt zowel gedoeld op de toegepaste technologie als op de manier waarop de installatie is ontworpen en gebouwd en waarop zij wordt onderhouden en geëxploiteerd.

42.

Met betrekking tot de uitbesteding van een deel van de taken van de Commissie aan een andere organisatie of entiteit (zoals een particuliere onderneming) beveelt de EDPS aan om garanties in te bouwen opdat Verordening (EG) nr. 45/2001, en daarmee het toezicht op de gegevensbescherming door de EDPS, steeds onverkort wordt toegepast bij het uitbesteden van activiteiten. Daarnaast dienen op een meer technisch niveau aanvullende garanties te worden goedgekeurd.

1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/20

1.

De Commissie heeft op 30 september 2010 een voorstel aangenomen voor een verordening van het Europees Parlement en de Raad inzake ENISA, het Europees Agentschap voor netwerk- en informatiebeveiliging (3).

2.

ENISA werd in maart 2004 bij Verordening (EG) nr. 460/2004 (4) voor een eerste periode van vijf jaar opgericht. In 2008 werd het mandaat bij Verordening (EG) nr. 1007/2008 (5) verlengd tot maart 2012.

3.

Zoals voortvloeit uit artikel 1, lid 1, van Verordening (EG) nr. 460/2004 werd het Agentschap opgericht om te zorgen voor een hoog en doeltreffend niveau van netwerk- en informatiebeveiliging binnen de EU alsook om bij te dragen aan de goede werking van de interne markt.

4.

Met het Commissievoorstel wordt beoogd het Agentschap te moderniseren, de bevoegdheden ervan te versterken, alsmede een nieuw mandaat te verstrekken van vijf jaar, opdat het Agentschap ook na maart 2012 haar werk kan voortzetten (6).

5.

De rechtsgrond voor de voorgestelde verordening ligt in artikel 114 van het VWEU (7) dat de Unie de bevoegdheid verleent om maatregelen te treffen teneinde de goede werking van de interne markt tot stand te brengen of te waarborgen. Artikel 114 van het VWEU is de opvolger van artikel 95 van het voormalige EG-Verdrag waarop de voorgaande verordeningen ten aanzien van ENISA gegrondvest waren (8).

6.

De memorie van toelichting bij het voorstel verwijst naar het feit dat met de inwerkingtreding van het Verdrag van Lissabon de preventie en bestrijding van de misdaad een gedeelde bevoegdheid is geworden. Dit biedt ENISA de gelegenheid zich op te werpen als platform voor de netwerk- en informatiebeveiligingsaspecten van de bestrijding van cybermisdaad, alsook om ideeën en goede praktijken uit te wisselen met overheidsinstellingen op het vlak van cyberverdediging, wetshandhaving en gegevensbeschermingsautoriteiten.

7.

De Commissie heeft gekozen uit verschillende opties en stelt nu voor om het takenpakket van ENISA uit te breiden en om wetshandhavings- en gegevensbeschermingsautoriteiten aan de permanente groep van belanghebbenden toe te voegen als volwaardige leden. De nieuwe taakomschrijving omvat geen operationele taken, maar actualiseert en herformuleert de huidige taken.

8.

Het voorstel werd in overeenstemming met artikel 28, lid 2, van Verordening (EG) nr. 45/2001 op 1 oktober 2010 ter raadpleging naar de EDPS verstuurd. De EDPS is verheugd over deze kwestie te worden geraadpleegd en adviseert om in de overwegingen van het voorstel een verwijzing naar deze raadpleging op te nemen, zoals te doen gebruikelijk in wetsteksten waarover de EDPS in overeenstemming met Verordening (EG) nr. 45/2001 is geraadpleegd.

9.

Voorafgaand aan de goedkeuring van het voorstel is de EDPS al informeel geraadpleegd, waarna deze een aantal informele op- en aanmerkingen bij het geheel heeft geplaatst. Deze zijn echter geen van alle meegenomen in de definitieve versie van het voorstel.

10.

De EDPS benadrukt dat de beveiliging van gegevensverwerking een cruciaal onderdeel uitmaakt van gegevensbescherming (9). Om die reden is de EDPS ingenomen met het doel van het voorstel, namelijk uitbreiding van de bevoegdheden van het Agentschap, opdat het zijn huidige taken en verantwoordelijkheden doeltreffender invulling kan geven en tegelijkertijd zijn werkgebied kan uitbreiden. De EDPS is bovendien ingenomen met de toelating van wetshandhavings- en gegevensbeschermingsautoriteiten als volwaardige belanghebbenden en is van mening dat de uitbreiding van het mandaat van ENISA een manier is een professioneel en gestroomlijnd beheer van veiligheidsmaatregelen voor informatiesystemen op Europees niveau te bevorderen.

11.

De algehele beoordeling van het voorstel is dan ook positief. Dat neemt niet weg dat de voorgestelde Verordening op een aantal punten onduidelijkheden laat bestaan of onvolledig is, wat vanuit gegevensbeschermingsperspectief aanleiding geeft tot zorg. In het volgende hoofdstuk wordt nader op deze kwesties ingegaan.

12.

De nieuwe taken van het Agentschap ten aanzien van de betrokkenheid van wetshandhavingsautoriteiten zoals weergegeven in artikel 3 van het voorstel zijn in zeer algemene bewoordingen geformuleerd. De memorie van toelichting daarentegen is iets duidelijker. Daarin wordt ENISA neergezet als een agentschap dat samenwerkt met wetshandhavingsautoriteiten op het vlak van de cybermisdaad en geen operationele taken heeft ten aanzien van de bestrijding van die cybermisdaad. In artikel 3 worden deze taken echter niet of slechts in zeer algemene bewoordingen weergegeven.

13.

Teneinde elke rechtsonzekerheid tegen te gaan, dient de voorgestelde verordening de taken van ENISA duidelijk en ondubbelzinnig te omschrijven. Zoals reeds gezegd, vormt de veiligheid van gegevensverwerking een cruciaal element van gegevensbescherming. ENISA zal een steeds belangrijkere rol spelen op dit vlak. Het dient de burgers, instellingen en organen duidelijk te zijn bij wat voor activiteiten ENISA betrokken kan zijn. Dit wordt des te belangrijker indien het nieuwe takenpakket tevens de verwerking van persoonsgegevens zal omvatten (zie de punten 17 t/m 20 hieronder).

14.

In artikel 3, lid 1, onder k), van het voorstel staat dat het Agentschap gehouden is elke andere via een ander wetgevingsbesluit aan het Agentschap opgedragen taak uit te voeren. De EDPS stelt vraagtekens bij dit open einde, aangezien hiermee eventuele mazen worden gecreëerd, met alle mogelijke negatieve gevolgen voor de coherentie van het rechtsinstrument en alle risico’s op functieverschuiving van het Agentschap van dien.

15.

Een van de in artikel 3, lid 1, onder k), van het voorstel genoemde taken, maakt onderdeel uit van Richtlijn 2002/58/EG (10). Daarin staat dat de Commissie gehouden is het Agentschap te raadplegen ten aanzien van technische uitvoeringsmaatregelen voortvloeiend uit kennisgevingen naar aanleiding van het uitlekken van vertrouwelijke gegevens. De EDPS adviseert deze activiteit van het Agentschap gedetailleerder te beschrijven en daarbij een beperking aan te brengen tot het beveiligingsdeel van het geheel. Gezien de potentiële impact van ENISA op de beleidsontwikkeling op dit gebied, dient er in de voorgestelde verordening voor deze activiteit een duidelijkere en prominentere positie te worden ingeruimd.

16.

Bovendien adviseert de EDPS om gezien de specifieke taak van ENISA ten aanzien van de ondersteuning van de lidstaten en de Europese instellingen en organen bij hun inspanningen om gegevens te verzamelen, analyseren en verspreiden ten aanzien van netwerk- en informatiebeveiliging, zoals omschreven in artikel 3, lid 1, onder c), van onderhavig voorstel, een verwijzing naar Richtlijn 1999/5/EG (11) op te nemen in overweging 21. Dit dient de netwerk- en informatiebeveiligingsacties van ENISA ten aanzien van goede praktijken en technieken te bevorderen. Bovendien geeft het de mogelijkheden voor constructieve interacties tussen het Agentschap en de normalisatie-instellingen beter weer.

17.

In het voorstel wordt niet aangegeven of het takenpakket van het Agentschap tevens de verwerking van persoonsgegevens omvat. Dat betekent dat er in het voorstel geen specifieke rechtsgrond in de betekenis van artikel 5 van Verordening (EG) nr. 45/2001 voor de verwerking van persoonsgegevens is opgenomen.

18.

Een aantal taken van het Agentschap kan (althans tot op zekere hoogte) de verwerking van persoonsgegevens met zich meebrengen. Zo is het bijvoorbeeld niet uitgesloten dat er bij de analyse van beveiligingsincidenten en incidenten waarbij vertrouwelijke gegevens zijn uitgelekt, alsook bij de uitvoering van non-operationele functies in het kader van de bestrijding van cybermisdaad, tevens persoonsgegevens vergaard en geanalyseerd moeten worden.

19.

In overweging 9 van het voorstel wordt verwezen naar de bepalingen van Richtlijn 2002/21/EG (12) waarin wordt bepaald dat waar aangewezen het Agentschap ingeval van het uitlekken van vertrouwelijke gegevens een melding krijgt van de nationale regelgevende instantie. De EDPS adviseert dan ook om gedetailleerder in het voorstel aan te geven wat voor een soort meldingen er naar ENISA toegestuurd zouden moeten worden en op welke wijze ENISA daarop zou moeten reageren. Bovendien dient in het voorstel aandacht te worden besteed aan de gevolgen van de verwerking van de analyse van eventuele dergelijke meldingen op het vlak van de verwerking van persoonsgegevens.

20.

De EDPS roept de wetgever dan ook op om opheldering te verschaffen over de vraag of, en zo ja, bij welke van de in artikel 3 opgesomde activiteiten van ENISA persoonsgegevens zullen worden verwerkt.

21.

Hoewel ENISA een belangrijke rol speelt in het debat over netwerk- en informatiebeveiliging in Europa, wordt er in het voorstel met nagenoeg geen woord gerept over mogelijke beveiligingsmaatregelen voor het Agentschap zelf (al dan niet verband houdend met de verwerking van persoonsgegevens).

22.

De EDPS is van mening dat het Agentschap nog beter in staat zal zijn goede praktijken ten aanzien van de beveiliging van de verwerking van gegevens te verbreiden indien dergelijke beveiligingsmaatregelen uitgebreid toepassing vinden binnen ENISA zelf. Mede hierdoor zal het Agentschap niet alleen worden erkend als kenniscentrum, maar tevens als een referentie ten aanzien van de concrete toepassing van beste beschikbare technieken (BBT) op beveiligingsgebied. Het streven naar uitmuntendheid op het vlak van beveiligingsmaatregelen dient dan ook verankerd te worden in de Verordening tot vaststelling van de werkprocedures van het Agentschap. De EDPS stelt dan ook voor het voorstel uit te breiden met een bepaling in die richting, bijvoorbeeld door van het Agentschap te verlangen gebruik te maken van de beste beschikbare technieken, oftewel de meest doeltreffende en geavanceerde beveiligingsprocedures en bijbehorende werkmethoden.

23.

Op deze manier kan het Agentschap advies verlenen ten aanzien van de praktische geschiktheid van specifieke technieken voor de beoogde beveiligingswaarborgen. Bovendien dient bij de tenuitvoerlegging van deze BBT’s voorrang te worden gegeven aan die technieken waarmee aan de ene kant het beoogde beveiligingsniveau gewaarborgd is en anderzijds de mogelijke impact op de privacy wordt geminimaliseerd. Dat betekent dat er gekozen dient te worden voor technieken die zoveel mogelijk overeenstemmen met het „privacy by design”-concept.

24.

De EDPS adviseert om zelfs wanneer de ambities iets lager worden gesteld, op zijn minst de volgende vereisten op te nemen in de Verordening: i) ontwikkeling van een intern beveiligingsbeleid na een uitgebreide risicobeoordeling, met inachtneming van de internationale normen en beste praktijken in de lidstaten, ii) de benoeming van een beveiligingsfunctionaris belast met de tenuitvoerlegging van het beleid met daarvoor toereikende middelen en bevoegdheden, iii) de goedkeuring van het beleid na nauwkeurige beoordeling van het residuele risico en de door de raad van bestuur voorgestelde maatregelen, en iv) een periodieke evaluatie van het beleid waarbij duidelijk wordt aangegeven hoe vaak deze dient plaats te vinden en wat de precieze doelstellingen ervan zijn.

25.

Zoals reeds aangegeven, is de EDPS ingenomen met de uitbreiding van het mandaat van het Agentschap en is hij ervan overtuigd dat gegevensbeschermingsautoriteiten veel baat zullen hebben bij het bestaan van het Agentschap (en het Agentschap op zijn beurt bij de expertise van deze autoriteiten). Gezien de natuurlijke en logische samenhang tussen gegevensbeveiliging en gegevensbescherming worden het Agentschap en de gegevensbeschermingsautoriteiten dan ook opgeroepen nauw samen te werken.

26.

In overwegingen 24 en 25 staat een verwijzing naar het voorstel voor een EU-richtlijn inzake cybermisdaad en wordt aangegeven dat het Agentschap in contact dient te treden met wetshandhavingsautoriteiten en ook gegevensbeschermingsautoriteiten als het gaat om de informatiebeveiligingsaspecten van de bestrijding van cybermisdaad (13).

27.

Het voorstel dient tevens te voorzien in concrete kanalen en samenwerkingsmechanismen waarmee i) de consistentie van de activiteiten van het Agentschap met die van de gegevensbeschermingsautoriteiten gewaarborgd is en ii) nauwe samenwerking tussen het Agentschap en de gegevensbeschermingsautoriteiten mogelijk wordt.

28.

Wat de consistentie betreft, wordt in overweging 27 expliciet verwezen naar het feit dat de taken van het Agentschap nooit en te nimmer in conflict mogen komen met de gegevensbeschermingsautoriteiten van de lidstaten. De EDPS is ingenomen met deze verwijzing, maar tekent aan dat er geen enkele verwijzing is naar de EDPS en de Groep gegevensbescherming artikel 29. De EDPS adviseert de wetgever om voor deze twee entiteiten een soortgelijke non-interferentiebepaling in het voorstel op te nemen, aangezien het speelveld van alle partijen er veel duidelijker door zou worden. Het dient dan ook het kader voor de samenwerkingskanalen en -mechanismen te vormen waarmee het Agentschap de uiteenlopende gegevensbeschermingsautoriteiten en de Groep gegevensbescherming artikel 29 kan ondersteunen.

29.

Dienovereenkomstig is de EDPS voor wat nauwe samenwerking betreft, ingenomen met de opname van vertegenwoordigers van gegevensbeschermingsautoriteiten in de permanente groep van belanghebbenden dat het Agentschap zal bijstaan met advies ten aanzien van de tenuitvoerlegging van zijn activiteiten. De EDPS adviseert een expliciete bepaling op te nemen die stelt dat de benoeming van een dergelijke vertegenwoordiging van nationale gegevensbeschermingsautoriteiten door het Agentschap dient te geschieden op basis een voorstel van de Groep gegevensbescherming artikel 29. Tevens zou het op prijs worden gesteld indien er een verwijzing werd opgenomen uit hoofde waarvan EDPS aanwezig kan zijn bij bijeenkomsten waarin wordt beoogd kwesties te bespreken die relevant zijn voor de samenwerking met de EDPS. Bovendien adviseert de EDPS het Agentschap om (bijgestaan met advies door de permanente groep van belanghebbenden en na goedkeuring door de raad van bestuur) ad-hocwerkgroepen op te richten voor de onderwerpen waar een overlap bestaat tussen gegevensbescherming en gegevensbeveiliging, teneinde de beoogde nauwe samenwerking vorm te geven.

30.

Tot slot, teneinde elk mogelijk misverstand te vermijden, adviseert de EDPS om in plaats van de term „privacybeschermingsautoriteiten” de term „gegevensbeschermingsautoriteiten” te gebruiken en te verduidelijken wie deze autoriteiten zijn door een verwijzing op te nemen naar zowel artikel 28 van Richtlijn 95/46/EG als de EDPS, zoals bepaald in Hoofdstuk V van Verordening (EG) nr. 45/2001.

31.

De EDPS maakt melding van een inconsistentie in de voorgestelde Verordening met betrekking tot welke partijen ENISA om bijstand kunnen vragen. Uit overwegingen 7, 15, 16, 18 en 36 van het voorstel vloeit voort dat ENISA bevoegd is autoriteiten in de lidstaten en de Europese Unie als geheel assistentie te verlenen. In artikel 2, lid 1, daarentegen wordt uitsluitend naar de Commissie en de lidstaten verwezen, terwijl in artikel 14 de mogelijkheid om bijstand te vragen beperkt wordt tot i) het Europees Parlement, ii) de Raad, iii) de Commissie en iv) alle door een lidstaat aangewezen bevoegde organen, waardoor een aantal instellingen, organen, agentschappen en kantoren van de EU dus niet over dat recht zouden beschikken.

32.

Artikel 3 van het voorstel is iets duidelijker en noemt verschillende soorten bijstand afhankelijk van het soort ontvangende partij: i) vergaring en analyse van informatiebeveiligingsgegevens (met betrekking tot de lidstaten en de Europese instellingen en organen), ii) analyse van de stand van zaken ten aanzien van de netwerk- en informatiebeveiliging in Europa (met betrekking tot de lidstaten en de Europese instellingen), iii) bevordering van het gebruik van risicomanagement en goede praktijken ten aanzien van beveiliging (in de gehele Europese Unie en de lidstaten), iv) de ontwikkeling van netwerk- en informatiebeveiligingsdetectie (binnen de Europese instellingen en organen) en v) deelname aan de dialoog en samenwerking met derde landen (als het gaat om de Europese Unie).

33.

De EDPS roept de wetgever op deze inconsistentie uit de weg te ruimen en voornoemde bepalingen met elkaar in overeenstemming te brengen. Met betrekking daartoe adviseert de EDPS om artikel 14 dusdanig te wijzigen dat het op alle instellingen, organen, kantoren en agentschappen van de Europese Unie slaat en dat duidelijk is welk soort bijstand de verschillende entiteiten binnen de EU kunnen aanvragen (ingeval de wetgever een dergelijke differentiatie daadwerkelijk beoogt). Op soortgelijke wijze wordt geadviseerd eveneens publieke en private entiteiten de mogelijkheid te bieden zich door het Agentschap te laten assisteren indien een verzoek vanuit Europees perspectief een duidelijk potentieel bevat en het in overeenstemming is met de doelstellingen van het Agentschap.

34.

In de memorie van toelichting wordt voorzien in verdergaande bevoegdheden van de raad van bestuur als het gaat om haar toezichthoudende rol. De EDPS is ingenomen met deze taakverzwaring en adviseert een aantal aspecten met betrekking tot gegevensbescherming op te nemen in het functiepakket van de raad van bestuur. Bovendien adviseert de EDPS om in de Verordening ondubbelzinnig op te nemen wie bevoegd is: i) maatregelen vast te stellen voor de toepassing van Verordening (EG) nr. 45/2001 door het Agentschap, met inbegrip van de maatregelen met betrekking tot de benoeming van een functionaris voor gegevensbescherming, ii) het beveiligingsbeleid en de daaropvolgende periodieke herzieningen goed te keuren, en iii) het samenwerkingsprotocol met gegevensbeschermingsautoriteiten en wethandhavingsautoriteiten vast te stellen.

35.

Hoewel dit reeds krachtens Verordening (EG) nr. 45/2001 vereist is, stelt de EDPS voor om in artikel 27 een verwijzing op te nemen naar de benoeming van de functionaris voor gegevensbescherming, gezien het feit dat dit een buitengewoon belangrijk onderwerp is dat direct gepaard dient te gaan met de instelling van de uitvoeringsbepalingen ten aanzien van de reikwijdte van de aan de functionaris voor gegevensbescherming in overeenstemming met artikel 24, lid 8, van Verordening (EG) nr. 45/2001 toe te kennen bevoegdheden en op te dragen taken. Concreet zou artikel 27 er als volgt kunnen uitzien:

36.

Indien er een specifieke rechtsgrond nodig is voor de verwerking van persoonsgegevens, zoals besproken in de punten 17 t/m 20 hierboven, dient daarin te worden gespecificeerd welke waarborgen, beperkingen en voorwaarden er voor een dergelijke gegevensverwerking gelden moeten.

37.

De algehele beoordeling van het voorstel is positief en de EDPS is ingenomen met de verlenging van het mandaat van het Agentschap alsook de uitbreiding van de taken ervan door opname van gegevensbeschermingsautoriteiten en wethandhavingsautoriteiten als volwaardige belanghebbenden. De EDPS is van mening dat met de continuïteit van het Agentschap een professioneel en gestroomlijnd beheer van beveiligingsmaatregelen voor informatiesystemen op Europees niveau zal worden bevorderd.

38.

De EDPS adviseert, teneinde alle rechtsonzekerheid te vermijden, het voorstel verder uit te werken ten aanzien van de uitbreiding van het takenpakket van het Agentschap, en dan met name ten aanzien van de taken met betrekking tot de betrokkenheid van wethandhavings- en gegevensbeschermingsautoriteiten. Verder wijst de EDPS op de eventuele mazen als gevolg van een van de bepalingen van het voorstel waarmee het Agentschap zonder enige nadere beperking middels andere wetgevingsbesluiten verdere taken toebedeeld kan krijgen.

39.

De EDPS verzoekt de wetgever te verduidelijken of, en zo ja bij welke activiteiten er tevens persoonsgegevens verwerkt worden.

40.

De EDPS adviseert bepalingen op te nemen met betrekking tot de totstandbrenging van een beveiligingsbeleid voor het Agentschap zelf, ter versterking van de rol van het Agentschap als drijvende kracht achter excellentie op het vlak van beveiliging, alsook als pleitbezorger van „privacy by design” door het gebruik van de best beschikbare beveiligingstechnieken die de rechten op het vlak van de bescherming van persoonsgegevens moeten waarborgen.

41.

De samenwerkingskanalen met gegevensbeschermingsautoriteiten, waaronder de EDPS en de Groep gegevensbescherming artikel 29, dienen beter te worden gedefinieerd teneinde te zorgen voor consistentie en nauwe samenwerking.

42.

De EDPS roept de wetgever op een aantal inconsistenties met betrekking tot de in artikel 14 genoemde beperkingen ten aanzien van de mogelijkheden het Agentschap om bijstand te vragen, op te lossen. De EDPS adviseert in concreto deze beperkingen te schrappen en alle instellingen, organen, agentschappen en kantoren van de Europese Unie de mogelijkheid te bieden het Agentschap om bijstand te vragen.

43.

Tot slot adviseert de EDPS om de bevoegdheden van de raad van bestuur tevens uit te breiden met een aantal concrete elementen waarmee beter gegarandeerd kan worden dat goede praktijken ten aanzien van gegevensbeveiliging en gegevensbescherming binnen het Agentschap daadwerkelijk gevolgd worden. De EDPS stelt onder meer voor een verwijzing op te nemen naar de benoeming van een functionaris voor gegevensbescherming en de goedkeuring van de maatregelen ten behoeve van de correcte tenuitvoerlegging van Verordening (EG) nr. 45/2001.

1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/25

—

op de website Concurrentie van de Commissie, afdeling fusies (http://ec.europa.eu/competition/mergers/cases/). Deze website biedt verschillende hulpmiddelen om individuele concentratiebeschikkingen op te zoeken, onder meer op: naam van de onderneming, nummer van de zaak, datum en sector,

—

in elektronische vorm op de EUR-Lex-website (http://eur-lex.europa.eu/en/index.htm) onder documentnummer 32011M6076. EUR-Lex biedt online-toegang tot de communautaire wetgeving.

1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/26

1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/27

Europese Rekenkamer

Eenheid „Communicatie en verslagen”

12, rue Alcide De Gasperi

1615 Luxembourg

LUXEMBOURG

Tel. +352 4398-1

E-mail: euraud@eca.europa.eu

1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/28

1.

de exploitatievergunning, het bewijs luchtvaartexploitant (AOC), behalve wanneer deze documenten door België zijn afgegeven;

2.

het verzekeringsbewijs;

3.

elementen die aantonen dat de vestiging van de communautaire luchtvaartmaatschappij in België overeenstemt met het Gemeenschapsrecht;

4.

de elementen die de operationele en financiële draagkracht aantonen in de zin van Verordening (EG) nr. 1008/2008 van het Europees Parlement en de Raad van 24 september 2008 inzake gemeenschappelijke regels voor de exploitatie van luchtdiensten in de Gemeenschap;

5.

de volgende inlichtingen betreffende de geplande geregelde luchtdiensten:

6.

de eventuele aanvaarding door de aanvrager om in uitzonderlijke omstandigheden de nodige capaciteit ter beschikking te stellen ten einde aan de nationale of internationale behoeften van België te kunnen voldoen.

1.

aanvullende informatie aan de communautaire luchtvaartmaatschappij vragen, en/of

2.

hoorzittingen met alle aanvragers organiseren.

1.

van het aantal communautaire luchtvaartmaatschappijen die kunnen worden aangewezen;

2.

van het aantal vluchten die op de bepaalde routes kunnen worden uitgevoerd.

1.

van het aantal communautaire luchtvaartmaatschappijen die kunnen worden aangewezen, of

2.

van het aantal frequenties die op de bepaalde routes kunnen worden uitgevoerd,

1.

indien opmerkingen worden meegedeeld, neemt de minister binnen de vijftien werkdagen na de ontvangst van deze opmerkingen een definitieve beslissing over de toekenning van verkeersrechten en/of de aanwijzing, die aan de aanvragers per aangetekende brief meegedeeld wordt en gepubliceerd wordt op de website van de FOD Mobiliteit en Vervoer;

2.

indien geen opmerkingen worden meegedeeld, wordt de ontwerpbeslissing een definitieve beslissing van de minister tot toekenning van verkeersrechten en/of aanwijzing, die aan de aanvrager(s) per aangetekende brief wordt meegedeeld en gepubliceerd wordt op de website van de FOD Mobiliteit en Vervoer.

1.

de elementen bedoeld in artikel 4 meegedeeld door de communautaire luchtvaartmaatschappij;

2.

de aangeboden garanties betreffende de duurzaamheid van de exploitatie en de integratie ervan in een samenhangend bedrijfsplan;

3.

het optimale gebruik van de beperkte verkeersrechten;

4.

het prioritair karakter van exploitaties uitgevoerd door middel van de eigen luchtvaartuigen van de communautaire luchtvaartmaatschappij (in eigendom of in huur) op de verrichtingen waarbij de communautaire luchtvaartmaatschappij zich tevreden stelt met het commercialiseren van vluchten door middel van overeenkomsten met betrekking tot gedeelde vluchtcodes voor vluchten uitgevoerd door een andere luchtvaartmaatschappij;

5.

het belang van alle categorieën gebruikers;

6.

de vergemakkelijkte toegang tot nieuwe routes, markten, regio's, zowel via nieuwe aansluitingen als vanuit of naar verschillende Belgische luchthavens;

7.

de bijdrage tot het bieden van een afdoende concurrentie;

8.

de eventuele effecten van de exploitatie op de creatie van directe of indirecte arbeidsplaatsen in de luchtvaartsector;

9.

in ondergeschikte orde, de anciënniteit van de wil van een communautaire luchtvaartmaatschappij, uitgedrukt op een actieve en terugkerende wijze, om de gevraagde verkeersrechten te bekomen.

1.

de exploitatie van de betrokken luchtdiensten te beginnen ten laatste op het einde van het IATA-seizoen volgend op dat van de notificatie van de beslissing tot aanwijzing en/of toekenning van verkeersrechten;

2.

de betrokken luchtdiensten te exploiteren in overeenstemming met het dossier bedoeld in artikel 4. De eigenlijke exploitatie kan niet zodanig afwijken van het oorspronkelijk project dat een andere luchtvaartmaatschappij bij de oorspronkelijke toekenning zou kunnen zijn gekozen;

3.

zich te schikken naar de eventueel door de directeur-generaal bepaalde vereisten, naar de beslissingen en toelatingen van de luchtvaartautoriteiten van de niet-EU landen betrokken bij de exploitatie van de betrokken luchtdiensten evenals naar elke internationale regelgeving hieromtrent;

4.

de stopzetting of onderbreking van de exploitatie van de betrokken luchtdiensten onmiddellijk aan de directeur-generaal te melden. Indien de onderbreking meer dan twee seizoenen duurt, wordt de beslissing tot toekenning van verkeersrechten en/of aanwijzing ambtshalve ingetrokken op het einde van het tweede seizoen, tenzij de communautaire luchtvaartmaatschappij uitzonderlijke omstandigheden buiten haar wil kan inroepen.

1.

ofwel om geen gevolg te geven aan deze aanvraag;

2.

ofwel om een nieuwe toekenningprocedure op te starten.

1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/34

1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/36

1.

Op 23 maart 2011 heeft de Commissie een aanmelding van een voorgenomen concentratie in de zin van artikel 4 van Verordening (EG) nr. 139/2004 van de Raad (1) ontvangen. Hierin is meegedeeld dat Giesecke & Devrient GmbH („G&D”, Duitsland) en BEB Industrie-Elektronik AG („BEB”, Zwitserland), die onder zeggenschap staat van Wincor Nixdorf International GmbH („WNI”, Duitsland), die deel uitmaakt van het concern Wincor Nixdorf Aktiengesellschaft (Duitsland), in de zin van artikel 3, lid 1, onder b), van de EG-concentratieverordening de gezamenlijke zeggenschap verkrijgen over de onderneming CI Tech Components AG (Zwitserland) door overdracht van activa en verwerving van aandelen in een nieuw opgerichte gemeenschappelijke onderneming.

2.

De bedrijfswerkzaamheden van de betrokken ondernemingen zijn:

3.

Op grond van een voorlopig onderzoek is de Commissie van oordeel dat de aangemelde concentratie binnen het toepassingsgebied van de EG-concentratieverordening kan vallen. Ten aanzien van dit punt wordt de definitieve beslissing echter aangehouden. Er zij op gewezen dat deze zaak in aanmerking kan komen voor de vereenvoudigde procedure zoals uiteengezet in de mededeling van de Commissie betreffende een vereenvoudigde procedure voor de behandeling van bepaalde concentraties krachtens de EG-concentratieverordening (2).

4.

De Commissie verzoekt belanghebbenden haar hun eventuele opmerkingen over de voorgenomen concentratie kenbaar te maken.

Deze opmerkingen moeten de Commissie uiterlijk tien dagen na dagtekening van deze bekendmaking hebben bereikt. Zij kunnen per faxbericht (+32 22964301), per e-mail naar COMP-MERGER-REGISTRY@ec.europa.eu of per post, onder vermelding van zaaknummer COMP/M.6144 — Giesecke & Devrient/Wincor Nixdorf International/BEB Industrie-Elektronik, aan onderstaand adres worden toegezonden:

1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/38

1.

Op 21 maart 2011 heeft de Commissie een aanmelding van een voorgenomen concentratie in de zin van artikel 4 van Verordening (EG) nr. 139/2004 van de Raad (1) ontvangen. Hierin is meegedeeld dat de onderneming MAN Truck & Bus AG („MAN Truck & Bus”, Duitsland), die onder zeggenschap staat van MAN SE („MAN”, Duitsland), in de zin van artikel 3, lid 1, onder b), van de EG-concentratieverordening de uitsluitende zeggenschap verkrijgt over de gehele onderneming MAN Camions et Bus S.A.S. („MAN Camions et Bus”, Frankrijk) en MAN Truck and Bus N.V./S.A. („MAN Truck and Bus Belgium”, België) door de verwerving van aandelen.

2.

De bedrijfswerkzaamheden van de betrokken ondernemingen zijn:

3.

Op grond van een voorlopig onderzoek is de Commissie van oordeel dat de aangemelde concentratie binnen het toepassingsgebied van de EG-concentratieverordening kan vallen. Ten aanzien van dit punt wordt de definitieve beslissing echter aangehouden. Er zij op gewezen dat deze zaak in aanmerking kan komen voor de vereenvoudigde procedure zoals uiteengezet in de mededeling van de Commissie betreffende een vereenvoudigde procedure voor de behandeling van bepaalde concentraties krachtens de EG-concentratieverordening (2).

4.

De Commissie verzoekt belanghebbenden haar hun eventuele opmerkingen over de voorgenomen concentratie kenbaar te maken.

Deze opmerkingen moeten de Commissie uiterlijk tien dagen na dagtekening van deze bekendmaking hebben bereikt. Zij kunnen per faxbericht (+32 22964301), per e-mail naar COMP-MERGER-REGISTRY@ec.europa.eu of per post, onder vermelding van zaaknummer COMP/M.6182 — MAN/MAN Camions et Bus/MAN Truck & Bus Belgium, aan onderstaand adres worden toegezonden:

1.4.2011   

NL

Publicatieblad van de Europese Unie

C 101/39

1.

Gemeenschappelijk Standpunt 2002/402/GBVB (1) roept de Unie op de tegoeden en economische middelen te bevriezen van Usama bin Laden, de leden van de Al-Qa‘ida-organisatie, de Taliban en andere daarmee verbonden personen, groepen, ondernemingen en entiteiten, als bedoeld in de lijst die is opgesteld op grond van Resolutie 1267(1999) en Resolutie 1333(2000) van de VN-Veiligheidsraad, die regelmatig wordt bijgewerkt door het VN-Comité dat is ingesteld bij Resolutie 1267(1999) van de VN-Veiligheidsraad.

De lijst die is opgesteld door het VN-Comité omvat:

Handelingen of activiteiten die erop wijzen dat een persoon, groep, onderneming of entiteit „banden heeft met” Al-Qa‘ida, Usama bin Laden of de Taliban, zijn:

2.

Het VN-Comité heeft op 23 maart 2011 besloten Ibrahim Hassan Tali Al-Asiri toe te voegen aan de bedoelde lijst. Hij kan te allen tijde een verzoek aan de ombudsman van de VN richten, met ondersteunende documentatie, tot heroverweging van de gronden waarop hij op de bovengenoemde VN-lijst is geplaatst. Dit verzoek dient aan het volgende adres te worden gericht:

Zie voor meer informatie: http://www.un.org/sc/committees/1267/delisting.shtml

3.

Naar aanleiding van het in punt 2 genoemde besluit van de VN heeft de Commissie Verordening (EU) nr. 317/2011 (2) vastgesteld tot wijziging van bijlage I bij Verordening (EG) nr. 881/2002 van de Raad tot vaststelling van bepaalde specifieke beperkende maatregelen tegen sommige personen en entiteiten die banden hebben met Usama bin Laden, het Al-Qa‘ida-netwerk en de Taliban (3). Bij die wijziging, die overeenkomstig artikel 7, lid 1, onder a), en artikel 7 bis, lid 1, van Verordening (EG) nr. 881/2002 is verricht, wordt Ibrahim Hassan Tali Al-Asiri aan de lijst in bijlage I bij die verordening (hierna „bijlage I” genoemd) toegevoegd.

De onderstaande maatregelen van Verordening (EG) nr. 881/2002 zijn van toepassing op de aan bijlage I toegevoegde personen en entiteiten:

4.

Artikel 7 bis van Verordening (EG) nr. 881/2002 (5) voorziet in een toetsing wanneer opmerkingen zijn ingediend over de gronden voor opname op de lijst door op de lijst geplaatste personen of entiteiten. De personen en entiteiten die bij Verordening (EU) nr. 317/2011 aan bijlage I zijn toegevoegd, kunnen de Commissie verzoeken om een toelichting op de redenen waarom zij op de lijst zijn opgenomen. Dit verzoek dient aan het volgende adres te worden gericht:

5.

De betrokken personen en entiteiten worden er tevens op geattendeerd dat zij tegen Verordening (EU) nr. 317/2011 beroep kunnen instellen bij het Gerecht van de Europese Unie, overeenkomstig artikel 263, vierde en zesde alinea, van het Verdrag betreffende de werking van de Europese Unie.

6.

De persoonsgegevens van de betrokkenen zullen worden verwerkt overeenkomstig Verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (6). Alle verzoeken, bijvoorbeeld om verdere informatie of met het oog op de uitoefening van de rechten waarin Verordening (EG) nr. 45/2001 voorziet (bijvoorbeeld toegang tot of rectificatie van persoonsgegevens), moeten worden gericht aan de Commissie, op hetzelfde adres als in punt 4.

7.

Voor de goede orde worden de aan bijlage I toegevoegde personen en entiteiten erop geattendeerd dat zij een verzoek kunnen richten tot de bevoegde autoriteiten van de lidstaat of lidstaten, als vermeld in bijlage II bij Verordening (EG) nr. 881/2002, om een machtiging te verkrijgen om bevroren tegoeden, andere financiële activa of economische middelen te gebruiken voor essentiële behoeften of specifieke betalingen, in overeenstemming met artikel 2 bis van die verordening.