Transcript COM(2017) 29 final

Raad van de
Europese Unie
Brussel, 8 februari 2017
(OR. en)
6086/17
USA 8
RELEX 110
DATAPROTECT 11
DAPIX 41
JAI 100
BEGELEIDENDE NOTA
van:
ingekomen:
aan:
de heer Jordi AYET PUIGARNAU, directeur, namens de secretarisgeneraal van de Europese Commissie
20 januari 2017
de heer Jeppe TRANHOLM-MIKKELSEN, secretaris-generaal van de
Raad van de Europese Unie
Nr. Comdoc.:
COM(2017) 29 final
Betreft:
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT
EN DE RAAD over de gezamenlijke controle van de uitvoering van
de overeenkomst tussen de Verenigde Staten van Amerika en
de Europese Unie inzake het gebruik en de doorgifte van persoonsgegevens van passagiers aan het Amerikaanse Ministerie van
Binnenlandse Veiligheid
Hierbij gaat voor de delegaties document COM(2017) 29 final.
Bijlage: COM(2017) 29 final
6086/17
ln
DGD 1C
NL
EUROPESE
COMMISSIE
Brussel, 19.1.2017
COM(2017) 29 final
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE
RAAD
over de gezamenlijke controle van de uitvoering van de overeenkomst tussen de
Verenigde Staten van Amerika en de Europese Unie inzake het gebruik en de doorgifte
van persoonsgegevens van passagiers aan het Amerikaanse Ministerie van Binnenlandse
Veiligheid
{SWD(2017) 14 final}
{SWD(2017) 20 final}
NL
NL
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE
RAAD
over de gezamenlijke controle van de uitvoering van de overeenkomst tussen de
Verenigde Staten van Amerika en de Europese Unie inzake het gebruik en de doorgifte
van persoonsgegevens van passagiers aan het Amerikaanse Ministerie van Binnenlandse
Veiligheid
Inleiding
De thans geldende overeenkomst tussen de Verenigde Staten van Amerika (hierna "de VS"
genoemd) en de Europese Unie (hierna "de EU" genoemd) inzake het gebruik en de doorgifte
van persoonsgegevens van passagiers (hierna "PNR-gegevens" genoemd) aan het
Amerikaanse Ministerie van Binnenlandse Veiligheid (Department of Homeland Security,
hierna "het DHS" genoemd) is op 1 juli 2012 in werking getreden.
In de overeenkomst is bepaald dat één jaar na de inwerkingtreding daarvan een eerste
gezamenlijke controle plaatsvindt, en daarna volgens gezamenlijke afspraak op gezette tijden.
Deze gezamenlijke controle vond op 1 en 2 juli 2015 in Washington plaats en het
voorbereidingsproces daarvoor en voor het daaropvolgende verslag zijn aan het eind van dit
verslag opgenomen. De klemtoon lag daarbij hoofdzakelijk op de follow-up van de eerdere
controle-aanbevelingen uit 2013 1; op de tenuitvoerlegging van de overeenkomst, met
bijzondere aandacht voor de wijze waarop PNR-gegevens worden doorgegeven en op de
verdere doorgifte van PNR-gegevens als bedoeld in de desbetreffende artikelen van de
overeenkomst.
De gezamenlijke controle is verricht op basis van de methode die door de teams van de EU en
de VS was uitgewerkt voor de eerste gezamenlijke controle van de PNR-overeenkomst van
2004, die in september 2005 plaatsvond, en voor de gezamenlijke controle van 2013. Het
eerste onderdeel van deze methode hield in dat de Europese Commissie vóór de gezamenlijke
controle een vragenlijst stuurde aan het DHS.
Het werkdocument van de diensten van de Commissie (hierna "het werkdocument" genoemd)
dat als bijlage bij dit verslag gaat, bestaat uit vijf hoofdstukken. In hoofdstuk 1 komen de
achtergrond van de controle en het doel en de procedurele aspecten ervan aan de orde. In
hoofdstuk 2 wordt een update gegeven over de uitvoering van de aanbevelingen van de
controle van 2013. In hoofdstuk 3 worden de belangrijkste bevindingen van de gezamenlijke
controle van 2015 beschreven en wordt een overzicht gegeven van de punten waaraan het
DHS aandacht moet schenken. Hoofdstuk 4 bevat een samenvatting van de aanbevelingen van
de controle van 2015. In hoofdstuk 5 zijn de algemene conclusies opgenomen. Het
1
Verslag van de Commissie aan het Europees Parlement en de Raad, en Werkdocument van de
diensten van de Commissie over de gezamenlijke controle van de uitvoering van de overeenkomst
tussen de Verenigde Staten van Amerika en de Europese Unie inzake het gebruik en de doorgifte van
persoonsgegevens van passagiers aan het Amerikaanse Ministerie van Binnenlandse Veiligheid, 8-9 juli
2013.
2
werkdocument wordt ten slotte aangevuld door een bijlage, waarin de vragenlijst en de
antwoorden van het DHS zijn opgenomen.
Uitvoering van de aanbevelingen van 2013
Alle aanbevelingen van de controle van 2013 zijn ofwel voltooid, ofwel werden verbeteringen
aangebracht en zijn de werkzaamheden nog aan de gang.
Als follow-up van een algemene aanbeveling van de controle van 2013 heeft het Privacy
Office van het DHS een interne privacytoets (Privacy Compliance Review, hierna "PCR"
genoemd) 2 uitgevoerd van de uitvoering van de overeenkomst door het DHS vóór de
gezamenlijke controle van 2015. Deze PCR was bedoeld om vast te stellen of het DHS te
werk gaat volgens de normen en verbintenissen die in de overeenkomst met de EU zijn
opgenomen en het verslag dienaangaande werd op 26 juni 2015 gepubliceerd.
De periode van zes maanden waarna de PNR-gegevens volgens artikel 8, lid 1, van de
overeenkomst moeten worden geanonimiseerd, gaat nu in op de datum waarop de PNRgegevens in het Amerikaanse Automated Targeting System (hier na "ATS" genoemd) worden
opgenomen (de zogeheten ATS Load Date), dat wil zeggen de datum waarop de gegevens in
het ATS worden opgeslagen, in plaats van de vorige werkwijze, waarbij de periode van zes
maanden later ingaat, namelijk op de dag van de laatste bijwerking van de PNR-gegevens in
het ATS.
Bij de controle van 2013 werd tevens aanbevolen om zo snel mogelijk over te gaan op
volledige invoering van de "push"-methode, en wel uiterlijk op 1 juli 2014 zoals in artikel 15,
lid 4, van de overeenkomst is bepaald. Bij de controle van 2015 waren er nog steeds vier
luchtvaartmaatschappijen die geen PNR-gegevens verstrekten via de "push"-methode; het
DHS ondersteunde deze luchtvaartmaatschappijen bij de ontwikkeling van de "push"-methode
om PNR-gegevens te verstrekken.
Bij de controle van 2013 werd aanbevolen dat het DHS op grond van artikel 18 de procedure
voor kennisgeving aan de EU-lidstaten zou verbeteren in het geval van uitwisseling van PNRgegevens tussen het DHS en derde landen. Als reactie daarop werd in juli 2014 bij Europol
een CBP-functionaris tewerkgesteld als verbindingsofficier. Wanneer de verbindingsofficier
een geviseerde passagier met een link naar een lidstaat identificeert, deelt hij deze informatie
in een verslag met de vertegenwoordigers van de lidstaat.
Daarnaast zijn er ook verbeteringen aangebracht in de uitvoering van artikel 13, dat
betrekking heeft op de voor particulieren beschikbare verhaalsmogelijkheden. Bij de controle
van 2013 werd aanbevolen om te zorgen voor grotere transparantie over de
verhaalsmogelijkheden waarover passagiers krachtens het Amerikaans recht beschikken. Het
is positief dat het Traveler Redress Inquiry Program (hierna "TRIP" genoemd) van het DHS
het centraal contactpunt is voor het publiek; de VS zouden niettemin moeten blijven
onderzoeken welke middelen noodzakelijk zijn om ervoor te zorgen dat alle passagiers op de
hoogte zijn van de verhaalsmogelijkheden.
Aanbevelingen van de controle van 2015
2
Privacy Compliance Review - "Report on the use and transfer of passenger name records between the
European Union and the United States", DHS Privacy Office, 26 juni 2015.
http://www.dhs.gov/sites/default/files/publications/privacy_pcr_pnr_review_06262015.pdf.
3
Het EU-team is bij zijn conclusie gebleven dat het DHS de overeenkomst ten uitvoer heeft
gelegd in overeenstemming met de daarin vastgelegde voorwaarden. Het DHS komt zijn
verplichtingen na ten aanzien van de toegangsrechten van passagiers en beschikt over een
toezichtsmechanisme om onrechtmatige discriminatie tegen te gaan. De Commissie is ook
verheugd over de blijvende inspanningen om wederkerigheid te waarborgen en ervoor te
zorgen dat uit PNR-gegevens verkregen analytische informatie proactief met de lidstaten van
de EU en in voorkomend geval met Europol en Eurojust wordt gedeeld. De bepalingen
betreffende het afschermen en wissen van gevoelige gegevens worden nageleefd, en het DHS
heeft verklaard nooit voor operationele doeleinden gebruik te hebben gemaakt van de toegang
tot gevoelige gegevens.
Het DHS blijft ook zijn verbintenissen uitvoeren op het gebied van de rechten van passagiers,
met name de passende informatieverstrekking aan passagiers en het bieden van recht op
toegang zonder uitzondering, zoals bepaald in de artikelen 11, 12 en 13. De vaststelling van
de Judicial Redress Act (wet inzake gerechtelijk beroep) van 2015 is een positieve
ontwikkeling sinds de gezamenlijke controle.
Het DHS gaat bij het delen van informatie met andere Amerikaanse instanties te werk zoals in
de overeenkomst is bepaald. Het delen van informatie wordt per geval bekeken, wordt
geregistreerd en gebeurt op basis van een schriftelijke overeenkomst. Ook bij het delen van
informatie met derde landen interpreteert het DHS de bepalingen strikt en wordt de
overeenkomst nageleefd. De VS passen dezelfde voorschriften inzake gegevensbescherming
toe op alle PNR-gegevens die zij verkrijgen en verwerken, ongeacht of die van binnen of
buiten de EU afkomstig zijn.
Hoewel de uitvoering van de overeenkomst positief wordt beoordeeld, zijn echter enkele
verbeteringen noodzakelijk. Artikel 2 bepaalt dat vluchten die een link met de VS hebben,
onder het toepassingsgebied van de overeenkomst vallen. Het gebruik van een
afwijkingsmechanisme waarbij ook toegang mogelijk is tot PNR-gegevens waarbij er geen
link is met de VS, is aan een aantal voorwaarden en aan toezicht onderworpen. Het aantal
afwijkingen is sinds de controle van 2013 toegenomen en het DHS moet gedetailleerde
redenen opgeven waarom er wordt afgeweken, met het oog op een beter begrip van de
gevallen waarin dat gebeurt.
Wat artikel 5 betreft, is het aantal personeelsleden met toegangsrechten tot PNR-gegevens
toegenomen sinds de vorige controle in 2013. Hoewel het EU-team tevreden is met de
bestaande toezichtmechanismen, wordt het DHS verzocht toezicht te blijven houden op het
aantal personeelsleden met toegangsrechten tot PNR-gegevens om ervoor te zorgen dat alleen
personen met een operationele behoefte om de gegevens te gebruiken en te zien, dat kunnen
doen.
Wat artikel 6 betreft, werden in de periode waarop de controle betrekking heeft, geen
gevoelige gegevens geraadpleegd. Krachtens voorschriften van het DHS geeft het DHS,
wanneer gevoelige gegevens door personeel van het DHS zijn geraadpleegd, daarvan binnen
48 uur kennis aan de Commissie. Aanbevolen wordt dat het DHS regelmatig de lijst van
codes van gevoelige gegevens herziet om te waarborgen dat alle gevoelige gegevens
automatisch door het systeem worden geblokkeerd. Alle wijzigingen zouden aan de
Commissie moeten worden meegedeeld.
Om na de eerste zes maanden alle gegevenselementen af te schermen waaruit de identiteit zou
kunnen worden afgeleid van de passagier waarop de PNR-gegevens betrekking hebben,
4
gebruikt het DHS geautomatiseerde processen. Dit is in overeenstemming met artikel 8 van de
overeenkomst. Bij de controle werd echter vastgesteld dat het aantal PNR-gegevens dat
betrekking heeft op rechtshandhavingsactiviteiten en daarom niet wordt afgeschermd, hoog is.
Het DHS wordt geadviseerd om dit verder te onderzoeken teneinde te begrijpen waarom dat
cijfer hoog is en er tevens voor te zorgen dat PNR-gegevens die niet langer nodig zijn, worden
afgeschermd, geanonimiseerd of gewist zodra dit mogelijk is. Het is positief dat het DHS de
aanbeveling van de controle van 2013 heeft gevolgd en ervoor zorgt dat een gebruiker van het
DHS nu moet rechtvaardigen waarom PNR-gegevens niet worden afgeschermd.
Het DHS voldoet aan artikel 11 van de overeenkomst door geen passagiers de toegang tot hun
gegevens te weigeren. Sinds de laatste controle in 2013 is de responsietijd toegenomen en het
DHS zou moeten nagaan of deze responsietijd kan worden beperkt.
Krachtens artikel 15 blijft het DHS alle resterende luchtvaartmaatschappijen steunen en
aanmoedigen om de mogelijkheid te ontwikkelen PNR-gegevens via de "push"-methode te
verstrekken. Hoewel dit buiten het tijdschema van de controle valt, is het een goede zaak dat
het DHS inmiddels de toepassing van de "push"-methode heeft uitgebreid naar alle
luchtvaartmaatschappijen die binnen de werkingssfeer van de overeenkomst vielen op het
moment van de gezamenlijke controle.
Wat de artikelen 16 en 18 betreft, zou het DHS aanvullende inlichtingen moeten verstrekken
over welke gegevens precies worden verzameld op grond van deze bepalingen en in staat
moeten zijn om nadere informatie te verstrekken over gegevens die worden uitgewisseld met
andere overheidsinstanties van de VS, en politie-, rechtshandhavings- en rechterlijke
instanties in de EU.
Ten slotte zou het DHS er met het oog op toekomstige controles en de evaluatie voor moeten
zorgen dat alle feiten en cijfers op een consistente manier worden verzameld zodat
rechtstreekse vergelijkingen kunnen worden gemaakt.
Voor de opstelling van dit verslag heeft het team van de EU gebruikt gemaakt van informatie
uit de schriftelijke antwoorden van het DHS op de vragenlijst van de EU, informatie die
afkomstig is van de besprekingen met personeel van het DHS, informatie uit het
bovengenoemde verslag van het Privacy Office van het DHS, en informatie uit andere
openbaar toegankelijke DHS-documenten.
Voorbereidingsproces voor de gezamenlijke controle en het daaropvolgend verslag
•
•
•
De Commissie heeft vóór de gezamenlijke controle op 8 mei 2015 een vragenlijst
gestuurd naar het DHS. De vragenlijst bevatte specifieke vragen in verband met de
uitvoering van de overeenkomst door het DHS. Het DHS gaf daarop schriftelijk
antwoord op 12 juni 2015.
De Commissie heeft ook contact opgenomen met alle lidstaten om te bepalen of zij
met de VS contact hebben gehad over PNR-gegevens.
Het bezoek van het EU-team in het kader van de gezamenlijke controle vond op 1 en 2
juli 2015 plaats. Het team kreeg toegang tot de gebouwen van het DHS, bezocht het
National Targeting Center van het DHS en kreeg de gelegenheid om het Targeting
Centre aan het werk te zien.
5
•
•
•
•
•
•
•
Het Privacy Office van het DHS publiceerde zijn verslag over het gebruik en de
doorgifte van PNR-gegevens tussen de EU en de VS op 26 juni 2015. Helaas had het
EU-team daardoor niet voldoende tijd om het verslag volledig te analyseren vóór het
controlebezoek. Vervolgens onderzocht het EU-team het verslag van het Privacy
Office en stelde het follow-up-vragen met het oog op de afronding van het verslag
over de gezamenlijke controle.
Na het bezoek in het kader van de gezamenlijke controle verstrekte het DHS
schriftelijk aanvullende informatie waarom het EU-team tijdens het bezoek had
verzocht. Deze informatie werd gebruikt ter aanvulling van de voorbereiding van dit
verslag.
Het DHS bevestigde op 25 september 2015 dat alle luchtvaartmaatschappijen die in
het kader van de overeenkomst PNR-gegevens verstrekken, de mogelijkheid hadden
ontwikkeld om de "push"-methode te gebruiken om PNR-gegevens door te geven aan
de VS.
De Commissie presenteerde op 21 januari 2016 aan de andere leden van het EU-team
een ontwerpverslag.
Nadat de opmerkingen van de andere leden van het EU-team in het verslag waren
opgenomen, presenteerde de Commissie een kopie van het ontwerpverslag aan de VS
tijdens een vergadering van hoge ambtenaren in Washington D.C. op 17 maart 2016.
Dit bood het DHS de mogelijkheid om vast te stellen of er sprake was
onnauwkeurigheden of van informatie die niet openbaar mocht worden gemaakt en
daarover opmerkingen te maken.
Het DHS verstrekte vervolgens een bijgewerkte versie van de vragenlijst en informele
opmerkingen over het ontwerpverslag die het EU-team heeft besproken op een
bijeenkomst van 9 juni 2016.
Er vonden verdere besprekingen over het ontwerpverslag plaats tussen de Commissie
en het DHS, waaronder een vergadering van hoge ambtenaren in Washington D.C. op
14 juli 2016. De Commissie raadde het DHS in augustus 2016 aan om, voor zover zij
het nog niet eens waren met het verslag of daaraan aanvullende context wilden
toevoegen, schriftelijke opmerkingen te maken, die aan het verslag konden worden
gehecht uit hoofde van artikel 23, lid 3, van de overeenkomst.
6