Verslag van de vergadering van 27 mei 2019 (2018/2019 nr. 31)
Status: gecorrigeerd
Aanvang: 21.12 uur
Mevrouw Strik i (GroenLinks):
Voorzitter, dank u wel. Proactieve en systematische vergelijking van betaalgegevens, e-mailadressen en persoonsgegevens van passagiers met opsporingsdatabases, controles van alle reizigers op vluchten van, naar en binnen de EU, analyse aan de hand van risicocriteria zonder feitelijke basis voor verdenking, jarenlange retentie van al dan niet gepersonaliseerde passagiersgegevens, ook als reizigers het land of het EU-luchtruim al lang uit zijn. Oftewel: de PNR-richtlijn heeft verregaande gevolgen voor de privacy van passagiers uit EU-lidstaten. Daarom wees de Commissie burgerlijke vrijheden van het Europees Parlement in 2013 een eerdere versie van de PNR-richtlijn af. Ook de toenmalige regeringspartijen VVD en PvdA keerden zich in 2014 nog faliekant tegen het verzamelen van PNR-gegevens, iets wat zij een vakantieregister noemden.
De bezwaren van zowel de LIBE-commissie als de toenmalige regeringspartijen waren dat niet onomstotelijk vaststond dat massasurveillance van PNR-gegevens een effectief, noodzakelijk en proportioneel middel is in de strijd tegen terroristische en ernstige misdrijven. Na de terroristische aanslagen in 2015 keerde dit tij en waren de lidstaten plots eensgezind. Kan de regering uitleggen waarom de eerder aangevoerde argumenten niet meer geldig zouden zijn? Kunnen incidenten voldoende onderbouwing vormen voor een dermate fundamentele wijziging en zo nee, waarom dan die draai?
Een kleine vier jaar en veel getreuzel later moet de Eerste Kamer op heel korte termijn beslissen om sancties van de Commissie te vermijden. Maar zo'n principiële keuze vergt een zorgvuldige afweging.
Voorzitter. Mijn fractie onderschrijft uiteraard het doel om terroristische en ernstige misdrijven te voorkomen, maar wij trekken de noodzaak en effectiviteit van zo'n draconische maatregel in twijfel en zijn kritisch op de waarborgen zoals geregeld in richtlijn en wet. Daarbij komt nog dat het kabinet heeft besloten om de richtlijn ruimer te implementeren dan noodzakelijk door de wet ook toe te passen op intra-EU-vluchten. Anders dan aan wetgeving voelen wij ons niet gebonden aan een afspraak binnen de JBZ-Raad van 2015 om deze optionele bepaling toe te passen. In mijn betoog hierna licht ik een aantal in de ogen van mijn fractie ongelukkige aspecten van implementatiewetgeving toe, in de hoop dat de minister onze zorgen hieromtrent kan wegnemen.
Ik begin met de juridische houdbaarheid van het onderliggende wetsvoorstel. Het risico dat het Hof de PNR-richtlijn strijdig met het Handvest verklaart, is levensgroot. Mijn fractie wil de door deze Kamer breed gedeelde bezwaren die we destijds hadden tegen de Dataretentierichtlijn hier in herinnering roepen. Hebben we daar wel voldoende lering uit getrokken? Dreigen wij nu niet dezelfde fout te maken nu de PNR-richtlijn ook strijdig met het Handvest lijkt te zijn? Het Hof verklaarde de Dataretentierichtlijn in 2014 ongeldig in het arrest Digital Rights Ireland and Seitlinger. Aan dit arrest lag ten grondslag dat de richtlijn geen enkel verband vereiste tussen de opslag van de gegevens en het gedrag van personen, wat een heel vergaande inbreuk op de persoonlijke levenssfeer van de betrokkenen kan vormen. Deze inbreuk kon alleen worden gecompenseerd door het opnemen van passende garanties en waarborgen voor zorgvuldige dataretentie en -verwerking.
Maar in het Tele2-arrest uit 2016 ging het Hof zelfs nog verder. Een algemene en ongedifferentieerde bewaarplicht — het ging weliswaar over telecomgegevens — werd in strijd met het EU-recht bevonden. Bovendien herhaalde het Hof het vereiste van strikte regels rond toegang en retentie van gegevens.
Recentelijk heeft het Hof in zijn bindend advies op de PNR-overeenkomst tussen de EU en Canada deze op onderdelen onverenigbaar geacht met het recht op eerbiediging van het privéleven en de bescherming van persoonsgegevens, zoals geregeld in artikel 7 en 8 van het Handvest van de grondrechten. De PNR-richtlijn die nu voorligt, bevat bepalingen die vrijwel identiek zijn aan de overeenkomst tussen EU en Canada, bijvoorbeeld als het gaat om dataretentie en het ontbreken van waarborgen omtrent het gebruik van risicocriteria. Maar natuurlijk geldt dit ook voor het feit dat alle gegevens van iedereen worden bewaard. Burgerrechtenorganisaties in Oostenrijk en Duitsland hebben daarom al een rechtszaak aangespannen tegen de Duitse Staat. Gezien de duidelijke lijn van het Hof, is het zeer waarschijnlijk dat ook de PNR-richtlijn strijdig met het Handvest zal worden verklaard. Natuurlijk speelt ook hier, net zoals bij de bewaarplicht, dat de PNR-gegevens in hun totaliteit precieze conclusies opleveren over het privéleven: met wie zijn mensen gaan vliegen of op een andere manier gaan reizen, wie heeft het betaald, waarheen gaan ze, diëten, noem maar op.
Alles bij elkaar wordt er zo veel prijsgegeven van het privéleven dat het die inbreuk vormt en dat dat niet gerechtvaardigd kan zijn, gelet op het feit dat het ook gaat om mensen die helemaal niet in verband staan met enige verdenking. De regering erkent dat eigenlijk ook wel, maar zegt vervolgens dat dit risico niet afdoet aan de rechtsgeldigheid van de richtlijn en de verplichting tot implementatie totdat het Hof de richtlijn onverbindend zou verklaren. De Raad van State echter heeft benadrukt dat het kabinet daarmee niet kan volstaan en nadere stappen moet zetten om de richtlijn in overeenstemming met het Handvest te brengen. Is de regering nu echt van mening dat zij hieraan wel gevolg heeft gegeven?
In reactie op de motie-Groothuizen heeft de minister toegezegd zo snel mogelijk herbeoordeling dan wel herziening van de PNR-richtlijn aan de orde te stellen. Dat neemt niet weg dat de Commissie op grond van artikel 19 van de PNR-richtlijn pas over een jaar de richtlijn gaat evalueren. Hoe groot schat de minister de kans dat de Commissie voor die tijd een herbeoordeling dan wel herziening zal bewerkstelligen? Welke ruimte ziet de minister voor andere wegen om op herbeoordeling aan te dringen bij de Uniewetgever, bijvoorbeeld via de Europese Raad?
Misschien moet de regering in dezen wel kiezen "between a rock and a hard place", tussen enerzijds het implementeren van de richtlijn, met het risico dat rechters in Nederland de richtlijn en dus ook Nederland gaan veroordelen, en anderzijds het niet implementeren ervan, met het risico de Commissie op haar dak te krijgen, die vervolgens misschien een inbreukprocedure gaat voeren. Wellicht is dat scenario nog wel te prefereren, omdat daarmee tevens een Hofuitspraak zal worden bereikt. Het Hof zal dan uiteraard ook gaan oordelen of de richtlijn zelf wel in overeenstemming met het Handvest is. Eigenlijk moeten we hier de vraag beantwoorden aan wie Nederland primair trouw moet zijn: aan het Verdrag, zoals uitgelegd door het Hof, of aan secundair Unierecht? Ik leg deze vraag hiermee eigenlijk meteen ook voor aan de minister.
Het amendement-Groothuizen op artikel 25 van het wetsvoorstel regelt dat de doeltreffendheid en de effecten van het verwerken van PNR-gegevens van intra-EU-vluchten expliciet genoemd moeten worden in de evaluatie van de wet. Welke andere criteria worden bij deze evaluatie betrokken? En hoe verhoudt deze evaluatie zich tot het al dan niet na drie jaar laten vervallen van artikel 25a, tenzij bij AMvB wordt bepaald dat die toepassing op intra-EU-vluchten kan voortduren? Hoe zit het met de democratische controle daarbij? Er is een voorhangprocedure, maar dat is toch iets anders dan een wijziging bij wet waarmee de Kamers ook zouden moeten instemmen. Zou dat niet te prefereren zijn, vraag ik de minister. En hoe wordt ten slotte de evaluatie van de Commissie betrokken bij het besluit om al dan niet artikel 25 te laten vervallen?
De regering heeft aangegeven dat er geen ruimte is voor differentiatie in de toepassing van de PNR-richtlijn op intra-EU-vluchten en vluchten van en naar derde landen. Zo is het niet mogelijk om op intra-EU-vluchten alleen op terroristische misdrijven te screenen en niet op zware criminaliteit. Wat betekent dit voor de reikwijdte van het wetsvoorstel? In het wetsvoorstel is bijvoorbeeld een limitatieve opsomming van ernstige misdrijven met gevangenisstraffen van minimaal drie jaar opgenomen. In andere EU-lidstaten kan die lijst met ernstige misdrijven aanzienlijk langer zijn als er hogere straffen op lichtere vergrijpen staan.
Wat betekent de implementatie van de PNR-richtlijn voor de gegevensbescherming in Nederland en voor de informatievoorziening aan de passagiersinformatie-eenheden en inlichtingen- en opsporingsdiensten van die lidstaten? Welke gegevens worden dan verstrekt en welke criteria van welke lidstaat worden dan leidend? Moet een aanvraag vanuit Nederland voor gegevens over een specifieke passagier voldoen aan de Nederlandse criteria van een ernstig misdrijf of geldt de lijst van het verstrekkende land? Beschikt de minister over een overzicht van de typen misdrijven die in andere lidstaten als ernstig worden aangemerkt en wat voor beeld ontstaat hieruit? Bestaat het risico dat op grond van lidstaten waar hoge gevangenisstraffen op relatief lichtere vergrijpen gelden, de gegevensverstrekking in de praktijk veel laagdrempeliger is dan het Nederlandse implementatiewetsvoorstel doet vermoeden? Graag een reactie van de minister op het risico van laagdrempelige uitwisseling van gegevens en de gevolgen voor de reikwijdte van de PNR-richtlijn.
De regering van België heeft naar aanleiding van de terroristische aanslag in de Thalys tussen Parijs en Amsterdam aangekondigd de richtlijn ook op internationale treinen, bussen en ferryboten te gaan toepassen. Het valt niet uit te sluiten dat toekomstige incidenten die met terrorisme of ernstige criminaliteit te maken hebben, aanleiding zijn om dit voorbeeld te volgen. In de schriftelijke beantwoording gaf de regering al aan dat zij te zijner tijd zal bezien of er ook in Nederland pilots komen met ferry, hogesnelheidstrein of busverkeer, zoals in België en het VK. Kan de minister met ons delen wanneer hij denkt dat dergelijke pilots nodig zijn? Aan welke criteria moet dan zijn voldaan? En onder welke voorwaarden zouden dergelijke pilots moeten starten? Welke garanties biedt dit wetsvoorstel tegen een steeds verdere uitbreiding van de bevoegdheden voor het verzamelen van persoonsgegevens?
Het doel van toepassing van risicocriteria is om personen te identificeren die voorheen nog niet bekend of verdacht werden van terrorisme of ernstige criminaliteit, maar die op basis van deze criteria wel een risico vormen. De verwerking van persoonsgegevens aan de hand van deze risicocriteria en verstrekking van gegevens aan opsporingsinstanties staat onder toezicht van de Autoriteit Persoonsgegevens (AP) en controle van de onafhankelijke functionaris gegevensbescherming (FG). Maar is dit toezicht wel voldoende vastgelegd in het wetsvoorstel? Onze fractie vindt het opmerkelijk dat beide organen niet worden betrokken bij de totstandkoming van de risicocriteria. Dit terwijl voor besluitvorming wel uitdrukkelijk instemming vereist is van een commissie met vertegenwoordigers van het OM, de Pi-NL en de bevoegde opsporingsinstanties.
Het kenmerkende aan risicocriteria die door big data-analyses en algoritmes worden geproduceerd, is dat ze voor mensen vaak niet transparant en te doorgronden zijn. Het maakt nogal wat uit welke criteria worden gebruikt. Juist vanwege het preventieve karakter van deze methode is het van groot belang dat de onafhankelijke functionaris gegevensbescherming niet alleen inzage achteraf heeft, maar ook het toezicht heeft op de opstelling van die criteria. Ik kan me voorstellen dat daar het argument achter zit dat je toezicht vooraf en achteraf gescheiden moet houden, zodat je een onbevangen oordeel achteraf hebt, maar dan is toch de vraag of het verstandig is dat alleen opsporingsinstanties en het OM betrokken zijn bij het opstellen van de criteria. Moet een ander orgaan de functie van privacybewaker niet vervullen en op die manier naar die criteria kijken? Graag een reactie van de minister hierop. Is voor de FG inzage in de toepassing van risicocriteria wel voldoende voor het achteraf controleren? Is het ook niet belangrijk dat de FG weet waarom bepaalde criteria zijn opgesteld? De FG kan de verwerking of verstrekking van gegevens niet verhinderen of sanctioneren, maar alleen doorgeven aan de AP. De AP kan wel sanctioneren, maar is daarvoor wel afhankelijk van de informatie die verstrekt wordt door de FG. De AP moet dan weer zelf gegevens vorderen en onderzoek uitvoeren.
Dat doet bij ons de vraag rijzen of de minister voldoende vertrouwen heeft in de werking van dit toezicht, die onderlinge afhankelijkheid, en het feit dat er stappen van beide kanten nodig zijn om tot een compleet beeld en sanctionering te komen. Is de minister bereid om artikel 18, lid 2 van het wetsvoorstel ter implementatie van de richtlijn desnoods op dit punt aan te passen? En tot slot: wat is de positie van de burger? Ik noemde net het eerdere arrest, waarin juist toegang tot de gegevens, de notificatieplicht en dergelijke als belangrijke eisen door het Hof werden gesteld. Wat is de positie van burgers in het wetsvoorstel?
De voorzitter:
Denkt u wel aan de tijd?
Mevrouw Strik (GroenLinks):
Ja. Ik heb nog een paar zinnetjes.
Wanneer worden ze precies geïnformeerd over het gebruik van hun gegevens en waar kunnen ze terecht met correcties of klachten?
Voorzitter. Het zal de minister duidelijk zijn geworden dat wij ernstige twijfels hebben over het geven van steun aan dit wetsvoorstel, omdat wij strijd zien met het Handvest en omdat de regering ook nog eens verder gaat dan waartoe de richtlijn Nederland verplicht. Ik noemde al de Dataretentierichtlijn. Ook daar was de strijdigheid bij de behandeling van de implementatie al evident. Deze Kamer heeft zich toen toch laten overhalen om in te stemmen en achteraf haar twijfels bevestigd gezien door het Hof van Justitie. We kunnen onze verantwoordelijkheid als medewetgever voor verdragsconforme wetgeving echter niet louter afschuiven op het Hof.
Die fundamentele twijfel laat onverlet dat wij hopen dat de minister duidelijkheid schept over onze vragen naar de waarborgen, uitvoering en handhaving van gegevensverwerking onder de richtlijn. Wij kijken, zoals gewoonlijk, uit naar zijn antwoorden. Voor mij zal dat tevens de laatste keer zijn.
Dank u wel.
De voorzitter:
Dank u wel, mevrouw Strik. U bent enigszins in blessuretijd. Ik ben coulant, maar zal dat straks niet zijn bij de interrupties. Het woord is aan mevrouw Vink.