Namens de functionaris voor gegevensbescherming van de Passagiersinformatie-eenheid Nederland biedt Minister Grapperhaus dejaarlijkse rapportage met betrekking tot het gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven aan.
Met deze brief bied ik u, namens de functionaris voor de gegevensbescherming (hierna: FG) van de Passagiersinformatie-eenheid Nederland (hierna: Pi-NL), de “Jaarrapportage artikel 18 – Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven” (hierna: PNR) over 2019 aan, zoals bedoeld in artikel 18 lid 1 PNR.
Volgens artikel 18 lid 2 van de PNR-wet zendt de FG Pi-NL jaarlijks een rapportage aan de Minister van Justitie en Veiligheid en aan de beide Kamers der Staten-Generaal en de Autoriteit Persoonsgegevens over het voorgaande kalenderjaar. U ontvangt de rapportage via mij. In deze rapportage gaat de FG in op de wijze waarop controle is uitgeoefend op de verwerking van de persoonsgegevens door de Pi-NL en de wijze waarop door de Pi-NL de waarborgen voor de gegevensbescherming zijn uitgevoerd. Als verwerkingsverantwoordelijke heb ik, naast de jaarrapportage artikel 18, een intern verslag ontvangen van de FG Pi-NL. Dat interne verslag treft u eveneens aan in de bijlage. Tevens kunt u bijgevoegd een beleidsreactie vinden waarin ik mede namens de minister van Defensie in ga op de inhoud van de rapportage en het verslag.
Mede namens de minister van Defensie zend ik uw Kamer de rapportage van de functionaris gegevensbescherming van de Passagiersinformatie-eenheid Nederland (hierna: FG Pi-NL) over de periode 18 juni 2019 t/m 31 december 2019. Deze rapportage vloeit voort uit artikel 18 van de Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven (hierna: PNR-wet). Daarnaast heb ik een intern verslag van de FG Pi-NL ontvangen, dat u in de bijlage aantreft.
Alvorens in te gaan op de inhoud van de rapportage en het verslag, hecht ik eraan de positionering van de Pi-NL kort toe te lichten. De Pi-NL voert sinds 18 juni 2019 een specifieke, bij wet rechtstreeks aan haar geattribueerde taak uit. De Pi-NL is ondergebracht bij de Koninklijke Marechaussee, maar haar taak maakt geen deel uit van de politietaken die aan de Koninklijke Marechaussee zijn opgedragen in artikel 4 van de Politiewet 2012. De Pi-NL mag conform de PNR-wet en het Besluit politiegegevens voor haar taakuitvoering wel politiegegevens ontvangen. De PiNL werkt onder mijn beleids- en verwerkingsverantwoordelijkheid; de minister van Defensie is verantwoordelijk voor de continuïteit van de dienstverlening en de bedrijfsvoering van de Pi-NL op de lange termijn.
De FG Pi-NL gaat in de rapportage in op de wijze waarop controle is uitgeoefend op de verwerking van de persoonsgegevens door de Pi-NL en de wijze waarop de waarborgen voor de gegevensbescherming zijn uitgevoerd. De rapportage bevat voorts statistieken over de mate waarin passagiersgegevens op grond van de artikelen 9a tot en met 16 van de PNR-wet zijn verstrekt, doorgegeven of verzocht. In het interne verslag gaat de FG Pi-NL nader in op een aantal zaken rondom de implementatie van de waarborgen voor het beschermen van persoonsgegevens.
Ik ben verheugd met de conclusie van de FG Pi-NL dat de waarborgen die de PNR-wet stelt voor het beschermen van persoonsgegevens bij de Pi-NL aanwezig zijn en functioneren. De FG Pi-NL constateert dat de persoonsgegevens te allen tijde voldoende zijn beschermd. Bij de totstandkoming van de PNR-wet en bij het inrichten van de Pi-NL is veel aandacht besteed aan de bescherming van persoonsgegevens. Zo bevat het systeem waarin alle passagiersgegevens worden aangeleverd en verwerkt (het Travel Information Portal - TRIP) verschillende waarborgen voor een zorgvuldige gegevensbescherming. Ook zijn alle partijen doordrongen van de gevoeligheid van de persoonsgegevens die de Pi-NL beheert en van het belang deze persoonsgegevens te beschermen. Er zijn echter ook verbeterpunten. De geconstateerde knelpunten in de rapportage en het interne verslag zijn bekend bij mijn ministerie en de Pi-NL; hierop zijn en worden passende maatregelen genomen.
Zo noemt de FG Pi-NL als aandachtspunt het monitoren van de geautomatiseerde waarborgen voor de gegevensbescherming in TRIP. De FG Pi-NL stelt dat een software update van TRIP de bestaande functionerende waarborgen ongewild kan laten tenietgaan. Omdat TRIP een nieuw systeem is, vinden er nog regelmatig updates plaats om aan de wensen van gebruikers te voldoen. Ik onderschrijf het belang om zeker te blijven stellen dat systeemwijzingen, updates en aanpassingen in de gebruikte software de bestaande waarborgen intact laten en zal dit punt onder de aandacht blijven brengen van betrokken partijen. Ook zal niet geaarzeld worden om een specifieke verwerking opnieuw (tijdelijk) te onderbreken of de werkwijze aan te passen zodat informatie veilig uitgewisseld kan worden.
Verder is in de periode van november 2019 tot en met januari 2020 in opdracht van mijn ministerie een audit uitgevoerd op de beheer- en beveiligingsmaatregelen die zijn genomen om de vertrouwelijkheid van de PNR-gegevens te waarborgen. Dit onderzoek is uitgevoerd door de Auditdienst Rijk (ADR). Vervolgaudits worden voor de komende jaren ingepland.
Ook is in 2017 voor de Pi-NL reeds een Data Protection Impact Assessment (DPIA) uitgevoerd. Deze DPIA is in 2019 en 2020 nog geactualiseerd op basis van nieuwe inzichten en processen. Bij de actualisaties is steeds het advies van de FG Pi-NL in ogenschouw genomen en waar nodig doorgevoerd. Wat betreft het advies in de artikel 18 rapportage om een Data Science DPIA op te stellen voor de analyse-taken van de Pi-NL, acht ik een aparte DPIA niet nodig. Dit omdat in de eerder uitgevoerde DPIA en de actualisaties hiervan, de analyse-taken van de Pi-NL, voor zover deze binnen het wettelijk mandaat van de Pi-NL vallen, reeds zijn beschreven. Dit laat onverlet dat ik gedegen risico-inschattingen van de gegevensverwerking van de Pi-NL blijf maken, mitigerende maatregelen in kaart blijf brengen en hier uitvoering aan geef, waarbij stelselmatig advies bij de FG Pi-NL wordt ingewonnen.
Ik ben de FG Pi-NL erkentelijk voor het verzette werk en de nadruk die mede door haar wordt gelegd op het belang van het zorgvuldig omgaan met persoonsgegevens door de Pi-NL. Ik zal mij samen met de FG Pi-NL en andere betrokken partijen blijven inspannen om de bescherming van persoonsgegevens bij en door de Pi-NL te borgen.
De Minister van Justitie en Veiligheid,
Ferd Grapperhaus
Bijlage Rapportage art 18 PNR wet 2019
