Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2024-2025

34 861 Regels ter implementatie van richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PbEU 2016, L 119) (Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven)

32 761 Verwerking en bescherming persoonsgegevens

Nr. 42 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 12 maart 2025

Terroristische en criminele netwerken maken gebruik van internationale reisroutes binnen en buiten het Schengengebied om hun activiteiten uit te voeren. De dreiging van ernstige criminaliteit, zoals mensenhandel en drugssmokkel, blijft hiermee onverminderd aanwezig. De terroristische dreiging wordt onderstreept door het huidige dreigingsniveau in Nederland, dat op niveau 4 staat.¹ Dit betekent dat er sprake is van een substantiële terroristische dreiging en dat de kans op een aanslag aanzienlijk is. Om deze dreiging effectief het hoofd te bieden en de veiligheid van onze samenleving te waarborgen, is het noodzakelijk om over de juiste wettelijke en beleidsmatige instrumenten te beschikken.

Een belangrijk instrument is het gebruik van Passenger Name Record-gegevens (PNR-gegevens). Deze gegevens spelen een essentiële rol bij het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en andere vormen van ernstige criminaliteit, zonder de reismogelijkheden van gewone passagiers te beperken. De Passagiersinformatie-eenheid Nederland (hierna: Pi-NL) draagt hieraan bij door PNR-gegevens van luchtvaartpassagiers te analyseren en zo mogelijke betrokkenheid bij ernstige criminaliteit of terrorisme te detecteren.

Recent heb ik uw Kamer geïnformeerd dat in het licht van het huidige dreigingsbeeld en de voorstelbare dreiging rond de door Nederland georganiseerde NAVO-top op 24 en 25 juni 2025, de Pi-NL tot de zomer van 2025 de passagiersgegevens van alle intra-EU vluchten van en naar Nederlandse luchthavens verzamelt en verwerkt om te voorkomen dat (potentiële) terroristen en criminelen zich ongezien verplaatsen.² Daarna wordt geëvalueerd of er nog steeds sprake is van een reële en actuele of voorzienbare dreiging. Bij de verwerking van PNR-gegevens blijft de bescherming van persoonsgegevens een prioritair aandachtspunt. Er wordt gestreefd naar een zo hoog mogelijk beschermingsniveau ten aanzien van de privacy van reizigers, waarbij tegelijkertijd de veiligheid van onze samenleving wordt gegarandeerd.

Hierbij bied ik u, mede namens de Minister van Defensie, de jaarrapportage van de functionaris gegevensbescherming van de Pi-NL over 2024 aan.³ De rapportage onderstreept dat binnen de Pi-NL acties worden genomen die verband houden met de bescherming van persoonsgegevens. Tegelijk doet de functionaris gegevensbescherming ook nog aanbevelingen ter verbetering van de werkwijze. Ik dank de functionaris gegevensbescherming voor haar uitgebreide rapportage en neem de aanbevelingen over. Graag licht ik de conclusie en het belangrijkste aandachtspunt van de functionaris gegevensbescherming toe.

Het gebruik van PNR-gegevens vereist waarborgen op het gebied van gegevensbescherming. Deze waarborgen geven invulling aan de universele privacy-beginselen die ten grondslag liggen aan de PNR-wet, zoals doelmatigheid, rechtmatigheid en transparantie. Ik onderschrijf de conclusie van de functionaris gegevensbescherming dat men zich binnen de Pi-NL bewust is van het belang van gegevensbescherming en zorgvuldig omgaat met de persoonsgegevens en de verwerking daarvan. In de rapportage constateert de functionaris gegevensbescherming dat de gecontroleerde wettelijke waarborgen voor de bescherming van persoonsgegevens aanwezig zijn en voldoende functioneren. Daarnaast toont de rapportage dat aanbevelingen uit de jaarrapportage 2023 zijn opgevolgd. In de jaarrapportages 2022 en 2023 is als aandachtspunt benoemd dat de verwerkers moeten aantonen dat de technische en organisatorische maatregelen in de verwerkersovereenkomsten zijn geïmplementeerd en worden nageleefd.⁴ De functionaris gegevensbescherming constateert dat in 2024 de verwerkers hierover verklaringen hebben afgegeven.

In de jaarrapportage van 2023 is geadviseerd dat de Pi-NL moet toewerken naar een meer gedocumenteerde en planmatige privacy-aanpak van de bescherming van passagiersgegevens. In 2024 heeft de Pi-NL, naar aanleiding van de privacy-audit door de Auditdienst Rijk⁵, een verbeterplan opgesteld waarin de verbetermaatregelen worden beschreven die reeds zijn getroffen en nog worden genomen. Voor 2025 blijft één van de belangrijkste aandachtspunten om te werken aan een meer gedocumenteerde en planmatige aanpak van de bescherming van passagiersgegevens. Het advies van de functionaris gegevensbescherming is om de verbetermaatregelen uit het verbeterplan en de resterende actiepunten van de actielijst te prioriteren, planmatig uit te voeren en actief te monitoren. De functionaris gegevensbescherming adviseert hierbij een meer gedocumenteerde aanpak om de verantwoordingsplicht beter te borgen. De Pi-NL zal, waar het nog niet in gang is gezet, het advies van de functionaris gegevensbescherming om te werken aan een meer geïntegreerde en gedocumenteerde privacy-aanpak verder opvolgen.

Tot slot sta ik stil bij het advies van de functionaris gegevensbescherming ten aanzien van de implementatie van het arrest van het Hof van Justitie van de Europese Unie op 21 juni 2022 (hierna: het Hof).⁶ In de afgelopen jaren heb ik u op verschillende momenten geïnformeerd over de wijzigingen in de verwerking van PNR-gegevens.⁷ Deze wijzigingen zijn noodzakelijk om de verwerking in lijn te brengen met het arrest van het Hof. Naar aanleiding van het arrest heb ik in 2023 onder andere de algemene bewaartermijn van PNR-gegevens aangepast van vijf naar drie jaar.⁸ De functionaris gegevensbescherming stelt dat een algemene bewaartermijn van drie jaar, in het belang van de veiligheid van de burgers is, en in verhouding staat tot de inbreuk op de privacy van de personen van wie de passagiersgegevens worden verwerkt. Hiervoor is een algemene bewaartermijn van drie jaar noodzakelijk en evenredig aan de doelstellingen van de PNR-wet. De functionaris gegevensbescherming adviseert de algemene bewaartermijn niet in te korten en derhalve drie jaar aan te houden, hetgeen in lijn is met het arrest van het Hof. Ik deel de zienswijze van de functionaris gegevensbescherming en ben van mening dat deze maatregel een evenwichtig en proportioneel middel is in de bestrijding van terrorisme en ernstige criminaliteit, met de noodzakelijke bescherming van persoonsgegevens. Ik volg de ontwikkelingen ten aanzien van de Europese implementatie van dit arrest en ik blijf mij inzetten voor een sterke informatiepositie van lidstaten in de bestrijding van terrorisme en ernstige criminaliteit.

In het komende jaar zal ik mij onverminderd blijven inspannen voor de bestrijding van ernstige criminaliteit en terrorisme. Het uitgangspunt hierbij blijft het waarborgen van de veiligheid van onze samenleving. Mijn inzet blijft erop gericht een zo hoog mogelijk niveau van bescherming van persoonsgegevens te realiseren bij Pi-NL, alsmede het recht op de eerbiediging van de persoonlijke levenssfeer, het recht op bescherming van persoonsgegevens en het recht op non-discriminatie te waarborgen.

De Minister van Justitie en Veiligheid,
D.M. van Weel

---

1. Dreigingsbeeld Terrorisme Nederland, december 2024.↩︎

2. Kamerstukken II, 2024/2025, 34 861, nr. 41.↩︎

3. Het gebruik van PNR-gegevens is vastgelegd in de PNR-richtlijn en de «Wet gebruik passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven». Het verantwoordingskader, dat onderdeel is van zowel de PNR-richtlijn als de Nederlandse wetgeving, vereist dat de functionaris gegevensbescherming van de Pi-NL jaarlijks een rapportage opstelt, zoals beschreven in artikel 18, tweede lid, van de genoemde wet.↩︎

4. De Justitiële Informatiedienst van het Ministerie van Justitie en Veiligheid en het Joint IV Commando van het Ministerie van Defensie zijn de verwerkers die passagiersgegevens verwerken ten behoeve van de Pi-NL.↩︎

5. Zie het Assurancerapport Privacy Pi-NL 2020–2023: https://open.overheid.nl/documenten/6d77bd49-2830-4d4c-80e8-b0ee57fe8b4e/file↩︎

6. Zie voor het arrest: HvJ EU 21 juni 2022, C-817/19, ECLI:EU:C:2022:491, (Ligue des droits humains).↩︎

7. Kamerstukken II, 2022/2023, 34 861, nr. 36 en 38, Kamerstukken II, 2024/2025, 34 861, nr. 41.↩︎

8. Kamerstukken II, 2022/2023, 34 861, nr. 36↩︎