Governance and Global Affairs Blog

Interoperabiliteit en gegevensbescherming

Interoperabiliteit en gegevensbescherming

Deze blog verscheen eerder op PRIVACYWEB 

 

Met een oorsprong in de computerwetenschappen is interoperabiliteit een term die verwijst naar het kenmerk van systemen die – ondanks hun onderlinge verscheidenheid in opmaak en functies – met elkaar kunnen communiceren, functioneren en gegevens uitwisselen. Vertaald naar de context van politiële en justitiële samenwerking, asiel en migratie betekent dit het aan elkaar koppelen van databanken die telkens voor een welbepaald doel werden gebouwd en gevuld met (persoons)gegevens.

Verbinding databanken door Verordening (EU) 2019/818

Op 20 mei 2019 werd Verordening (EU) 2019/818 aangenomen die voorziet in zulke verbinding. Doelen daarvan zijn het verbeteren van de doeltreffendheid van grenscontroles aan de buitengrenzen, het verhogen van veiligheid, het voorkomen en bestrijden van illegale migratie en het voorkomen, opsporen en onderzoeken van ernstige misdrijven zoals terrorisme. Om die doelen te bereiken wordt een centrale zoekfunctie geïntroduceerd voor een reeks bestaande databanken, zoals het Visuminformatiesysteem (VIS), de Eurodac vingerafdrukkendatabank, het Schengen Informatiesysteem (SIS), het Europees Strafregister voor inwoners van derde landen, het in-en uitreissysteem (EES) en het Europees systeem voor reisinformatie en –autorisatie (ETIAS).

Met de zoekfunctie kunnen politiediensten van de lidstaten en Europol zoeken in een bijzonder grote verzameling (persoons)gegevens die een goed beeld kunnen geven van bijvoorbeeld een gezochte verdachte en diens reisweg of eventueel strafrechtelijk verleden. Tijdens de debatten over Verordening (EU) 2019/818 in het Europees Parlement gebruikte rapporteur Jeroen Lenaers het voorbeeld van Anis Amri – verdachte van de aanslag op de Berlijnse kerstmarkt in 2016 – die geregistreerd stond onder maar liefst veertien verschillende identiteiten.

De eerder genoemde databanken bevatten echter ook een enorme hoeveelheid (persoons)gegevens van onschuldige burgers van EU- en niet-EU-landen. Het is dus essentieel om de toegang tot en het gebruik van deze gegevens goed te bewaken wanneer databanken met elkaar verbonden worden.

Hit/no hit zoeksysteem

Het aan elkaar verbinden van de databanken betekent niet dat alle politiediensten van de EU-lidstaten en Europol ongeremd toegang hebben tot alle beschikbare gegevens. Er ontstaat dus geen monsterlijk grote databank. Wat wel gecreëerd wordt, is een zoekfunctie op hit/no hit basis. Dit betekent dat een gebruiker bij het invoeren van één of meerdere zoektermen – in de meeste gevallen zal dit de identiteit van een persoon zijn – enkel te zien krijgt of er al dan niet gegevens over de gezochte persoon beschikbaar zijn. De gegevens zelf krijgt de gebruiker van de zoekfunctie niet te zien. Om die gegevens in te zien dient een Europees Onderzoeksbevel of een klassiek rechtshulpverzoek te worden verstuurd.

Bestaan van dossier is veelzeggende informatie

Nochtans betekent het niet onmiddellijk toegang verkrijgen tot de gegevens niet dat argumenten gerelateerd aan privacy en gegevensbescherming overbodig zijn. Het feit dat een dossier bestaat over een welbepaald persoon, is ook veelzeggende informatie. Dit wordt vaak over het hoofd gezien. Gelijkaardig aan de discussie over metadata of communicatiedata die niets zeggen over de inhoud van een gesprek, maar wel over wanneer, hoe en met wie dit gesprek plaats vond, leeft de veronderstelling dat dit soort gegevens minder of geen bescherming nodig hebben. Deze veronderstelling is onterecht. Het gaat immers nog altijd om persoonsgegevens en het gebruik hiervan dient te voldoen aan de voorwaarden van proportionaliteit en noodzakelijkheid. Bovendien werden databanken zoals Eurodac en VIS gemaakt voor asiel- en migratiedoeleinden, niet voor strafrechtelijke doeleinden.

Toepassing doelbindingsprincipe en noodzakelijkheidsbeginsel

Het is dan ook niet verwonderlijk dat snel nadat de Europese Commissie het interoperabiliteitsvoorstel introduceerde, enkele standpunten verschenen die waarschuwden voor de implicaties van dit voorstel voor privacy- en gegevensbescherming. De EU Gegevensbeschermingsautoriteit, het EU Agentschap voor Fundamentele Mensenrechten en ook de Commissie Meijers toonden aan dat het hit/no hit systeem niet vrij is van bezorgdheid omtrent het recht op privacy en gegevensbescherming. Deze bezorgdheid kwam uiteindelijk ook tot uiting in de aangenomen verordening. Na de debatten in het Europees Parlement op 16 april 2019, verschenen niet alleen twee nieuwe overwegingen in de preambule, maar werd ook artikel 22 van de verordening aangepast.

In eerste instantie mag het loutere bestaan van een dossier over een persoon – een hit dus – niet worden opgevat en gebruikt als grond of reden om met betrekking tot dit individu conclusies te trekken of maatregelen te nemen. De politiedienst die naar gegevens op zoek is, mag de informatie over het bestaan van een dossier enkel gebruiken voor het doel waarvoor het mechanisme werd ingesteld, namelijk voor een verzoek om toegang te verkrijgen tot de volledige gegevens. Dat is een eenvoudige toepassing van het doelbindingsprincipe.

Bijzonder is dat de tekst van de verordening nu ook uitdrukkelijk de zoekende politiedienst verplicht om uit te leggen waarom niet om volledige toegang wordt gevraagd na een hit. Sterker nog, de politiedienst in kwestie moet een link kunnen leggen met het nationale dossier of in geval van Europol het Europol-dossier. Het noodzakelijkheidsbeginsel krijgt hiermee een meer concrete invulling. Zelfs wanneer niet wordt verzocht om de volledige informatie moet de desbetreffende politiedienst kunnen aantonen in welke zaak de raadpleging van de verbonden databanken relevant was. Zo duidelijk werd dit nog niet eerder in een EU-rechtsinstrument voorgeschreven.

Aandacht voor privacy en gegevensbescherming

Het implementeren van de beginselen van doelbinding, noodzakelijkheid en proportionaliteit ligt niet altijd eenvoudig. De aanpassing van de verordening laat echter zien dat de bezorgdheden omtrent het hit/no hit systeem hun weg hebben gevonden naar de debatten in de EU-instellingen. Ondanks de complexiteit van het interoperabiliteitsmechanisme en de hoeveelheid gegevens waartoe politiediensten toegang kunnen krijgen, heeft de EU-wetgever voor bescherming gezorgd van een type gegevens die te vaak niet als persoonsgegevens worden gezien.

Add a Comment

Name (required)

E-mail (required)

Your own avatar? Go to www.gravatar.com

Remember me
Notify me by e-mail about comments