Het ministerie van Justitie en Veiligheid moet per direct stoppen met de grootschalige verwerking van gegevens van luchtvaartpassagiers, de zogenoemde PNR-gegevens (Passenger Name Records), zo stelt de Autoriteit Persoonsgegevens. De Europese PNR-richtlijn verplicht luchtvaartmaatschappijen om passagiersgegevens aan de overheid te verstrekken.
Vrijwel alle EU-lidstaten hebben de PNR-richtlijn tot nationale wetgeving verwerkt. In Nederland zorgt de wet ervoor dat gegevens van vliegtuigpassagiers met vertrek of aankomst in Nederland vijf jaar lang worden bewaard in een database van de eenheid Passagiersinformatie Nederland (Pi-NL). Het gaat dan om reserverings- en check-in-gegevens, zoals naam- en adresgegevens, telefoonnummers, e-mailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens.
"Hoewel bedoeld om reisbewegingen van terroristen en zware criminelen in beeld te krijgen, worden nu de reisdetails van alle luchtvaartpassagiers verzameld en jarenlang bijgehouden in een database. Dat is niet toegestaan en moet per onmiddellijke ingang stoppen", aldus de Autoriteit Persoonsgegevens (AP) in een brief aan minister Yesilgöz van Justitie en Veiligheid.
Volgens de privacytoezichthouder zijn de noodzaak en evenredigheid van de verwerking van de gegevens niet te rechtvaardigen. Vorig jaar heeft de AP de minister geadviseerd de verwerking van PNR-gegevens in lijn te brengen met de wettelijke kaders en de Europese PNR-richtlijn. Hoewel het ministerie dit advies niet heeft opgevolgd, zag de AP tot nu toe af van handhaving. Dat kwam omdat er nog een gerechtelijke procedure liep bij het Hof van Justitie van de Europese Unie.
Nu die is afgerond en de AP haar conclusies bevestigd ziet in de uitspraak, blijkt handhaving alsnog nodig. Het Hof van Justitie van de Europese Unie oordeelde afgelopen juni dat de geldigheid van de richtlijn niet in het geding is, maar dat er wel moet worden voldaan de fundamentele mensenrechten. Daardoor moet de PNR-richtlijn zo worden geïnterpreteerd dat er belangrijke beperkingen gelden voor het verwerken van persoonlijke gegevens. Door de interpretatie van het Hof wordt de manier waarop EU-lidstaten PNR-gegevens mogen verwerken behoorlijk beperkt, aldus de Europese privacytoezichthouders verenigd in de EDPB.
De Autoriteit Persoonsgegevens roept de minister dan ook op om het verwerken van deze gegevens onmiddellijk in overeenstemming te brengen met de PNR-richtlijn en de uitspraak van het Hof. Dat betekent dat het ministerie de huidige verwerking aanzienlijk zal moeten beperken, tot alleen die verwerkingen die noodzakelijk en evenredig zijn voor de bestrijding van terrorisme en ernstige criminaliteit. Los daarvan roept de AP de wetgever op om de huidige wetgeving eveneens in overeenstemming te brengen met die richtlijn en die uitspraak.
De privacytoezichthouder stelt dat er geen overgangsregeling is. De minister is nu verzocht om binnen veertien dagen aan te geven welke acties zij heeft ondernomen of nog gaat ondernemen. De Autoriteit Persoonsgegevens is bevoegd om de gegevensverwerking stil te leggen met een verwerkingsverbod, mocht dat nodig zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.