Groep Gegevensbescherming artikel 29
/07/NL WP129
Advies 1/2007 over het groenboek "Opsporingstechnologieën bij de werkzaamheden van wetshandhavings-, douane- en andere veiligheidsdiensten"
Goedgekeurd op 9 januari 2007
Deze groep is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. Het is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer, waarvan de taken zijn omschreven in artikel 30 van Richtlijn 95/46/EG en in artikel 15 van Richtlijn 2002/58/EG. Het secretariaat wordt verzorgd door directoraat C (Civiel recht, grondrechten en burgerschap) van het directoraat-generaal Justitie, vrijheid en veiligheid van de Europese Commissie, B-1049 Brussel, België, reau LX-46 01/43. Website: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
DE GROEP VOOR DE BESCHERMING VAN PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS Opgericht bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995, Gelet op artikel 29 en artikel 30, lid 1, onder a), en lid 3, van die richtlijn en artikel 15, lid 3, van Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002, Gelet op het reglement van de Groep en met name op de artikelen 12 en 14 daarvan, heeft het volgende advies goedgekeurd: 1. Achtergrond De Europese Commissie heeft op 1 september 2006 het Groenboek goedgekeurd over opsporingstechnologieën bij de werkzaamheden van wetshandhavings-, douane- en andere veiligheidsdiensten (COM (2006) 474), hierna "het groenboek" genoemd. De Commissie hoopt dat het groenboek de discussie over opsporingstechnologieën op Europees niveau aanzwengelt en "constructieve antwoorden en concrete suggesties voor vooruitgang" oplevert "ter versterking van de gemeenschappelijke aanpak van opsporingstechnologieën", "in de ruimste zin van het woord". De Groep is uitgenodigd om samen met andere partijen een bijdrage aan het proces van raadpleging te leveren. De antwoorden op de in het groenboek gestelde vragen en andere reacties zullen bepalen welke concrete stappen en acties daarna eventueel ondernomen kunnen worden. Afhankelijk van de bij de openbare raadpleging gestelde prioriteiten, kunnen bovendien zo spoedig mogelijk specifieke stappen worden gezet. Indien de belanghebbenden blijk geven van interesse, kan een task force voor acties met betrekking tot specifieke onderwerpen worden opgericht. Die task force zou kunnen bestaan uit vertegenwoordigers van de bevoegde instanties van de lidstaten en deskundigen uit de privé-sector. De Groep verheugt zich erover dat de Commissie er in haar groenboek rekening mee houdt dat beleidsmaatregelen betreffende opsporings- en aanverwante technologieën geheel moeten stroken met het geldende wettelijke kader, waarvan de gegevensbeschermingsbeginselen deel uitmaken, en wenst de hierna volgende bijdrage aan de discussie over het groenboek te leveren. 2. Algemene opmerkingen De Groep vindt het uiterst moeilijk om in dit stadium concrete reacties en gerichte opmerkingen te formuleren vanwege de zeer algemene strekking van de in het groenboek aan de orde gestelde punten. Het zou verkieslijk zijn en meer zin hebben om in een later stadium uitgenodigd te worden om uitvoeriger te reageren, bijvoorbeeld wanneer ontwerpen van de in het groenboek voorgestelde studies beschikbaar zijn en bekend is welke concrete stappen worden overwogen. De Groep juicht desalniettemin het idee toe om de dialoog tussen overheidsdiensten en het bedrijfsleven over de wettelijke voorschriften en de gegevensbeschermingsaspecten in het bijzonder 2/8
te vergemakkelijken, en meer specifiek om er al bij het ontwerpen en ontwikkelen van de respectieve toepassingen van opsporingsystemen naar te streven de verwerking van persoonsgegevens zo beperkt mogelijk te houden1. De Groep merkt op dat door de ontwikkeling van opsporingstechnologieën ook de bewaking op een ongekende schaal kan worden ontwikkeld. De Groep acht het opportuun hier te vermelden dat de "surveillance society" het thema was van de 28ste International Conference of Data Protection and Privacy Commissioners2, waar de bewakingsproblematiek ruimschoots is besproken vanuit het oogpunt van privacy- en gegevensbescherming. De Groep wenst een deel van het slotcommuniqué van de conferentie te citeren omdat daarin de belangrijkste punten van aandacht worden samengevat: "Surveillance activities can be well-intentioned and bring benefits. So far the expansion of these activities has developed in relatively benign and piecemeal ways in democratic societies - not because governments or businesses necessarily wish to intrude into the lives of individuals in an unwarranted way. Some of these activities are necessary or desirable in principle - for example, to fight terrorism and serious crime, to improve entitlement and access to public services, and to improve healthcare. But unseen, uncontrolled or excessive surveillance activities also pose risks that go much further than just affecting privacy. They can foster a climate of suspicion and undermine trust. The collection and use of vast amounts of personal information by public and private organisations leads to decisions which directly influence peoples’ lives. By classifying and profiling automatically or arbitrarily, they can stigmatise in ways which create risks for individuals and affect their access to services. There is particularly an increasing risk of social exclusion." De Groep wenst in het kader van de analyse van het groenboek haar bezorgdheid uit te spreken over de daarin gehanteerde zeer brede definitie van opsporingstechnologieën, terwijl het hier bij uitstek een sector betreft waar een zeer nauwkeurige afbakening van essentieel belang is. Dat is echter waarschijnlijk te wijten, voor een deel althans, aan de opzet van het groenboek als zodanig. Binnen deze algemene benadering dient van meet af aan ook nadrukkelijk te worden gesteld dat alles wat technisch mogelijk is, niet per definitie maatschappelijk en politiek aanvaardbaar, moreel toelaatbaar en wettelijk toegestaan is. Daarom moet bij de verdere besprekingen en werkzaamheden met betrekking tot opsporingstechnologieën rekening worden gehouden met alle privacyen gegevensbeschermingsregels en –garanties die zijn vastgelegd in de toepasselijke Europese wetgeving, zoals het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden3 en het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Verdrag nr. 108), van de Raad van Europa, de gegevensbeschermingsrichtlijn en de e-privacyrichtlijn. 1
Zie het slotcommuniqué van de 28ste International Conference of Data Protection and Privacy Commissioners, 2-3 november 2006, Londen, Verenigd Koninkrijk: http://ico.crl.uk.com/files/FinalConf.pdf "A systematic use of impact assessments should be adopted. Such assessments would include but be wider than privacy impact assessments, identifying social impact and opportunities for minimising undesirable consequences for individuals and society. 2 28ste International Conference of Data Protection and Privacy Commissioners, 2-3 november 2006, Londen, Verenigd Koninkrijk: http://ico.crl.uk.com 3 Het Verdrag inzake de Rechten van de Mens van de Raad van Europa is toepasselijk in deze context en de beginselen ervan zijn nader toegelicht in Aanbeveling R(87)15 inzake de verwerking van persoonsgegevens voor politiedoeleinden. In het bijzonder bepaalt artikel 1, lid 2, van die aanbeveling dat nieuwe gegevensverwerkingsmiddelen slechts mogen worden geïntroduceerd mits alle redelijke maatregelen zijn genomen om te waarborgen dat het gebruik ervan met de geest van de geldende gegevensbeschermingswetgeving strookt en mits de toezichthoudende autoriteit dat gebruik eerst heeft kunnen onderzoeken. 3/8
Naar het oordeel van de Groep is het met het oog op nadere beoordeling tevens essentieel dat de verschillende soorten opsporingstechnologieën (b.v. CCTV, RFID, biometrie, enz.) duidelijk worden onderscheiden, zodat voor elk daarvan passende gegevensbeschermingsoplossingen kunnen worden uitgewerkt. Bovendien is een duidelijke afbakening van de doeleinden van de gegevensverwerking (verzameling, registratie, opslag en bewaring, verder gebruik, enz.) het cruciale aspect bij de instelling van dergelijke bewakingssystemen en de ermee samenhangende gegevensbeschermingsregels. Dan zullen gegevensbeschermingsautoriteiten kunnen uitmaken of de verzamelde gegevens passend, relevant en niet bovenmatig zijn in verhouding tot die doeleinden. Een dergelijke analyse is noodzakelijk om na te gaan of opsporingstechnologieën in een gegeven situatie al dan niet een inmenging in de persoonlijke levenssfeer vormen, en of de gestelde doeleinden ook hadden kunnen worden bereikt met andere middelen, die minder inbreuk op de privacy maken. 3. Specifieke opmerkingen bij sommige hoofdstukken Inleiding De Groep verheugt zich in het bijzonder erover dat de Commissie beklemtoont (blz. 6/7) dat "het ontwerpen, het vervaardigen en het gebruiken van opsporings- en aanverwante technologieën én de wetgeving of andere maatregelen om dit te reguleren of te stimuleren, de grondrechten die zijn vastgelegd in het Handvest van de grondrechten van de EU en het Europees Verdrag tot bescherming van de rechten van de mens volledig moeten eerbiedigen" en dat "in het bijzonder aandacht moet worden besteed aan de eerbiediging van de bescherming van persoonsgegevens en het recht op een privé-leven". Deze stelling is het geschikte aanknopingspunt voor bijdragen van de Groep. In dit verband zij verwezen naar de verschillende documenten waarin de Groep nadrukkelijk stelt dat overheidsmaatregelen waarbij fundamentele rechten worden ingeperkt, in een wet moeten worden geregeld en in een democratische samenleving noodzakelijk moeten zijn ter bescherming van een zwaarwegend algemeen belang (zie met name Advies 10/2001 van de Groep over de behoefte aan een evenwichtige aanpak in de strijd tegen terrorisme4). De Groep benadrukt tevens dat elke maatregel die het fundamentele recht op een persoonlijke levenssfeer inperkt, overeenkomstig artikel 8 van het EVRM en de toepasselijke rechtspraak in overeenstemming moet zijn met het evenredigheidsbeginsel. Daarvoor moet onder andere worden aangetoond dat eender welke maatregel aan een "dringende maatschappelijke noodzaak" tegemoet komt. Maatregelen die alleen maar "nuttig" of "wenselijk" zijn, mogen fundamentele rechten en vrijheden niet inperken. Erkenning daarvan houdt een aantal consequenties in die, getuige de lijst van voorstellen/vragen, niet ten volle in aanmerking zijn genomen bij het opstellen van het groenboek. In het bijzonder betekent het dat reeds in de ontwerpfase van alle opsporingsapparatuur terdege met de beginselen van gegevensbescherming rekening moet worden gehouden, en met de specifieke doeleinden waarvoor de apparatuur bestemd is. Een andere opmerking betreft het feit dat "terrorisme" klaarblijkelijk wordt gelijkgeschakeld met "(andere vormen van )criminaliteit" in het groenboek (zie onder andere blz. 4). De Groep wenst te onderstrepen dat "terrorisme" zeer nauwkeurig moet worden omschreven en dat er in elk geval een 4
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2001/wp53en.pdf 4/8
duidelijk onderscheid moet worden gemaakt tussen beide begrippen, aangezien zij verschillende eisen meebrengen op het gebied van beveiligings- en opsporingstechnologie en onderzoek. De hierna geformuleerde suggesties en opmerkingen focussen echter op aangelegenheden die bijzonder relevant zijn vanuit het oogpunt van bescherming van de persoonlijke levenssfeer en persoonsgegevens: I.
Standaardisering en veiligheidsonderzoek
De Groep is van mening dat het ontwikkelen van technische normen die garanderen dat de verwerking van persoonsgegevens in overeenstemming met de geldende wettelijke voorschriften geschiedt, op de eerste plaats moet komen bij basisonderzoek en verdere studies. Dit is een terrein waar naar actieve samenwerking met de gegevensbeschermingsautoriteiten moet worden gestreefd. De Groep wenst te benadrukken dat eerbiediging van het minimaliseringsbeginsel daarbij van fundamenteel belang is. Er moet worden gezocht naar oplossingen waarbij zo weinig mogelijk persoonsgegevens worden verwerkt. Overal waar zulks mogelijk is, moet voorrang worden gegeven aan technologieën waarmee, zelfs zonder dat persoonsgegevens worden verwerkt, het beoogde doel kan worden bereikt. Dat moet een essentieel vereiste zijn van alle toekomstige onderzoek- en ontwikkelingswerkzaamheden op het gebied van opsporingstechnologieën. Ook bij het zoeken naar goede praktijken in de zin van deel III, par. 1, van het groenboek dient minimale verwerking van persoonsgegevens een criterium te zijn. Het in het groenboek vermelde ESRAB-verslag bevat interessante aanwijzingen over toekomstige activiteiten in de sector van het veiligheidsonderzoek. De Groep vindt het veelzeggend dat één van de belangrijkste conclusies van het verslag luidt dat respect voor de privacy en burgerlijke vrijheden het kernbeginsel van het programma moet zijn en is het daar helemaal mee eens. De Groep zou zeker geïnteresseerd zijn in "het vaststellen en uitwisselen van goede praktijken op het gebied van het gebruik en de verwerking van gegevens en informatie [om] volledig [te] voldoen aan de relevante wet- en regelgeving". Hierbij dient erop te worden gewezen dat zowel de Europese als de nationale regels in aanmerking moeten worden genomen. II.
Behoeften en oplossingen
Technologische behoeften en oplossingen De werking van de op Europees niveau op te stellen lijst/databank met zoekfunctie van de specifieke gebieden waarop de bevoegde veiligheidsdiensten behoeften hebben én de door de private sector aangeboden oplossingen, moet worden toegelicht. De Groep wijst op de behoefte aan passende garanties dat de beslissingen betreffende de opneming van beschikbare oplossingen op een volledig doorzichtige manier worden genomen. Draagbare en mobiele oplossingen / Interoperabiliteit van systemen De Groep wil graag een bijdrage leveren aan het verduidelijken van wat de Commissie bedoelt met "wettelijke en andere beperkingen" voor de interoperatibiliteit van de systemen in de EU. De Groep is het eens met de opvatting van de Europees Toezichthouder voor gegevensbescherming (EDPS) in zijn opmerkingen5 over de Mededeling van de Commissie over de interoperabiliteit van de Europese gegevensbanken, namelijk dat interoperabiliteit belangrijke juridische consequenties heeft omdat "het verschaffen van de technische mogelijkheid om toegang te hebben tot gegevens of deze 5
http://www.edps.europa.eu/legislation/Comments/06-03-10_Comments_interoperability_EN.pdf
5/8
uit te wisselen in de praktijk vaak een krachtige hefboom blijkt voor toegang of uitwisseling; omdat "verschillende soorten interoperabiliteit (gemeenschappelijk gebruik van grootschalige ITsystemen, fusie van gegevensbestanden, uitbreiding van de toegangs- of uitwisselingsmogelijkheden …) verschillende garanties, voorwaarden en regels vereisen"; en omdat "interoperabiliteit van systemen moet worden tot stand gebracht met inachtneming van de gegevensbeschermingsbeginselen en in het bijzonder het beginsel van beperking van het gebruiksdoel". Dit mag echter niet worden gezien als een "beperking", maar veeleer als een verstandige aanpak om een aantal fundamentele aangelegenheden van meet af aan te regelen. De Groep wenst betrokken te worden bij alle desbetreffende initiatieven op EU-niveau. Integratie van informatie en verbetering van gegevensanalyse Er moet worden gepreciseerd dat verbetering van gegevensanalyse niet gelijkstaat met onbeperkt koppelen van gegevens en navigeren tussen verschillende gegevensbanken. Minimale gegevensverwerking en beperking van het gebruiksdoel moeten een integrerend deel zijn van alle gegevensanalysesystemen (als premissen voor de integratie van informatie). De Groep wenst de activiteiten en richtsnoeren die zijn ontwikkeld in verband met de analysebestanden van Europol naar voren te schuiven als voorbeeld van een manier om de eerbiediging van de gegevensbeschermingsbeginselen op dit gebied te waarborgen. III.
Gebruik en certificering van apparaten en instrumenten
Gebruik van instrumenten voor datamining en textmining De Groep is zeer tevreden over de nadruk die wordt gelegd op de eerbiediging van de fundamentele rechten en de gegevensbeschermingsbeginselen, in het bijzonder op de behoefte aan opsporingsapparatuur waarin dat is "ingebouwd". Volgens de Groep is er geen bezwaar tegen het delen van goede praktijken en informatie over het gebruik van instrumenten voor datamining en textmining, maar behoeft de passage "Zou er bij de lidstaten en de Europese organen capaciteit beschikbaar zijn om de lidstaten die hun documenten niet met behulp van deze technologie kunnen bewerken, te helpen?" nadere verduidelijking. Er dient duidelijk te worden gemaakt dat het gebruik van de bedoelde instrumenten binnen een passend wettelijk kader moet plaatsvinden. Ook moet de betekenis worden verduidelijkt van "Europese of regionale centra voor datamining en textmining, die meer zouden moeten zijn dan "clearinghouses" voor gegevensextractietechnieken. De Groep betreurt het dat het vereiste om de gegevensbeschermingsbeginselen in acht te nemen alleen wordt vermeld waar het gaat om het delen van goede praktijken en informatie, en niet met betrekking tot de goede praktijken inzake datamining en textmining. De Groep vindt dat het verplicht volgen van een cursus gegevensbescherming door de betrokken partijen tot de criteria voor goede praktijken zou moeten behoren. Een beoordeling van de bijdrage die een datamininginstrument kan leveren aan de strijd tegen het terrorisme is zinvol omdat er tegen die dreiging nog andere instrumenten kunnen worden overwogen. Instrumenten die minder indringen in de persoonlijke levenssfeer zijn altijd te prefereren boven instrumenten waarbij zeer veel persoonsgegevens worden gebruikt.
6/8
Wat de vertrouwelijkheid van communicatie betreft, verwijst de Groep naar de e-Privacyrichtlijn, haar Advies 2/2006 over de privacyaspecten van e-mailscreeningdiensten6 en de jurisprudentie van het Europees Hof voor de Rechten van de Mens in verband met de interceptie van (tele)communicatie7. De Groep brengt voorts haar Advies 3/99 "Overheidsinformatie en de bescherming van persoonsgegevens - Bijdrage aan de raadpleging naar aanleiding van het groenboek van de Europese Commissie getiteld “Overheidsinformatie: een essentiële hulpbron voor Europa” COM (1998) 585" in herinnering, waarin zij stelt: "Door de digitalisering van informatie en de mogelijkheid in integrale teksten te zoeken, zijn de mogelijkheden om gegevens op te zoeken en te sorteren onbeperkt, terwijl de verspreiding via Internet leidt tot een toenemend gevaar dat gegevens worden onderschept en misbruikt. Bovendien maakt de digitalisering van informatie het combineren van openbare gegevens uit verschillende bronnen gemakkelijker en kunnen profielen van de situatie of van het gedrag van individuen worden opgesteld. Bovendien is het openbaar maken van persoonsgegevens een belangrijke stimulans voor nieuwe technieken die als “data warehousing” en “data mining” bekend staan. Met deze technieken kunnen gegevens zonder vooraf bepaalde doeleinden worden verzameld en worden die doeleinden pas bij het gebruik van de gegevens vastgesteld. Er moet dan ook rekening worden gehouden met alle technische mogelijkheden die bij het gebruik van die gegevens kunnen worden benut". Testen en certificeren van de kwaliteit van apparaten en instrumenten Het "netwerk van nationale certificeringsinstanties" zou een werkbare oplossing kunnen zijn; de gegevensbeschermigsautoriteiten en deskundigen zouden daarvan echter ook deel moeten uitmaken. IV.
Studies
De Groep kan zich achter de voorgestelde actiepunten scharen; er moet echter ook een privacyeffectbeoordeling worden gemaakt van alle ontwikkelde opsporingstechnologieën om de noodzaak ervan te bepalen en een duidelijk beeld te verkrijgen van de kostprijs ervan, zowel voor de samenleving als financieel. De Groep is het er vanuit het oogpunt van gegevensbescherming mee eens dat sommige in deel IV vermelde studies, nl. (3) de wetgeving inzake het gebruik van specifieke opsporingstechnologieën; (4) het praktisch gebruik van specifieke opsporingstechnologieën; (5) de wetgeving inzake het gebruik van technologieën voor de opsporing van personen (waaronder bewaking) in de gehele EU en (6) de aanvaarding van technologieën voor de opsporing van personen (waaronder bewaking en het gebruik van biometrische gegevens) in de gehele EU, zinvol en bijzonder wenselijk zouden zijn. V.
Toepassing van de resultaten van de raadpleging
De Groep vindt het belangrijk een bijdrage te leveren aan de vervolgwerkzaamheden van de raadpleging. Een actieplan zou in dat verband nuttig zijn. 4. Conclusie
6
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp118_nl.pdf B.v. EHRM, Klass v. Duitsland, 6 september 1978, EHRM, Malone v. Frankrijk, 2 augustus 1984, Kruslin v. Frankrijk, 24 april 1990, Huvig v. Frankrijk, 24 april 1990, A v. Frankrijk, 23 november 1993, Halford v. Verenigd Koninkrijk, 25 juni 1997, Kopp v. Zwitserland, 25 maart 1998, Amann c. Zwitserland, 16 februari 2000. 7
7/8
De Groep verheugt zich erover uitgenodigd te zijn om haar opmerkingen over het Groenboek over opsporingstechnologieën kenbaar te maken en betrokken te worden bij het raadplegingsproces. Doordat in het groenboek in vrij vage, algemene termen over niet nader gespecificeerde "opsporingstechnologieën" wordt gesproken, is het in dit stadium zeer moeilijk om een diepgaande juridische analyse te maken van de privacy- en gegevensbeschermingsaspecten. Het beschrijven en verspreiden van goede praktijken kan het leggen van een link tussen de wetgeving, zoals de richtlijnen inzake gegevensbescherming en e-Privacy, en de toepassing van technologie vergemakkelijken; om de concrete gevolgen daarvan te onderzoeken, is er echter behoefte aan praktijkvoorbeelden. Er zij op gewezen dat in alle gevallen waarin opsporingstechnologieën het verzamelen of verwerken van persoonsgegevens ("iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon") omvat en voor zover het gebruik daarvan onder de Gemeenschapswetgeving valt, de gegevensbeschermingsrichtlijn van toepassing is. Bij wijze van samenvatting kunnen de volgende in de richtlijn vervatte basisbeginselen worden vermeld: (i)
het doel van de verzameling van persoonsgegevens moet van meet af aan zorgvuldig worden afgebakend, en de gegevens mogen niet verder worden verwerkt op een manier die daarmee niet te verenigen is;
(ii)
er is geen probleem wat de technologieën als zodanig betreft, maar het verzamelen en gebruiken van persoonsgegevens moet legaal gebeuren. Dit betekent dat de betrokken personen informatie moeten krijgen over de toepassing van de technologie (b.v. de reeds zeer courante praktijk van camerabewaking), over de gegevens die worden verzameld en over het gebruik dat daarvan wordt gemaakt;
iii)
er mogen geen persoonsgegevens worden verzameld die niet relevant zijn voor het afgebakende doel noch langer dan noodzakelijk worden bewaard; er dient meer dan tot hiertoe is gebeurd, aandacht te worden geschonken aan de ontwikkeling van technologieën waarmee stoffen in plaats van personen worden opgespoord.
De Groep behoudt zich het recht voor om opmerkingen te maken wanneer er op dit gebied ontwikkelingen zijn. Voor de Groep De voorzitter Peter Schaar
8/8
