15 oktober 2007

Europese uitwisseling van persoonsgegevens en strafrecht

Door Gilyan Parker

De Europese Commissie is er van overtuigd dat de georganiseerde criminaliteit en terrorisme alleen effectief kunnen worden bestreden, wanneer Europa-breed wordt samengewerkt.

Uitwisseling van persoonsgegevens is daarbij onvermijdelijk. Politie- en justitiediensten moeten in het kader van hun onderzoek naar gepleegde misdrijven toegang kunnen krijgen tot persoonsgegevens die in andere Europese lidstaten beschikbaar zijn. Een in 2005 geïntroduceerd ontwerp Kaderbesluit [COM(2005) 475 def.] moet uitkomst bieden. Maar voldoet het voorstel wel?

Het nog in ontwerp voorliggende Kaderbesluit beoogt de toegang tot persoonsgegevens op een dusdanige wijze te reguleren, dat de inbreuken op de grondrechten van burgers zoveel mogelijk worden beperkt. Speciale aandacht gaat daarbij uit naar de bescherming van de persoonlijke levenssfeer van de Europese burgers. Om dit te bereiken zijn in het voorstel verschillende waarborgen ingebouwd. Zo mag de verkregen informatie door een lidstaat niet zomaar aan een derde partij worden doorgespeeld. Informatie blijft bovendien – in beginsel – binnen de Europese Unie, tenzij een derde land of internationale organisatie kan aantonen te beschikken over een adequaat niveau van gegevensbescherming.

Het ontwerp Kaderbesluit is gebaseerd op artikel 30, artikel 31 en artikel 34, lid 2, onder b, van het EU Verdrag. De toepassing van het zogeheten beschikbaarheidsbeginsel maakt het noodzakelijk de verwerking en bescherming van persoonsgegevens goed te regelen en gemeenschappelijke normen voor de verstrekking van persoonsgegevens aan derde landen en internationale organen vast te stellen, zodat de politiële en justitiële samenwerking in strafzaken kan worden verbeterd. Dat is van wezenlijk belang voor de bestrijding van vooral ernstige strafbare feiten. Bovendien zullen de EU-lidstaten elkaar alleen volledig vertrouwen als er duidelijke en gemeenschappelijke regels zijn voor de eventuele doorgifte van uitgewisselde gegevens aan andere partijen, met name derde landen.

De juridische kwaliteit van het voorstel wordt onder de maat geacht. Zo zou sprake zijn van een verslechtering van de rechtsbescherming voor de Europese burger, die in sommige gevallen zelfs lager is dan de bescherming die Conventie 108 van de Raad van Europa biedt. Ook de toevoeging van verwerking van gegevens door instanties als Eurojust en Europol aan de werkingssfeer van het kaderbesluit stuit op stevige kritiek.

Op 11 may 2007 is tijdens de Europese Conferentie van Privacy Toezichthouders op Cyprus een verklaring aangenomen door de Europese Toezichthouders. In de verklaring stellen de toezichthouders dat de initiatieven van de EU om gegevens van en over criminelen en misdrijven te verzamelen, niet alleen betrekking hebben op grensoverschrijdende gevallen. Zij hebben ook repercussies voor nationale gevallen. Bij de regels ter bescherming van de persoonsgegevens zou daar dan ook nadrukkelijk aandacht aan moeten worden besteed, opdat op alle niveaus de fundamentele rechten van burgers worden gewaarborgd. Ook de voorliggende compromisvoorstellen voldoen niet, zo oordelen de privacy waakhonden.

In de Raad van 18 september 2007 stond het kaderbesluit weer geagendeerd. Blijkens de aanvullende geannoteerde agenda heeft het voorzitterschap twee deelonderwerpen aan de orde gesteld tijdens de Raadsvergadering. Enerzijds is gesproken over de reikwijdte van het voorstel. Na bezwaren van verschillende lidstaten wordt deze mogelijk teruggebracht tot alleen die gegevens waarvan grensoverschrijdende verwerking plaatsvindt. Bij de evaluatie van de werking van het kaderbesluit wordt nadrukkelijk bekeken of de reikwijdte nog kan worden uitgebreid.  Anderzijds is aandacht besteed aan de doorgifte van verwerkte gegevens aan derde landen of internationale organisaties. Hiervoor wordt in het kaderbesluit een tweetal voorwaarden opgenomen: de lidstaat die de gegevens oorspronkelijk heeft verstrekt, dient met de overdracht in te stemmen en de ontvangende derde partij dient te beschikken over een voldoende niveau van gegevensbescherming.

De Nederlandse regering heeft in de aanvullende geannoteerde agenda aangegeven met beide punten te kunnen instemmen. Het is de vraag of zij zich goed rekenschap heeft gegeven van de kritiek op het voorstel.

Gilyan Parker