Het is noodzakelijk om misdrijven op te sporen en te berechten, maar in een democratische rechtsstaat is het tevens nodig om de grondrechten van iedere persoon te respecteren, dus ook van verdachten. Grondrechten staan zowel in nationale als internationale wetgeving, maar in deze bijdrage zal de aandacht gevestigd worden op het Handvest van de Grondrechten van de Europese Unie. De bescherming van persoonsgegevens is één voorbeeld van die grondrechten.

Achtergrond
We hebben goede criminaliteitsbestrijding nodig, maar goede gegevensbescherming is ook belangrijk. Het is onprettig als je adres ongevraagd wordt gedeeld met commerciële partijen die reclame gaan aanbieden.[1] Een overheid die de privacy van haar burgers niet respecteert kan ook voor een verstikkend gevoel in de samenleving zorgen. Slechte gegevensbescherming kan ook ernstigere gevolgen hebben: identiteitsfraude. In 2019 meldde het CBS dat ongeveer 170.000 Nederlanders hiervan slachtoffer waren,[2] het zonder toestemming gebruikmaken van iemands persoonlijke gegevens. De overheid die alles over iedereen weet is vervelend en de vraag werd gesteld of we door Europol ‘1984-toestanden’[3] gaan krijgen.[4] Verordening 2018/1725 is belangrijk voor de invulling van art. 8 EU-Handvest (de bescherming van persoonsgegevens), staat in de preambule. Hoe moet de criminaliteitsbestrijding van Europol worden beoordeeld in het licht van Verordening 2018/1725?

Europol
In het Verdrag van Maastricht is in 1992 de oprichting van Europol vastgelegd.[5] Zo staat in Artikel K.1 lid 9 van dit verdrag dat politiesamenwerking om terrorisme, illegale drugshandel en andere ernstige internationale misdrijven tegen te gaan nodig is via Europol en dat dit een gemeenschappelijk belang is voor de lidstaten.[6] De taken van Europol staan in Artikel 4 van Verordening 2016/794.[7] Zo staat er dat Europol helpt bij het verwerken en uitwisselen van informatie tussen de lidstaten, maar Europol verkrijgt en analyseert zelf ook informatie en inlichtingen.[8] Europol bewaart de verkregen informatie in een computersysteem.

Hoe werkt Europol?
Degenen die verantwoordelijkheid dragen voor een goede gegevensbescherming zijn de nationale lidstaten en Europol zelf.[9] Bij de lidstaten geldt dat zij verantwoordelijk zijn voor de gegevensbescherming als zij de gegevens zelf verstrekken aan Europol.[10] Europol is verantwoordelijk voor persoonsgegevens die via eigen bronnen of via eigen analyses zijn verkregen.[11]De persoonsgegevens mogen alleen door Europol worden gedeeld als dit ervoor zorgt dat misdrijven worden voorkomen of aangepakt.[12] Het moet om strafbare feiten gaan waarvoor Europol bevoegdheid heeft. Elke persoon heeft het recht om toegang te krijgen tot de gegevens die over hem of haar gaan en die opgeslagen zijn bij Europol.[13] Dit moet gratis gebeuren en het besluit moet binnen drie maanden zijn genomen door Europol.[14] Data die incorrect zijn of die in strijd zijn met de regels van Verordening 2016/794, moeten verwijderd worden.[15] Alle persoonsgegevens die door Europol worden bewaard mogen alleen zo lang worden bewaard als noodzakelijk is voor de uitoefening van de taken van Europol.[16] Het bewaren van deze voor strafbare feiten nuttige persoonsgegevens mag echter niet langer duren dan drie jaar.[17] Europol kan besluiten dat de gegevens nodig zijn voor nog eens drie jaar. Dit moet Europol wel goed onderbouwen.

Bescherming van persoonsgegevens
Eén van de grondrechten uit het EU-Handvest is het recht op de bescherming van persoonsgegevens uit artikel 8. Hierin staat dat iedereen recht heeft op bescherming van persoonsgegevens. In het tweede lid van artikel 8 EU-Handvest staat dat de persoonsgegevens eerlijk verwerkt moeten worden, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Dit fundamenteel recht van de EU is verder uitgewerkt in Verordening 2018/1725. Deze verordening stelt voorschriften vast betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen en organen van de EU.[18]

Een persoonsgegeven opslaan die gaat over ras of etnische afkomst, is verboden. Dit geldt echter niet wanneer de verwerking van zulke gegevens strikt noodzakelijk is voor de doeleinden van de verwerkingsbevoegde.[19] Discriminatie op grond van dergelijke gegevens is verboden. Bij verzameling van persoonsgegevens moeten tevens de gegevens, zoals identiteit en contactgegevens, van de verwerkingsverantwoordelijke worden verstrekt aan de persoon van wie de gegevens worden opgeslagen.[20]

De persoon van wie de gegevens zijn verzameld kan te allen tijde aan de verwerkingsverantwoordelijke vragen om de gegevens te wissen.[21] Hierbij moet het gaan om gegevens die niet meer nodig zijn voor de doeleinden waarvoor ze zijn verzameld of de betrokkene heeft de toestemming ingetrokken waarop de gegevensverzameling berustte. Het kan ook gaan om gegevens die onrechtmatig zijn verwerkt.

Beoordeling werkwijze Europol met de bescherming van persoonsgegevens
Europol mag volgens artikel 8 EU-Handvest en Verordening 2018/1725 alleen de persoonsgegevens verwerken, als dit noodzakelijk is voor de vervulling van de taak van Europol. De activiteiten van Europol voldoen aan artikel 72 van Verordening 2018/1725. Artikel 72 vereist namelijk dat de verwerking van gegevens noodzakelijk is voor de uitgevoerde taak. Volgens artikel 36 van Verordening 2016/794 heeft iedere betrokkene recht om toegang te krijgen tot de gegevens die over hem of haar zijn opgeslagen bij Europol. Alle incorrecte data en data in strijd met de regels worden verwijderd. Doordat elk persoon bij Europol direct dit verzoek kan indienen, zijn er voldoende waarborgen voor de rechten en vrijheden van de betrokkenen over wie gegevens zijn verzameld en opgeslagen. Uit Verordening 2016/794 blijkt echter niet dat Europol gegevens zoals ras of etniciteit bijhoudt, dus dit punt speelt niet echt bij Europol. Europol slaat alleen zulke gegevens op als het gaat om speciale categorieën persoonsgegevens, zoals slachtoffers en getuigen. Hierbij voert Europol een noodzakelijkheidstoets uit, evenals een evenredigheidstoets.[22] Gelet op Artikel 76 van Verordening 2018/1725 mag dit.

Het zou zeer bezwaarlijk zijn, als een opsporingsteam telkens de informatie die ze hebben moeten delen met mogelijke criminelen. Dat zou betekenen dat verdachten te horen krijgen dat ze in de gaten worden gehouden vanwege verdenkingen, voordat ze gearresteerd zijn. De verdachten zijn de politie dan een stap voor en kunnen vluchten, bewijs vernietigen of op een andere manier wegkomen. Om deze reden heeft de EU in artikel 79 lid 3 van Verordening 2018/1725 een uitzondering toegevoegd, namelijk dat het verstrekken van de gegevens van Europol niet nodig is bij opslag van persoonsgegevens, wanneer dat de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken.

Elke persoon heeft ‘het recht om te worden vergeten’. Voor Europol betekent dit dat de persoonsgegevens gewist moeten worden als dit geen enkele opsporing of gerechtelijk onderzoek belemmert. De hoofdregel uit Verordening 2016/794 is dat Europol de persoonsgegevens drie jaar mag bewaren, maar dit kan verlengd worden.[23]

Verbeterpunten voor Europol
Artikel 24 van Verordening 2016/794 zegt dat Europol de persoonsgegevens kan overdragen aan een orgaan van de EU. Dit kan wanneer dat nodig is voor de taak van Europol of voor de taken van het ontvangende orgaan. In Verordening 2018/1725 daarentegen staat in het tweede lid van artikel 71 dat er een proportionaliteitstoets nodig is, want ‘’het moet in verhouding staan tot dat doel’’. De EU zou dit dus gelijk kunnen trekken door ook Europol verplicht een proportionaliteitstoets te laten doen. Een mogelijk nieuw wetsartikel is artikel 18a, waarin staat dat Europol persoonsgegevens mag verwerken die niet zijn genoemd in bijlage 2 van Verordening 2016/794, als het verwerken nodig is om een strafonderzoek op te lossen. Europol kan dan gegevens verwerken die niet zijn genoemd. Dit kan spanning opleveren met artikel 72 lid 1 van Verordening 2018/1725. Omdat Europol door invoering van artikel 18a in staat is om letterlijk alle gegevens te verwerken, zelfs gegevens die in beginsel verboden zijn zoals etniciteit, is het beter om meer waarborgen te creëren om te voldoen aan artikel 8 EU-Handvest en Verordening 2018/1725.

Conclusie
Er kan dus gezegd worden dat Europol in grote lijnen voldoet aan de rechtsregels over gegevensbescherming die in Verordening 2018/1725 staan, maar het is ook gebleken dat de werkwijze van Europol op enkele kleinere punten verbeterd kan worden.

[1] E. De Busser, E. Herlin-Karnell, ‘EU Security Governance and Financial Crimes’, German Law Journal 2018/5, p. 1120.

[2] CBS, 1,2 miljoen slachtoffers van digitale criminaliteit, 17 juli 2019, geraadpleegd op 6 april, 2021, op https://www.cbs.nl/nl-nl/nieuws/2019/29/1-2-miljoen-slachtoffers-van-digitale-criminaliteit#:~:text=In%202018%20gaf%208%2C5,Vooral%20jongeren%20waren%20slachtoffer.

[3] 1984 verwijst naar het gelijknamige boek van George Orwell waarin hij een dystopische samenleving beschrijft waarin de overheid elk aspect van de burger controleert.

[4] E. Macher, Data Protection at Europol, Luxemburg: Publications Office of the European Union 2012, p. 7.

[5] Verdrag betreffende de Europese Unie van 29 juli 1992 (PbEU 1992, C 191).

[6] R. Alexander, ‘EU: The EC Money Laundering Directive’, Journal of Money Laundering Control 2007/1, p. 68.

[7] Verordening (EU) 2016/794.

[8] Artikel 4 lid 1 sub a van Verordening (EU) 2016/794.

[9] Artikel 38 lid 2 Verordening (EU) 2016/794.

[10] Artikel 38 lid 2 sub a Verordening (EU) 2016/794.

[11] Artikel 38 lid 2 sub b Verordening (EU) 2016/794.

[12] Artikel 20 lid 1 en artikel 18 lid 2 Verordening (EU) 2016/794.

[13] Artikel 36 Verordening (EU) 2016/794.

[14] Artikel 36 lid 4 Verordening (EU) 2016/794.

[15] Artikel 37 lid 2 Verordening (EU) 2016/794.

[16] Artikel 31 lid 1 Verordening (EU) 2016/794.

[17] Artikel 31 lid 2 Verordening (EU) 2016/794.

[18] Artikel 1 Verordening (EU) 2018/1725.

[19] Artikel 76 lid 1 Verordening (EU) 2018/1725.

[20] Artikel 79 Verordening (EU) 2018/1725.

[21] Artikel 82 lid 2 Verordening (EU) 2018/1725.

[22] Artikel 30 lid 2 Verordening (EU) 2016/794.

[23] Artikel 31 lid 2 Verordening (EU) 2016/794.

Dit is een samenvatting van de bachelorscriptie van Gabriel van de Bloemfontein over gegevensbescherming in de Europese Unie, beoordeeld met een 8,0 op de Radboud Universiteit. Interesse in de hele versie? Neem dan contact met ons op via Twitter.

Foto door Mikhail Nilov via Pexels